Bảo mật ở cấp phần sụn.
Hướng tới tương lai Một nhóm các nhà nghiên cứu đã phát minh ra một phương pháp mới
để bảo vệ SSD khỏi các cuộc tấn công ransomware. Nó có thể phát hiện ransomware, ngăn
chặn nó theo dõi và thậm chí khôi phục dữ liệu bị đánh cắp chỉ trong vài giây. Chi phí sẽ chỉ
là một sự gia tăng nhỏ về độ trễ của SSD.
Đăng ký đã nói chuyện với các nhà nghiên cứu, đến từ Đại học Inha, Viện Khoa học & Công nghệ
Daegu Gyeongbuk (DGIST), Đại học Central Florida (UCF) và Cục An ninh mạng tại Đại học Ewha
Womans (EWU). Hệ thống có tên SSD-Insider, được cho là chính xác gần như 100% và đã được
thử nghiệm trên ransomware trong thế giới thực.
SSD-Insider hoạt động bằng cách nhận ra một số người bảo vệ nhất định trong hoạt động của SSD
được coi là dấu hiệu của ransomware. “Để nhận ra hoạt động của ransomware bằng cách chỉ xem
việc phân phối các tiêu đề yêu cầu IO, chúng tôi đã chú ý đến hành vi rất độc đáo của ransomware,
đó là ghi đè”, đọc bài nghiên cứu của nhóm đề xuất SSD-Insider. Nó chỉ ra đặc biệt hành vi của
ransomware như WannaCry, Mole và CryptoShield.
Nhà nghiên cứu DaeHun Nyang của Inha nói với The Register: “Khi hoạt động của ransomware được
phát hiện bởi SSD-Insider ++, đầu vào / đầu ra cho bộ lưu trữ sẽ bị tạm dừng. “Trong thời gian tạm ngưng,
người dùng có thể gỡ bỏ quá trình ransomware.”
Sau khi ngăn chặn ransomware, SSD-Insider có thể khôi phục các tệp bị mất do các thuộc tính duy nhất
của SSD. “SSD luôn giữ các phiên bản cũ của dữ liệu đã bị ghi đè bởi dữ liệu mới cho đến khi chúng bị
xóa vĩnh viễn bởi [Garbage Collector],” bài báo đề cập. “SSD-Insider tận dụng khả năng sao lưu tích hợp
của SSD. SSD-Insider theo dõi các phiên bản cũ của dữ liệu bên trong SSD và không bao giờ xóa chúng
cho đến khi thuật toán phát hiện ransomware xác nhận rằng các phiên bản mới không bị ảnh hưởng bởi
ransomware.”
Điều thực sự độc đáo về SSD-Insider là nó hoạt động ở cấp phần sụn. Nhóm đã thiết kế SSD-Insider theo
cách này để giúp những người dùng không cài đặt phần mềm chống ransomware trên hệ thống của họ.
Bài báo cũng đề cập đến những điểm yếu của các phương pháp phần mềm truyền thống, như khả năng của
một số ransomware để chống lại phần mềm chống vi-rút. SSD-Insider cũng được thiết kế để có ít chi phí CPU
hơn so với phần mềm chống ransomware. Bản tóm tắt của bài báo cho biết chi phí phần mềm của SSD-Insider
chỉ khoảng 147 đến 254 nano giây.
Trong thử nghiệm với WannaCry và các ransomware khác, SSD-Insider không bao giờ bỏ lỡ bất kỳ hoạt
động nào của ransomware và hiếm khi phát hiện dương tính giả. Trong tất cả các tình huống đã thử nghiệm,
Tỷ lệ Từ chối Sai (FRR) là 0 phần trăm. Tỷ lệ Chấp nhận Sai (FAR) gần như bằng không. Các nhà nghiên
cứu viết: “Chúng tôi báo cáo rằng tiếng ồn nền tồi tệ nhất về FRR đến từ các công việc sử dụng nhiều IO
và CPU”. “Về FAR, kịch bản tồi tệ nhất chủ yếu đến từ kiểu ghi đè nặng, chẳng hạn như các ứng dụng
DataWiping và Database.”
Một nhà nghiên cứu chống vi-rút đã nói với The Register một phương pháp như SSD-Insider không phải là
điều dễ hiểu. Jake Moore của ESET UK cho biết: “Chức năng này thúc đẩy sự chậm trễ trong việc xóa, có
nghĩa là các nhà phát triển ransomware sẽ và vẫn có thể bỏ qua tính năng này với kiến thức về cách thức
hoạt động của thuốc giải độc này”. Trong mọi trường hợp, người dùng vẫn nên sao lưu dữ liệu của mình.
Nhật Đức | Theo : TechSpot.com