英特尔昨天在CES 2021上宣布，已在其新发布的第11代Core vPro商业级处理器中添加了基于硬件的勒索软件检测。英特尔指出：“勒索软件是2020年的最大安全威胁，仅软件还不足以抵御持续的威胁。新的第11代英特尔Core vPro移动平台提供了业界首个基于芯片的威胁检测功能，可提供针对这些类型攻击的急需的基于硬件的保护。加上Cybereason的多层保护，企业将可以从CPU遥测中获得全栈可见性，以帮助防止勒索软件绕过传统的基于签名的防御措施。”

据悉，对勒索软件的硬件检测通过直接在操作系统和固件层下的CPU上运行的英特尔威胁检测技术（Intel TDT）和Hardware Shield实现。

英特尔硬件防护是一项内置的安全功能，可直接对CPU硬件提供开箱即用的安全保护，例如：

• 通过在运行时限制BIOS中的内存访问来帮助防止恶意代码注入。
• 在无法从固件访问的英特尔硬件安全代码环境中动态启动操作系统和虚拟机管理程序。这项技术还有助于验证操作系统及其虚拟环境是否直接在Intel硬件上运行，而不是欺骗硬件的恶意软件。
• 提供操作系统可见性，以了解启动时使用的BIOS和固件保护方法。
• 英特尔TDT使用硬件遥测技术根据CPU指标和行为实时检测无文件恶意软件、加密货币挖矿软件、多态恶意软件和勒索软件。当发现威胁时，TDT将向与平台集成的安全软件发送信号，以向威胁发出警报。

“当威胁被实时检测到时，英特尔TDT发送高保真信号，触发安全厂商代码中的缓解工作流。英特尔TDT不会发布专门的功效或性能报告，相反，数据被无缝整合到常规的端点传感器报告。”英特尔在TDT产品简介解释道。

英特尔TDT还允许安全软件将内存扫描负载转移到板载英特尔图形引擎上，以获得更好的性能。

由于这些功能直接在CPU上运行并在包括BIOS和固件的任何软件下运行，因此可以防止恶意软件隐藏绕过硬件安全功能。

与Cybereason合作提供基于硬件的勒索软件保护

作为今天新闻发布的一部分，安全公司Cybereason宣布他们将把其安全平台与Intel的TDT集成在一起，以执行基于硬件的勒索软件检测。

通过使用TDT公开的CPU计数器和指标，Cyberreason指出新的硬件检测将从以下方面受益：

• CPU威胁检测：通过利用基于CPU的勒索软件行为预防功能，使企业客户能够超越基于签名和基于文件的技术。
• 全栈可见性：消除了暴露勒索软件的盲点，避免了内存中的检测或虚拟机中的隐藏，同时区分了出于业务目的的合法数据加密过程。
• 释放机器学习以提供更好的安全性：企业可以通过将负载转移到英特尔集成的图形控制器来提高分析更多数据和进行更多安全扫描的能力，从而加速性能密集型机器学习安全算法。
• 加速端点预防、检测和响应：企业可以增强其安全代理处理的性能，以获得更好的用户体验。

据Cybereason和Intel称这是业界首次推出能够检测勒索软件的PC硬件。