Werbung
Eine neue Initiative von Intel soll die Systeme seiner Kunden sicherer machen. Dazu werden die Ressourcen der Prozessoren für eine Threat Detection Technology (TDT) verwendet. Die Initiative wird zunächst aus zwei spezifischen Funktionen bestehen: Advanced Memory Scanning und Advanced Platform Telemetry.
Das Advanced Memory Scanning soll dazu verwendet werden, unzulässige Zugriffe durch Malware zu erkennen. Inzwischen tut sich Antivirus-Software, die ausschließlich die HDD/SSD überwacht, hier recht schwer. Auf der anderen Seite muss Schadsoftware, die keine Daten auf den Massenspeichern ablegt, nach jedem Reboot das System reinfizieren – es ist wie gesagt aber schwer zu erkennen und zu analysieren. Um den Arbeitsspeicher in dieser Form zu überwachen, sind einige Hardware-Ressourcen notwendig. Intel spricht von etwa 20 % Prozessorlast für eine ständige Analyse.
Hier kommt das Advanced Memory Scanning ins Spiel. Anstatt dass die CPU den Speicher nach verdächtiger Malware durchsucht, soll diese Aufgabe an die GPU übergeben werden. Durch die Verwendung der integrierten GPU soll die CPU-Last wieder auf ein Niveau von etwa 2 % fallen. Über eine API soll Drittanbieter-Software das Advanced Memory Scanning ausführen können. Über ein Windows-10-Update soll Windows über den Microsoft Windows Defender Advanced Threat Protection (ATP) dazu in der Lage sein.
Die zweite Funktion ist die Advanced Platform Telemetry. Damit Malware ihre Arbeit verrichten kann, müssen Hardware-Ressourcen verwendet werden – beispielsweise durch ungewöhnliche Schreib- und Lesezugriffe einer Crypto-Malware, welche die Daten des Nutzers verschlüsselt. Mit der Advanced Platform Telemetry will man die Verwendung entsprechender Hardware-Ressourcen frühzeitig und auf Ebene der Hardware erkennen.
Als Beispiel sei eine mögliche Spectre-Attacke angeführt, die ungewöhnliche und spekulative Branch Predictions ausführt. Dies kann durch Software nicht frühzeitig erkannt werden, die Hardware selbst ist dazu aber in der Lage. Für eine solche Analyse reicht es aber nicht aus, die Daten nur lokal zu erheben, sondern ein ungewöhnliches Verhalten ist nur schwer zu erkennen und muss daher mit dem Verhalten anderer Systeme abgeglichen werden. Dazu wird ein Machine-Learning-System mit den Daten gefüttert, welches diese dann auswertet.
Sowohl Advanced Memory Scanning als auch Advanced Platform Telemetry werden unter einem neuen Sicherheits-Merkmal Security Essentials zusammengefasst. Darin bereits integriert sind Funktionen wie AES-NI und SGX – nun aber eben unter einem Schirm zusammen mit den neuen Funktionen. Während des Advanced Memory Scanning aber recht bald ein Bestandteil von Windows 10 bzw. dem Windows Defender wird, bleibt die Integration der Advanced Platform Telemetry zunächst auf das Enterprise-Segment bzw. entsprechende Prozessoren (Atom und Xeon) beschränkt.