Los ataques de ransomware se han vuelto cada vez más populares, más sofisticados y más difíciles de detectar. Por ejemplo, en 2022, un ataque de ransomware destructivo tardó 233 días en identificarse y 91 días en contenerse, para un ciclo de vida total de 324 días. Pasar desapercibido durante este período de tiempo puede causar daños irreversibles. Las capacidades de detección más rápidas e inteligentes son fundamentales para abordar estos ataques.
Detección de Ransomware por Comportamiento con DPU y GPU NVIDIA
Los adversarios y el malware están evolucionando más rápido que los defensores, lo que dificulta que los equipos de seguridad realicen un seguimiento de los cambios y mantengan firmas para amenazas conocidas. Para abordar esto, se necesita una combinación de IA y monitoreo de seguridad avanzado. Los desarrolladores pueden crear soluciones para detectar ataques de ransomware más rápido utilizando tecnologías avanzadas que incluyen las Unidades de Procesamiento de Datos (DPU) NVIDIA BlueField, el SDK NVIDIA DOCA con DOCA App Shield y el framework de inteligencia artificial de ciberseguridad NVIDIA Morpheus.
Detección de Intrusiones con DPU BlueField
Las DPU de BlueField son ideales para habilitar la mejor seguridad de su clase y de confianza cero, y ampliar esa seguridad para incluir protección basada en host. Con el aislamiento integrado, esto crea un dominio de confianza separado del sistema host, donde se implementan los agentes de seguridad del sistema de detección de intrusiones (IDS). Si un host se ve comprometido, la capa de aislamiento entre los agentes de control de seguridad en la DPU y el host evita que el ataque se propague por todo el data center.
DOCA App-Shield es una de las bibliotecas proporcionadas con el framework de software NVIDIA DOCA. Es un framework de seguridad para el monitoreo de hosts, que permite a los proveedores de ciberseguridad crear soluciones IDS que pueden identificar rápidamente un ataque en cualquier servidor físico o máquina virtual.
DOCA App-Shield se ejecuta en la DPU NVIDIA como un dispositivo fuera de banda (OOB) en un dominio separado de la CPU y el sistema operativo del host y es:
- Resistente a ataques a una máquina host.
- Menos perjudicial para la ejecución de las aplicaciones del host.
DOCA App Shield expone una API a los usuarios que desarrollan aplicaciones de seguridad. Para detectar actividades maliciosas del procesador DPU Arm, utiliza DMA sin involucrar al sistema operativo o la CPU del host. Por el contrario, un agente antivirus estándar o respuesta de detección de puntos finales se ejecuta en el host y puede ser visto o comprometido por un atacante o malware.
Framework de IA de Morpheus para la Ciberseguridad
Morpheus es parte de la familia de productos de software NVIDIA AI Enterprise y está diseñado para crear procesos complejos basados en ML e IA. Proporciona una aceleración significativa de los canales de IA para manejar grandes volúmenes de datos, clasificar datos e identificar anomalías, vulnerabilidades, phishing, máquinas comprometidas y muchos otros problemas de seguridad.
Morpheus se puede implementar localmente con un servidor acelerado por GPU como la Plataforma NVIDIA EGX Enterprise, y también se puede acceder a él a través de la implementación en la nube.
Abordar el Ransomware con IA
Uno de los modelos de IA previamente entrenados en Morpheus es el pipeline de detección de ransomware que aprovecha NVIDIA DOCA App-Shield como fuente de datos. Esto aporta un nuevo nivel de seguridad para detectar ataques de ransomware que antes eran imposibles de detectar en tiempo real.
Dentro de la DPU BlueField
DPU BlueField ofrece la nueva aplicación OS-Inspector para aprovechar las capacidades de monitoreo de host de DOCA App-Shield y permite una recopilación constante de atributos del sistema operativo desde el host o la máquina virtual monitoreados. La aplicación OS-Inspector ya está disponible mediante acceso anticipado. Contáctenos para más información.
Los atributos del sistema operativo recopilados incluyen procesos, subprocesos, bibliotecas, identificadores y vads (para obtener una lista completa de API, consulte la guía de programación de App-Shield).
La aplicación OS-Inspector luego utiliza el servicio de telemetría DOCA para transmitir los atributos al servidor de inferencia Morpheus utilizando la plataforma de transmisión de eventos Kafka.
Dentro del Framework de Inferencia Morpheus
El pipeline de IA de detección de ransomware Morpheus procesa los datos utilizando la aceleración de GPU y los envía al modelo de IA de detección de ransomware.
Este modelo basado en árbol detecta ataques de ransomware basándose en atributos sospechosos en los servidores. Utiliza funciones de N-gram para capturar el cambio en los atributos a lo largo del tiempo y detectar cualquier anomalía sospechosa.
Cuando se detecta un ataque, Morpheus genera un evento de inferencia y activa una alerta en tiempo real al equipo de seguridad para tomar medidas adicionales de mitigación.
Caso de Uso del Laboratorio FinSec
El socio de NVIDIA, FinSec Innovation Lab, una empresa conjunta entre Mastercard y Enel X, demostró su solución para combatir los ataques de ransomware en NVIDIA GTC 2023.
FinSec ejecutó una POC, que utilizó DPU BlueField y el framework de inteligencia artificial de ciberseguridad Morpheus para entrenar un modelo que detectó un ataque de ransomware en menos de 12 segundos. Esta respuesta en tiempo real les permitió aislar una máquina virtual y guardar el 80% de los datos en los servidores infectados.
Más Información
La DPU BlueField que ejecuta DOCA App Shield permite la supervisión del host OOB. Junto con Morpheus, los desarrolladores pueden crear rápidamente modelos de IA para protegerse contra ataques cibernéticos, mejor que nunca. La aplicación OS-Inspector ya está disponible mediante acceso anticipado. Contáctenos para más información.