- 27,218
- 46
- 8 Ноя 2022
Пока хакер тихо сидит в корпоративной сети, умный диск уже готовится к его разоблачению.
У современных программ-вымогателей и вредоносных уничтожителей данных появился серьёзный союзник – время. Злоумышленники всё чаще действуют незаметно, месяцами оставаясь внутри корпоративных сетей, а когда атака становится очевидной, нужные резервные копии уже могут оказаться повреждены или безнадёжно устарели. Группа специалистов из США предложила способ продлить «память» накопителей и сохранить больше исторических версий файлов, чтобы восстанавливать данные после взлома.
Разработка получила название LAST . Система предназначена для твердотельных накопителей и позволяет хранить предыдущие версии данных непосредственно внутри устройства, а не на уровне операционной системы. Такой подход делает защиту менее уязвимой для злоумышленников, получивших полный контроль над компьютером.
Авторы работы отмечают, что многие существующие механизмы, позволяющие восстанавливать данные, зависят от операционной системы. Если атакующий получает повышенные привилегии , он может отключить защитные процессы, удалить снимки данных или вмешаться в работу программ, создающих резервные копии. По данным исследования , только за 2023 год было зарегистрировано почти 5900 уязвимостей, связанных с тем, как злоумышленники расширяли права доступа в системах.
Новая технология использует особенности работы флеш-памяти. Вместо того чтобы случайно удалять старые версии файлов, накопитель анализирует порядок, в котором меняются данные, и старается как можно дольше сохранять наиболее ценные для восстановления версии. Такой механизм помогает избежать ситуации, когда часть нужной информации удаляется слишком рано.
Разработчики также обратили внимание на проблему так называемых «разбитых файлов». В некоторых системах хранения отдельные части старой версии документа могут исчезнуть раньше остальных. В результате восстановленный файл оказывается повреждённым и непригодным к использованию. LAST отслеживает последовательность изменений и стремится сохранять исторические версии целиком.
В качестве примеров угроз авторы приводят современные программы-вымогатели, вредоносные программы, уничтожающие данные , и атаки инсайдеров. Многие подобные инциденты обнаруживаются не сразу. Некоторые злоумышленники могут оставаться незамеченными неделями и даже месяцами, поэтому критически важно как можно дольше хранить старые версии информации, чтобы её можно было восстановить.
Испытания показали, что накопитель с LAST способен сохранять историю данных до 126,4 дня. Средний срок хранения составил 52,6 дня. По сравнению с существующими решениями показатель вырос минимум на 61,4%, а в отдельных сценариях преимущество достигало 165,9%. При этом дополнительная задержка при работе накопителя составила всего около 1,5%.
Авторы считают, что подобный подход может повысить устойчивость систем к программам-вымогателям и другим атакам, в ходе которых данные уничтожают или шифруют. Особенно полезной технология может оказаться для организаций, которые рискуют потерять данные и понести серьёзные финансовые и операционные потери.
У современных программ-вымогателей и вредоносных уничтожителей данных появился серьёзный союзник – время. Злоумышленники всё чаще действуют незаметно, месяцами оставаясь внутри корпоративных сетей, а когда атака становится очевидной, нужные резервные копии уже могут оказаться повреждены или безнадёжно устарели. Группа специалистов из США предложила способ продлить «память» накопителей и сохранить больше исторических версий файлов, чтобы восстанавливать данные после взлома.
Разработка получила название LAST . Система предназначена для твердотельных накопителей и позволяет хранить предыдущие версии данных непосредственно внутри устройства, а не на уровне операционной системы. Такой подход делает защиту менее уязвимой для злоумышленников, получивших полный контроль над компьютером.
Авторы работы отмечают, что многие существующие механизмы, позволяющие восстанавливать данные, зависят от операционной системы. Если атакующий получает повышенные привилегии , он может отключить защитные процессы, удалить снимки данных или вмешаться в работу программ, создающих резервные копии. По данным исследования , только за 2023 год было зарегистрировано почти 5900 уязвимостей, связанных с тем, как злоумышленники расширяли права доступа в системах.
Новая технология использует особенности работы флеш-памяти. Вместо того чтобы случайно удалять старые версии файлов, накопитель анализирует порядок, в котором меняются данные, и старается как можно дольше сохранять наиболее ценные для восстановления версии. Такой механизм помогает избежать ситуации, когда часть нужной информации удаляется слишком рано.
Разработчики также обратили внимание на проблему так называемых «разбитых файлов». В некоторых системах хранения отдельные части старой версии документа могут исчезнуть раньше остальных. В результате восстановленный файл оказывается повреждённым и непригодным к использованию. LAST отслеживает последовательность изменений и стремится сохранять исторические версии целиком.
В качестве примеров угроз авторы приводят современные программы-вымогатели, вредоносные программы, уничтожающие данные , и атаки инсайдеров. Многие подобные инциденты обнаруживаются не сразу. Некоторые злоумышленники могут оставаться незамеченными неделями и даже месяцами, поэтому критически важно как можно дольше хранить старые версии информации, чтобы её можно было восстановить.
Испытания показали, что накопитель с LAST способен сохранять историю данных до 126,4 дня. Средний срок хранения составил 52,6 дня. По сравнению с существующими решениями показатель вырос минимум на 61,4%, а в отдельных сценариях преимущество достигало 165,9%. При этом дополнительная задержка при работе накопителя составила всего около 1,5%.
Авторы считают, что подобный подход может повысить устойчивость систем к программам-вымогателям и другим атакам, в ходе которых данные уничтожают или шифруют. Особенно полезной технология может оказаться для организаций, которые рискуют потерять данные и понести серьёзные финансовые и операционные потери.
- Источник новости
- www.securitylab.ru
