Microsoft har gitt detaljert informasjon om sikrede kjernedatamaskiner - en ny klasse enheter med innebygd befestning mot cybersikkerhetstrusler.
Selskapet har utviklet det befestede Windows 10 PCer sammen med sine OEM-partnere. Det snakker en ny chip-to-cloud-strategi som gir systemnivåbeskyttelse på flere nivåer.
RobbinHood malware angrep
PC-er med sikret kjerne kommer med forsvar mot RobbinHood-skadelig programvare (og andre trusler) aktivert ut av esken.
En slik trussel kan hindre deg i å få tilgang til datamaskinen eller dataene dine. En angriper kan også bruke den til å be om en bestemt sum penger som en forutsetning for å frigjøre systemet.
Baltimores regjering led et lignende brudd på cybersikkerhet i fjor etter at hackere beslagla en del av byens informasjonsteknologisystem.
I et typisk RobbinHood-angrep retter malware seg mot operativsystemet ditt kjernen. Derfra kan den utføre operativsystemets laveste nivå og mest følsomme funksjoner.
Ransomware inneholder flere filer, hvorav den ene kan gi en angriper forhøyede kjerneprivilegier. Når dette skjer, kan inntrengeren deaktivere signering og validering av kjernemodus-drivere.
Dette bruddet baner vei for lasting av en ondsinnet driver med privilegier på kjernenivå som å slå av sikkerhetsfunksjoner eller verktøy.
Det er derfor Microsoft er det foreslår en mangesidig tilnærming til å beskytte kjernen. Strategien innebærer å bygge cybersikkerhet i PC-brikken, operativsystemet og skyen.
Beskytter mot kjerneangrep
Med sikrede kjerneenheter verifiserer Hypervisor-beskyttet kodeintegritet (HVCI) hver driver som lastes inn i kjernen. Det gjør det vanskelig for RobbinHood malware å introdusere og kjøre en usignert driver i kjernen.
PC-er med sikret kjerne er den nyeste maskinvaren som gir driverkontroll ut av esken, med grunnlinjekonfigurasjon allerede angitt. Driverkontroll leveres av en kombinasjon av HVCI og WDAC-teknologier (Windows Defender Application Control).
I tillegg kommer disse forsterkede enhetene med innebygd forsvar mot utførelse av ubekreftet kode.
Microsoft snakket også om Kernel Data Protection (KDP), en kommende Windows 10-funksjon. Hensikten er å forhindre ulovlig manipulering av kjerneminne og data.
Hvorfor sikkerhet med maskinvare er fornuftig
Det er flere måter å håndtere forskjellige typer løsepenger i Windows 10. Du kan imidlertid øke sikkerheten til PC-en din med maskinvarestøttet forsvar fordi disse ikke bare er OS-fokuserte.
På samme måte, selv med alle tekniske cybersecurity-funksjoner til din disposisjon, kan det hende at du ikke kan matche dem med riktig maskinvareprofil.
Det kan også være vanskelig å få BIOS- og OS-innstillingene riktig for optimal beskyttelse.
Det vil være interessant å se hvordan sikrede kjerneenheter stabler opp mot vedvarende cybersikkerhetstrusler fra ekstern kode (RCE).
