Μια εταιρεία ασφάλειας ισχυρίζεται ότι ανέπτυξε μια μονάδα flash με ενσωματωμένη υποστήριξη για την πρόληψη ransomware, η οποία μπορεί να προστατεύσει τα δεδομένα που είναι αποθηκευμένα σε αυτήν από την κλοπή ή την κρυπτογράφηση από κακόβουλο λογισμικό. Ο Cigent Secure SSD+ διαθέτει έναν ενσωματωμένο επεξεργαστή που χρησιμοποιεί αλγόριθμους machine learning για τη συνεχή παρακολούθηση των προσβάσεων στο δίσκο και θα παρεμβαίνει για να μπλοκάρει την πρόσβαση εάν ανιχνεύσει δραστηριότητα ransomware, όπως μας είπαν.
Η εταιρεία Cigent ισχυρίζεται επίσης ότι αυτό διαφέρει από τις υπάρχουσες προσεγγίσεις για την καταπολέμηση του ransomware, παρέχοντας στους οργανισμούς μια προληπτική λύση και όχι την αντιμετώπιση μιας επίθεσης που έχει ήδη πραγματοποιηθεί.
«Τα προϊόντα Endpoint Detection and Response (EDR) βασίζονται στον «ανίχνευση και απόκριση» αφού έχει ήδη συμβεί μια επίθεση», δήλωσε ο Chief Revenue Officer της εταιρείας Tom Ricoy σε δήλωση.
Αντίθετα, ισχυρίστηκε, «Η Cigent έχει θέσει την αυτοματοποιημένη πρόληψη επιθέσεων όσο το δυνατόν πιο κοντά στα δεδομένα –στην ίδια την αποθήκευση– όπου μπορεί με συνέπεια να αποτρέψει τους επιτιθέμενους από το να λύσουν αρχεία, ακόμα κι αν το EDR έχει παρακαμφθεί».
Η Cigent προσφέρει ήδη μια σειρά Secure SSD που προστατεύει τα δεδομένα μέσω full-disk encryption και υποστηρίζει έλεγχο ταυτότητας πολλαπλών παραγόντων, ενώ η εταιρεία πωλεί μια πλατφόρμα Data Defense Software as a Service (SaaS) για την προστασία των δεδομένων σε συστήματα endpoint.
Ρωτήσαμε τον καθηγητή Bernard van Gastel του Ινστιτούτου Επιστημών Πληροφορικής και Πληροφοριών στο Nijmegen της Ολλανδίας, πόσο πιθανό θεωρεί ότι θα ήταν να δημιουργηθεί κάτι τέτοιο.
Ο καθηγητής van Gastel μας είπε ότι μπορεί να απαντήσει “από εννοιολογική άποψη” και πρόσθεσε: “Για να γίνει κάτι τέτοιο λειτουργικό, πρέπει (1) να ανιχνεύσετε σωστά το ransomware και (2) να έχετε αποτελεσματικά μέτρα για να δράσετε σε αυτό.”
“Για την πρώτη, μπορείτε να εντοπίσετε μοτίβα στον τρόπο χρήσης ενός drive. Εάν όλα τα δεδομένα αντικατασταθούν, αυτό είναι μια ένδειξη ότι το ransomware είναι ενεργό. Μπορείτε ακόμη και να το εντοπίσετε νωρίς, εάν σε λίγα λεπτά γραφτεί ένα σημαντικό κομμάτι των δεδομένων στο δίσκο. Αλλά όπως συμβαίνει με όλους αυτούς τους μηχανισμούς ανίχνευσης (όπως με ανεπιθύμητα μηνύματα, ανίχνευση εισβολής, κ.λπ.), πρέπει να υπάρχει σωστή βαθμονόμηση των false negatives και των false positives. Ένα false positive σημαίνει ότι τα δεδομένα είναι κλειδωμένα και το σύστημα θα έχει downtime. Ένα false negative σημαίνει ότι το ransomware μπορεί πραγματικά να λειτουργήσει.”
“Για το δεύτερο, πρέπει να «διορθώσετε» το περιεχόμενο του drive”, πρόσθεσε ο καθηγητής. “Τουλάχιστον βεβαιωθείτε ότι δεν τροποποιούνται πρόσθετα δεδομένα. Αλλά μπορεί ήδη να υπάρξει απώλεια δεδομένων, επειδή η ανίχνευση γίνεται πάντα “εκ των υστέρων”.
Είπε ότι η ίδια η εταιρεία το υποδεικνύει αυτό “στο σημείο 3 κάτω από τις “Μερικές Σημαντικές Σημειώσεις” του δελτίου δεδομένων της. Επομένως, δεν αποτελεί πλήρη προστασία, επειδή μπορεί να υπάρχουν false negatives και μπορεί να εμφανιστεί πολύ αργά, οπότε έχει ήδη γίνει κάποια ζημιά. Και μπορεί να σας κοστίσει τη διαθεσιμότητα των συστημάτων σας λόγω false positives.”
Ο καθηγητής van Gastel προειδοποίησε ότι: “Στο τέλος, εξακολουθείτε να χρειάζεστε υψηλής ποιότητας διαδικασίες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης. Επομένως, δεν θα θεωρούσα μια τέτοια νέα προσέγγιση ως μια σφαίρα που λύνει το πρόβλημα του ransomware. Αλλά ζούμε σε έναν ατελή κόσμο, στον οποίο τα αντίγραφα ασφαλείας και οι διαδικασίες ανάκτησης συχνά δεν λειτουργούν όπως θα έπρεπε. Ως εκ τούτου, αυτού του είδους η ανίχνευση ransomware σε έναν δίσκο μπορεί να λειτουργήσει και βλέπω ότι μπορεί να βοηθήσει τους οργανισμούς στην πράξη.”
Ο Brian Honan της BH Consulting επανέλαβε αυτή τη σημείωση προσοχής, λέγοντας: “Πρέπει να πω ότι είμαι δύσπιστος ως προς αυτούς τους ισχυρισμούς, κυρίως ότι η πράξη κρυπτογράφησης δεδομένων ως μέρος μιας επίθεσης ransomware είναι το τελευταίο βήμα σε μια μακρά αλυσίδα γεγονότων. Πριν συμβεί αυτό, τα συστήματά σας έχουν ήδη παραβιαστεί και τα δεδομένα σας ενδέχεται να έχουν διεισδύσει.”
Σύνδεση υπηρεσιών
Φαίνεται ότι το Secure SSD+ είναι πραγματικά σχεδιασμένο για να λειτουργεί με την πλατφόρμα Data Defense, καθώς η εταιρεία εκτιμά ότι αυτό της επιτρέπει να ξεκινήσει ένα κλείδωμα δεδομένων σε ολόκληρη την εταιρεία ως απάντηση στον εντοπισμό ransomware.
Αυτό ενεργοποιεί μια κατάσταση “Shields Up” που απαιτεί έλεγχο ταυτότητας πολλαπλών παραγόντων για την πρόσβαση σε όλα τα προστατευμένα αρχεία, δήλωσε η Cigent. Η ίδια η μονάδα δίσκου μπορεί προαιρετικά να τεθεί σε κατάσταση λειτουργίας μόνο για ανάγνωση για την προστασία των δεδομένων από την τροποποίηση, τη διαγραφή ή την κρυπτογράφηση.
Η Cognet δήλωσε στο The Register ότι κάθε Secure SSD+ περιλαμβάνει μια άδεια χρήσης πελάτη για το λογισμικό Cognet Data Defense.
Εν τω μεταξύ, η πλατφόρμα Data Defense SaaS επιτρέπει στο προσωπικό πληροφορικής και ασφάλειας να παρακολουθεί και να διαχειρίζεται τους δίσκους, να θέτει πολιτικές, να επαναφέρει τους κωδικούς PIN και να λαμβάνει ειδοποιήσεις ransomware, δήλωσε η Cigent.
Μπορεί επίσης να χρησιμοποιηθεί για τη διαχείριση του λογισμικού Data Defense στους υπόλοιπους υπολογιστές του οργανισμού και την ενεργοποίηση της κατάστασης “Shields Up” για την προστασία τους από ransomware, ακόμα κι αν δεν διαθέτουν μονάδα Secure SSD+.
Λέγεται ότι το Secure SSD+ έχει διασφαλίσεις έναντι της απενεργοποίησης των ελέγχων ασφαλείας, συγκεκριμένα ενός ενσωματωμένου “storage firmware heartbeat” που ανιχνεύει εάν το λογισμικό Cigent είναι απενεργοποιημένο. Η πρόσβαση στα προστατευμένα δεδομένα είναι αποκλεισμένη σε αυτήν την περίπτωση, όπως μας είπαν.
Οι προγραμματισμένες ενημερώσεις πρόκειται να συμπεριλάβουν χαρακτηριστικά που εμποδίζουν την κλωνοποίηση, τη διαγραφή ή την πρόσβαση στη μονάδα δίσκου εάν το σύστημα εκκινείται από άλλο δίσκο.
Ο Διευθύνων Σύμβουλος και συνιδρυτής της Cigent, John Benkert, είναι βετεράνος της USAF Intelligence και της NSA, σύμφωνα με τον ιστότοπο της εταιρείας, και επίσης Διευθύνων Σύμβουλος του εξοπλισμού ανάκτησης δεδομένων CPR Tools. Η εταιρεία απευθύνεται τόσο σε εμπορικούς όσο και σε δημόσιους οργανισμούς, συμπεριλαμβανομένων κρατικών φορέων.
Ζητήσαμε από την Cigent περισσότερες λεπτομέρειες σχετικά με τον Secure SSD+ και την ενσωματωμένη επεξεργασία του. Η εταιρεία μας είπε ότι χρησιμοποιεί μια ειδική μονάδα MCU (μονάδα μικροελεγκτή) για την επιθεώρηση δεδομένων τηλεμετρίας χαμηλού επιπέδου από τον SSD controller, αναλύοντάς τα με αλγόριθμους machine learning για ενδείξεις δραστηριότητας ransomware.
Η MCU είναι ξεχωριστή από τον SSD controller, αλλά συνδέεται με αυτόν μέσω ενός αποκλειστικού διαύλου επικοινωνίας που είναι διακριτός από το data pathway. Αυτός ο σχεδιασμός έχει ως στόχο να διασφαλίσει ότι η μονάδα δίσκου μπορεί να διατηρήσει την απόδοσή της, σημειώνει η Cigent.
Με την ανάλυση της αποθηκευμένης τηλεμετρίας εκτός του SSD controller, υποστηρίζεται ότι δεν υπάρχει σχεδόν καμία επίπτωση στις κανονικές λειτουργίες ανάγνωσης/εγγραφής.
Ωστόσο, το Data Sheet του προϊόντος δεν περιέχει πολλές προδιαγραφές, καθώς δεν αναφέρει ακριβείς επιδόσεις ανάγνωσης/εγγραφής. Η Cigent επιβεβαίωσε ότι οι drive θα είναι διαθέσιμοι σε χωρητικότητες 480 GB, 960 GB και 1920 GB όταν θα είναι έτοιμοι για αγορά, που θα γίνει κάποια στιγμή τον Μάιο του 2023.
Το Data Sheet αποκαλύπτει ότι ο Secure SSD+ αποστέλλεται σε έναν παράγοντα μορφής M.2 2280 διπλής όψης, που σημαίνει ότι έχει πλάτος 22 mm και μήκος 80 mm και ενδέχεται να μην ταιριάζει σε ορισμένους εξαιρετικά λεπτούς φορητούς υπολογιστές.
Ο καθηγητής Alan Woodward, επιστήμονας πληροφορικής στο Πανεπιστήμιο του Surrey και ειδικός σε θέματα ασφάλειας, μας είπε ότι αυτή η συσκευή μοιάζει με μια συναρπαστική ιδέα, αλλά εγείρει πολλά ερωτήματα.
Η Cigent ισχυρίζεται ότι οι αλγόριθμοι machine learning έχουν αποδειχθεί και μπορούν να παρέχουν προστασία ακόμη και από νεότερα ransomware, ενώ η ευαισθησία ανίχνευσης μπορεί να ρυθμιστεί δυναμικά για τη μείωση των false positives.
Το Data Sheet προσδιορίζει επίσης ότι το Secure SSD+ πρέπει να εγκατασταθεί ως boot drive σε ένα σύστημα endpoint και η υποστήριξη περιλαμβάνει προς το παρόν μόνο τα Windows, αλλά η υποστήριξη Linux θα είναι σύντομα διαθέσιμη.
Οι drives που ενσωματώνουν κάποια ικανότητα επεξεργασίας με αυτόν τον τρόπο θεωρούνται μερικές φορές ως ένα αναδυόμενο πεδίο με την ένδειξη Computational Storage. Χαρακτηριστικό παράδειγμα είναι οι SmartSSD της Samsung. Τέτοιες συσκευές μπορεί να ενσωματώνουν μια CPU, FPGA ή ASIC για να παρέχουν επιτάχυνση ορισμένων λειτουργιών αποθήκευσης, όπως συμπίεση, αποσυμπίεση ή erasure coding.
Πηγή πληροφοριών: theregister.com
