Intel und Microsoft verbessern Erkennung von Cyberangriffen

Intel hat neue Techniken vorgestellt, die die Erkennung von Cyberangriffen verbessern sollen. Unter anderem soll das Advanced Memory Scanning dateilose Schadprogramme, die ausschließlich im Arbeitsspeicher aktiv sind und nicht auf die Festplatte geschrieben werden, aufspüren. Unterstützung erhält Intel dabei von Microsoft, wie Ars Technica berichtet.

Dateilose Malware wird von herkömmlichen Sicherheitsanwendungen, die eine dateibasierte Erkennung nutzen, nicht blockiert. Zwar können diese Anwendungen auch den Arbeitsspeicher prüfen – das belastet jedoch die Leistung des Systems. Intel spricht von einer zusätzlichen CPU-Belastung von 20 Prozent.

Intels Advanced Memory Scanning soll diesen Nachteil umgehen, da es nicht die CPU, sondern den Grafikprozessor nutzt. Vor allem bei klassischen Desktopanwendungen ist die GPU in der Regel nicht ausgelastet. Diese ungenutzten Kapazitäten will Intel nun für die Suche nach Schädlingen im Arbeitsspeicher nutzen. Die CPU soll die Technik nur noch mit zwei Prozent belasten.

Allerdings bietet Intel die Technik nicht selbst an. Advanced Memory Scanning richtet sich in erster Linie an Drittanbieter, die es in ihre Produkte integrieren sollen. Noch in diesem Monat wird Microsofts Windows Defender Advanced Threat Protection die GPU-basierte Malware-Suche im Arbeitsspeicher unterstützen.

Die zweite neue Erkennungstechnik nennt Intel Advanced Platform Telemetry. Sie nutzt Telemetriedaten der Prozessorleistung, um ungewöhnliche Aktivitäten aufzuspüren, die wiederum auf eine Schadsoftware hindeuten könnten. Unter anderem soll die Technik auch bei Angriffen auf die Spectre-Lücke helfen. Bei einer solchen Attacke würden falsche Vorhersagen zur Speicherbelegung getroffen, die der Prozessor erfasst und verfolgt. Diese Daten wiederum können Cloud-Systeme verarbeiten, um den Systemzustand zu ermitteln. Die Technik soll unter anderem in Produkte von Cisco integriert werden.

Darüber hinaus fasst Intel bestimmte Sicherheitsfunktionen seiner Prozessoren unter dem Begriff Security Essentials zusammen. Dabei handelt es sich um Kombinationen aus Hardware-Features, Firmware und Software-Bibliotheken, unter anderem für Funktionen wie AES-NI für eine hardwarebeschleunigte Verschlüsselung, und Platform Firmware Resilience, das gegen Manipulationen der Firmware schützen soll. Die Security Essentials wiederum werden von bestimmten Atom-, Core- und Xeon-Prozessoren unterstützt – Software kann also auf bestimmten CPUs auf einheitliche hardwarebasierte Sicherheitsfunktionen zugreifen.

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.