Σύνοψη
- Ερευνητές από το Διεθνές Πανεπιστήμιο της Φλόριντα (FIU) και το Πανεπιστήμιο της Φλόριντα ανέπτυξαν ένα νέο σύστημα προστασίας ενσωματωμένο απευθείας σε αποθηκευτικά μέσα.
- Η τεχνολογία επεμβαίνει στη λειτουργία των SSD (Solid State Drives) και αποτρέπει την οριστική διαγραφή κρίσιμων δεδομένων κατά τη διάρκεια επιθέσεων ransomware.
- Το σύστημα αναδιοργανώνει τον τρόπο με τον οποίο ο ελεγκτής του δίσκου διαχειρίζεται τα διεγραμμένα αρχεία, διατηρώντας τα πιο πρόσφατα και σημαντικά δεδομένα για μεγαλύτερο χρονικό διάστημα.
- Επιτυγχάνεται αύξηση του «παραθύρου» ανάκτησης δεδομένων κατά τουλάχιστον 60%, με ελάχιστη επιβάρυνση στις ταχύτητες ανάγνωσης και εγγραφής του δίσκου.
- Η λύση αυτή αναμένεται να λειτουργήσει ως η τελική γραμμή άμυνας, όταν το λογισμικό προστασίας (antivirus/firewall) έχει ήδη παραβιαστεί.
Η αντιμετώπιση των επιθέσεων ransomware αποτελεί τη μεγαλύτερη πρόκληση για την παγκόσμια κοινότητα κυβερνοασφάλειας. Όταν οι κακόβουλοι χρήστες αποκτούν πρόσβαση σε ένα σύστημα, η συνήθης πρακτική τους περιλαμβάνει την κρυπτογράφηση των αρχείων και τη διαγραφή των πρωτοτύπων, αφήνοντας τις επιχειρήσεις και τους απλούς χρήστες σε αδιέξοδο. Η κατάσταση περιπλέκεται περαιτέρω από την ίδια τη φύση του σύγχρονου hardware. Οι Solid State Drives (SSDs), οι οποίοι αποτελούν εδώ και αρκετά χρόνια το πρότυπο αποθήκευσης στους περισσότερους υπολογιστές, έχουν σχεδιαστεί για ταχύτητα και αποδοτικότητα, όχι για την ιχνηλάτηση και προστασία των διεγραμμένων δεδομένων.
Μια νέα έρευνα, ωστόσο, έρχεται να ανατρέψει τα δεδομένα. Με επικεφαλής τον ερευνητή Weidong Zhu από το Διεθνές Πανεπιστήμιο της Φλόριντα (FIU) και με τη συνεργασία του Πανεπιστημίου της Φλόριντα, αναπτύχθηκε ένα καινοτόμο σύστημα κυβερνοασφάλειας που εστιάζει αποκλειστικά στον τρόπο αποθήκευσης. Το σύστημα αυτό μετατρέπει τον ίδιο τον SSD σε μια ενεργή γραμμή άμυνας, αυξάνοντας δραματικά το χρονικό περιθώριο κατά το οποίο τα δεδομένα μπορούν να ανακτηθούν έπειτα από μια επίθεση.
Το πρόβλημα με την αρχιτεκτονική των SSDs
Σε αντίθεση με τους παραδοσιακούς μηχανικούς σκληρούς δίσκους (HDDs), όπου η διαγραφή ενός αρχείου απλώς υποδεικνύει τον χώρο ως «διαθέσιμο για μελλοντική εγγραφή», οι SSDs χρησιμοποιούν πολύπλοκους αλγόριθμους, όπως το Garbage Collection και την εντολή TRIM, για να διατηρήσουν τις υψηλές τους ταχύτητες.
Όταν ο χρήστης —ή ένα κακόβουλο λογισμικό— διαγράφει ένα αρχείο, το λειτουργικό σύστημα στέλνει την εντολή TRIM στον ελεγκτή του SSD. Ο ελεγκτής σπεύδει να καθαρίσει τα κελιά μνήμης NAND Flash, ώστε να είναι έτοιμα να δεχτούν νέα δεδομένα. Αυτή η συνεχής βελτιστοποίηση σημαίνει ότι τα πρόσφατα διεγραμμένα δεδομένα —όπως τα αρχεία που μόλις αντικαταστάθηκαν από την κρυπτογραφημένη εκδοχή τους κατά τη διάρκεια μιας επίθεσης ransomware— χάνονται σχεδόν ακαριαία και οριστικά.
Η καινοτομία: Αναδιοργάνωση της διαχείρισης δεδομένων
Η ομάδα του Weidong Zhu εντόπισε αυτή ακριβώς την αδυναμία και αποφάσισε να επαναπρογραμματίσει τη λογική λειτουργίας των SSDs. Μέχρι σήμερα, η ενσωμάτωση χαρακτηριστικών ασφαλείας απευθείας στους δίσκους θεωρούνταν εξαιρετικά δύσκολη διαδικασία, καθώς η ανάλυση και η προστασία των δεδομένων σε πραγματικό χρόνο απαιτούν σημαντικούς υπολογιστικούς πόρους. Η επιβάρυνση του ελεγκτή του δίσκου με τέτοιες διεργασίες οδηγεί αναπόφευκτα σε κάθετη πτώση των επιδόσεων (ταχύτητες εγγραφής και ανάγνωσης IOPS), καθιστώντας τον δίσκο μη πρακτικό για καθημερινή χρήση.
Το νέο σύστημα παρακάμπτει αυτόν τον περιορισμό αλλάζοντας απλώς τις προτεραιότητες του δίσκου. Αντί να επιτρέπει την τυχαία ή αστραπιαία εκκαθάριση των διεγραμμένων αρχείων, το σύστημα αναδιοργανώνει τον τρόπο με τον οποίο το firmware του SSD χειρίζεται αυτά τα δεδομένα και δίνει προτεραιότητα στη διατήρηση των αρχείων με βάση τον χρόνο διαγραφής τους. Αναγνωρίζοντας ότι τα δεδομένα που διαγράφηκαν πιο πρόσφατα είναι συνήθως και τα πιο κρίσιμα για την ανάκτηση μετά από ένα κυβερνοχτύπημα, το SSD τα κρατά «ζωντανά» στα κελιά μνήμης του για όσο το δυνατόν μεγαλύτερο χρονικό διάστημα.
Πρόκειται για μια στρατηγική αναβολής της οριστικής καταστροφής. Το σύστημα δεν εμποδίζει το ransomware να εκτελεστεί στο επίπεδο του λειτουργικού συστήματος, αλλά σαμποτάρει το καταστροφικό του αποτέλεσμα στο επίπεδο του hardware.
Επιδόσεις και μετρήσιμα αποτελέσματα
Η πραγματική αξία αυτής της έρευνας κρύβεται στους αριθμούς. Σύμφωνα με τα δημοσιευμένα στοιχεία, το σύστημα βελτιώνει το «παράθυρο» προστασίας των δεδομένων κατά τουλάχιστον 60%. Αυτό σημαίνει ότι οι διαχειριστές συστημάτων έχουν πολύ περισσότερο χρόνο στη διάθεση τους για να αντιληφθούν την επίθεση, να απομονώσουν τον μολυσμένο υπολογιστή από το δίκτυο και να εφαρμόσουν τεχνικές data recovery απευθείας από τον δίσκο, ανακτώντας τα αρχικά αρχεία.
Το εντυπωσιακότερο στοιχείο είναι η απουσία σημαντικού αντίκτυπου στην απόδοση. Η διαχείριση της προτεραιοποίησης των διεγραμμένων αρχείων γίνεται με τέτοια αποδοτικότητα στο firmware, ώστε οι ταχύτητες των SSDs παραμένουν πρακτικά ανεπηρέαστες. Ο τελικός χρήστης συνεχίζει να απολαμβάνει την αμεσότητα των σύγχρονων PCIe NVMe drives, έχοντας ταυτόχρονα ένα ενσωματωμένο «δίχτυ ασφαλείας».
Η εφαρμογή αυτής της τεχνολογίας αναμένεται να αλλάξει δραστικά το τοπίο του enterprise storage, παρότι για την ώρα βρίσκεται σε ερευνητικό στάδιο. Οι μεγάλοι κατασκευαστές NAND Flash και ελεγκτών (όπως η Samsung, η Phison, η Western Digital και η Kioxia) αναζητούν συνεχώς προστιθέμενη αξία για τα προϊόντα τους, πέραν της αύξησης των ταχυτήτων Gen5 και Gen6. Η ενσωμάτωση του συγκεκριμένου αλγορίθμου στο firmware των μελλοντικών SSDs φαντάζει ως το λογικό επόμενο βήμα.
