Intel plant Hardware-Schutz gegen Ransomware

Auf der Consumer Electronics Show 2021 kündigte Intel an, seine neuen Core vPro Prozessoren der 11. Generation durch Verbesserungen des Hardware Shields und der Threat Detection Technology (TDT) um Ransomware-Erkennungsfunktionen zu erweitern.

Außerdem wurde eine Partnerschaft mit dem in Boston ansässigen Unternehmen Cybereason bekannt gegeben. Das Sicherheitsunternehmen wird voraussichtlich in der ersten Hälfte des Jahres 2021 seine Sicherheitssoftware um diese neuen Funktionen erweitern.

Beide Unternehmen sagten, dass dies der allererste Fall wäre, in dem die PC-Hardware eine direkte Rolle“ bei der Erkennung von Ransomware-Angriffen spielt.

Unter der Haube wird all dies durch zwei Intel-Funktionen möglich, nämlich Hardware Shield und Intel Threat Detection Technology (TDT). Beide Funktionen sind Teil von Intel vPro, einer Sammlung von unternehmensorientierten Technologien, die Intel mit einigen seiner Prozessoren ausliefert.

Hardware Shield ist eine Technologie, die das UEFI/BIOS sperrt und TDT eine Technologie, die CPU-Telemetrie verwendet, um möglicherweise bösartigen Code zu erkennen.

Beide Technologien arbeiten direkt auf der CPU, viele Schichten unter softwarebasierten Bedrohungen, wie Malware, aber auch Antivirenlösungen. Die Idee hinter Intels neuen Funktionen ist es, einen Teil der Daten mit Sicherheitssoftware zu teilen und es ihr zu ermöglichen, Malware zu erkennen, die sich möglicherweise an Orten versteckt, die Antiviren-Apps nicht erreichen können.

Intel TDT verwendet eine Kombination aus CPU-Telemetrie und Maschinenlernen (ML)-Heuristiken, um Angriffsverhalten zu erkennen. Es erkennt Ransomware und andere Bedrohungen, die einen Fußabdruck auf der Intel CPU Performance Monitoring Unit (PMU) hinterlassen.“

Die Intel PMU sitzt unterhalb von Anwendungen, dem Betriebssystem und Virtualisierungsschichten auf dem System und liefert eine genauere Darstellung aktiver Bedrohungen, systemweit. Wenn Bedrohungen in Echtzeit erkannt werden, sendet Intel TDT ein High-Fidelity-Signal, das Abhilfeworkflows im Code des Sicherheitsanbieters auslösen kann.

Laut Intel und Cybereason soll diese neue Technologie es Unternehmen ermöglichen, Ransomware-Angriffe zu erkennen, wenn Ransomware-Stämme versuchen, sich der Erkennung zu entziehen, indem sie sich in virtuellen Maschinen verstecken, da Hardware Shield und TDT viele Schichten darunter laufen.

„Ransomware war eine der Top-Sicherheitsbedrohungen im Jahr 2020, Software allein reicht nicht aus, um sich vor den aktuellen Bedrohungen zu schützen“, sagt Stephanie Hallford, Client Computing Group Vice President und General Manager of Business Client Platforms bei Intel.

„Unsere neue 11. Generation der mobilen Core vPro Plattform bietet die branchenweit erste siliziumbasierte Erkennungsfunktion für Bedrohungen und liefert damit den dringend benötigten hardwarebasierten Schutz gegen diese Art von Angriffen“, fügte die Intel-Managerin hinzu.

„Zusammen mit dem mehrschichtigen Schutz von Cybereason werden Unternehmen über eine umfassende Sichtbarkeit von CPU-Telemetrie verfügen, um zu verhindern, dass Ransomware traditionelle signaturbasierte Verteidigungsmaßnahmen umgeht.“

Um die neue Funktion zu nutzen, müssen Systemadministratoren lediglich eine Sicherheitssoftware verwenden, die diese Funktion unterstützt. An den CPUs sind keine Änderungen erforderlich, denn während die meisten vPro-Features optional sind, hat Intel kürzlich Hardware Shield für alle neuen CPUs ab der 10. Generation zur Pflicht gemacht.

Während Cybereason der erste sein wird, der die Erkennung von Ransomware mit Hilfe von Hardware-Indikatoren unterstützt, werden andere Sicherheitsanbieter diese Funktion höchstwahrscheinlich ebenfalls nutzen.

Die heutige Nachricht kommt, nachdem Intel in den letzten Jahren stark in die Sicherheit investiert hat. Im Juni 2020 kündigte Intel außerdem an, seine neue Control-flow Enforcement Technology (CET) zu CPUs hinzuzufügen, eine Funktion, die laut Intel helfen könnte, Systeme vor Malware zu schützen, die Return Oriented Programming (ROP), Jump Oriented Programming (JOP) und Call Oriented Programming (COP) Techniken verwendet, um Geräte zu infizieren und Apps zu kapern.