Intel veut mettre la détection de ransomware dans le CPU
Et Cybereason a déjà répondu présent. Selon le fondeur, cette approche doit permettre d’éviter le contournement des défenses au niveau applicatif ou du système d’exploitation. Jusqu’à couvrir les machines virtuelles.
Intel vient de profiter de l’édition virtuelle 2021 du CES pour lever le voile sur TDT, ou Threat Detection Technology (TDT), une fonctionnalité spécifique à sa prochaine génération de processeurs vPro. Intel TDT doit permettre de dépasser certaines limitations des outils de détection et remédiation sur les hôtes du système d’information – postes de travail comme serveurs – (EDR).
Historiquement, l’EDR est avant tout pensé pour la visibilité. A posteriori, et pas en temps réel. Avec TDT, Intel entend aider à changer cela en permettant aux EDR de disposer d’un accès temps réel à une télémétrie susceptible de révéler des activités malicieuses, et en particulier caractéristiques de ransomwares : « la télémétrie au niveau du CPU permet à Intel TDT de suivre le chiffrement au plus bas niveau, et les heuristiques établies par apprentissage automatique permettent à Intel TDT d’être déterministe pour discerner le chiffrement par ransomware d’autres activités de chiffrement ».
« [La télémétrie au niveau du CPU est] immunisée contre la plupart des contournements, et s’étend aux variantes si communes parmi les menaces de ransomware. »
IntelEdition virtuelle 2021 CES
En prime, selon le fondeur, la télémétrie au niveau du CPU est « immunisée contre la plupart des contournements, et s’étend aux variantes si communes parmi les menaces de ransomware ».
Intel TDT s’appuie sur l’unité de supervision des performances (PMU) et sur l’unité de traitement graphique (GPU) intégrée pour déporter les traitements d’analyse de la solution de protection de l’hôte, « comme l’analyse avancée de la mémoire », afin de limiter l’impact de ces traitements sur l’expérience utilisateur.
Intel a présenté TDT au printemps 2018. À l’époque, le fondeur insistait sur l’aspect accélération de l’analyse de la mémoire vive en s’appuyant sur le GPU intégré, revendiquant une consommation CPU de 2 % avec celle-ci, contre 20 % sans. Et d’annoncer déjà la mise à profit de cette approche par Microsoft Defender ATP. D’autres éditeurs s’y sont par la suite intéressés : SentinelOne et BlackBerry.
Désormais, TDT doit aussi être disponible sur la 11e génération de la plateforme mobile Intel vPro, dans le cadre de l’éventail fonctionnel de sécurité plus large Hardware Shield. Au passage, Cybereason a exprimé son engagement à en tirer profit.
Pour approfondir sur Protection du terminal et EDR
