[27/03/2023] Intel ha presentado su línea de procesadores Core de 13ª generación, que según la compañía es la primera en incorporar la detección de amenazas en el hardware. En combinación con las plataformas de detección y respuesta de puntos finales (EDR) de los socios de Intel, los nuevos procesadores vPro prometen una reducción del 70% de la superficie de ataque en comparación con las PC de hace cuatro años. Los sistemas Windows 11 también pueden aprovechar el cifrado de memoria de vPro para proporcionar una mejor seguridad basada en la virtualización.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
En las pruebas realizadas por SE Labs y encargadas por Intel, la plataforma vPro tuvo una eficacia del 93% en la detección de los principales ataques de ransomware, lo que supone una mejora del 24% con respecto al software por sí solo. Otras pruebas realizadas por IDC mostraron que la seguridad de virtualización de vPro podría dar lugar a un descenso del 26% en las brechas de seguridad "importantes" y a un 21% menos de eventos de seguridad impactantes, al tiempo que mejoraba la eficiencia del equipo de seguridad en un 17%.
Los resultados de estas pruebas, todas ellas realizadas en sistemas individuales, sugieren una gran ayuda para los equipos de seguridad que protegen los dispositivos de los usuarios. Sin embargo, pasará tiempo antes de que las organizaciones puedan aprovechar plenamente las ventajas de la detección de amenazas basada en hardware. Es bastante común que las grandes organizaciones tengan una filosofía de "sustitución continua", sustituyendo un tercio [de sus dispositivos] al año durante un período de tres años, por ejemplo", afirmó Jack Gold, fundador y analista principal de J.Gold Associates. "Así que esos dispositivos con tecnología más antigua no estarán tan bien protegidos, pero los nuevos sí lo estarán, y eso es una ventaja para esos usuarios y para la organización en su conjunto".
Cómo funciona la detección de amenazas basada en hardware de Intel vPro
En el corazón de las funciones de seguridad de vPro se encuentra la Threat Detection Technology (TDT) de Intel basada en inteligencia artificial. Funciona con soluciones de seguridad, añadiendo una capa de detección asistida por hardware. Intel TDT utiliza telemetría de la CPU y heurística de aprendizaje automático (ML) para detectar comportamientos de ataque que dejan una "huella" en las unidades de supervisión del rendimiento de la CPU (PMU), incluidos el ransomware y el secuestro de criptomonedas. La tecnología está pensada para que los proveedores de EDR la incorporen a sus soluciones.
Las tres funciones principales son:
- Advanced Platform Telemetry identifica indicadores de compromiso (IoC) de malware y ataques conocidos. Utiliza datos de la PMU de Intel, un componente del procesador que mide los ciclos de instrucción, los aciertos y fallas de la caché y otros datos de rendimiento. Intel entrena los modelos ML en un conjunto representativo de plataformas para cada generación vPro, lo que permite a Intel TDT distinguir el comportamiento del malware de las cargas de trabajo legítimas. Los datos de entrenamiento de telemetría PMU se recopilan a partir de simuladores que emulan los patrones de comportamiento de, por ejemplo, algoritmos y técnicas de cifrado de ransomware para evitar la detección de comportamientos. Las muestras del mundo real complementan los datos de comportamiento y luego se añaden datos de telemetría de cargas de trabajo benignas para que Intel TDT pueda distinguir entre actividad normal y maliciosa.
- Accelerated Memory Scanning (AMS) detecta indicadores de ataque (IoA). Cuando se activa por un comportamiento específico, el motor AMS escanea la memoria del proceso sospechoso en busca de shellcode, cadenas únicas, parches y otros signos de actividad maliciosa. Según un informe de ABi Research encargado por Intel, "AMS es especialmente adecuado para detectar malware polimórfico y ataques sin archivos que utilizan herramientas de doble uso". "Estas herramientas son aplicaciones de software legítimas que pueden subvertirse para llevar a cabo ciberataques (como Cobalt Strike...) o lanzar ataques sin archivos como ransomware que también puede ejecutarse en memoria".
- Anomalous Behavior Detection (ABD) supervisa las aplicaciones en tiempo de ejecución en busca de comportamientos potencialmente maliciosos utilizando datos de telemetría de la CPU y aprendizaje automático. Las desviaciones del comportamiento normal se marcan en tiempo real como sospechosas. "El ML utilizado se basa en un algoritmo de aprendizaje continuo que permite a ABD actualizar sus modelos mediante un entrenamiento incremental controlado", rezaba el informe de ABi Research. "Este proceso de aprendizaje continuo puede ser gestionado y aumentado por la solución EDR, con ISVs de seguridad importando telemetría adicional en un modelo base para una app/proceso".
No cabe duda de que los actores de amenazas buscarán formas de eludir las protecciones que ofrece Intel TDT. Si eso ocurriera, la nueva plataforma vPro es actualizable. Incluye la tecnología Intel Active Management e Intel Endpoint Management Assistant (Intel EMA), que permite la detección y reparación remotas en toda la organización.
Intel TDT y EDR
Los proveedores de soluciones antivirus y EDR pueden ejecutar los modelos de Intel con la configuración predeterminada. Los proveedores más avanzados pueden añadir indicadores de su propia investigación a la configuración de inferencia ML. Intel proporcionará actualizaciones a los proveedores asociados a medida que surjan nuevas amenazas.
Entre los proveedores de EDR con soluciones habilitadas para Intel TDT se encuentran Crowdstrike, Microsoft, Trend Micro, Eset, Acronis y Check Point. Las soluciones EDR que no están habilitadas para Intel TDT deberían funcionar como antes con los nuevos sistemas vPro, pero sin el impulso adicional. "Siempre es más rápido y productivo hacer las cosas en hardware que intentar simular lo mismo con software. Con la IA, eso es aún más", afirmó Gold. "La detección de amenazas acelerada por IA es un gran avance con respecto a limitarse a mirar el código y tratar de ver si es malo, como hacen muchas soluciones antimalware. La IA examina el comportamiento y emite un juicio sobre el riesgo que entraña. Es una gran mejora con respecto a las soluciones basadas en firmas".
Del mismo modo, las soluciones EDR habilitadas para Intel TDT funcionarán con normalidad en sistemas que no sean vPro de 13ª generación. "Si la aplicación ve un componente (en este caso vPro), puede aprovechar ese componente. Si el componente no está ahí, sigue funcionando, pero tal vez no con la misma rapidez o eficacia", afirmó Gold.
A medida que se desplieguen sistemas con detección de amenazas por hardware, es probable que la mayoría de los proveedores de soluciones EDR lo aprovechen para mejorar sus propias capacidades. "Del mismo modo que vemos que los productos cambian cuando se pueden emplear aceleradores en general (por ejemplo, cuando se dispone de GPU y no sólo de CPU para ejecutar gráficos, juegos, HPC, etc.), la habilitación por hardware significa que los proveedores pueden aprovechar esos activos sin tener que intentar crearlos ellos mismos", finalizó Gold.
Basado en el artículo de Michael Nadeau (CSO) y editado por CIO Perú