El ransomware es un tipo de malware. Cuando un sistema es infiltrado por ransomware, el ransomware encripta los datos de ese sistema, haciendo que los datos sean inaccesibles para los usuarios. Los responsables del ransomware luego extorsionan a los operadores del sistema afectado, exigiendo dinero a los usuarios a cambio de permitirles acceder a sus propios datos.
La extorsión de ransomware es muy costosa y los casos de extorsión de ransomware van en aumento. El FBI informa haber recibido 3729 denuncias de ransomware en 2021, con costos de más de $49 millones. Además, 649 de esas quejas fueron de organizaciones clasificadas como infraestructura crítica.
"Los sistemas informáticos ya utilizan una variedad de herramientas de seguridad que monitorean el tráfico entrante para detectar malware potencial y evitar que comprometa el sistema", dice Paul Franzon, coautor de un artículo sobre el nuevo enfoque de detección de ransomware. "Sin embargo, el gran desafío aquí es detectar el ransomware lo suficientemente rápido como para evitar que se afiance en el sistema. Porque tan pronto como el ransomware ingresa al sistema, comienza a cifrar los archivos". Franzon es Profesor Distinguido de Cirrus Logic de Ingeniería Eléctrica e Informática en la Universidad Estatal de Carolina del Norte.
"Existe un algoritmo de aprendizaje automático llamado XGBoost que es muy bueno para detectar ransomware", dice Archit Gajjar, primer autor del artículo y Ph.D. estudiante en NC State. "Sin embargo, cuando los sistemas ejecutan XGBoost como software a través de una CPU o GPU, es muy lento. Y los intentos de incorporar XGBoost en los sistemas de hardware se han visto obstaculizados por la falta de flexibilidad: se centran en desafíos muy específicos, y esa especificidad dificulta o imposible para ellos monitorear la gama completa de ataques de ransomware.
"Hemos desarrollado un enfoque basado en hardware que permite que XGBoost supervise una amplia gama de ataques de ransomware, pero es mucho más rápido que cualquiera de los enfoques de software", dice Gajjar.
El nuevo enfoque se llama FAXID y, en las pruebas de prueba de concepto, los investigadores descubrieron que era tan preciso como los enfoques basados en software para detectar ransomware. La gran diferencia era la velocidad. FAXID fue hasta 65,8 veces más rápido que el software que ejecuta XGBoost en una CPU y hasta 5,3 veces más rápido que el software que ejecuta XGBoost en una GPU.
"Otra ventaja de FAXID es que nos permite ejecutar problemas en paralelo", dice Gajjar. “Podría dedicar todos los recursos del hardware de seguridad dedicado a la detección de ransomware y detectar el ransomware más rápidamente. Pero también podría asignar la potencia informática del hardware de seguridad a problemas separados. Por ejemplo, podría dedicar un cierto porcentaje del hardware a la detección de ransomware. y otro porcentaje del hardware a otro desafío, como la detección de fraudes".
"Nuestro trabajo en FAXID fue financiado por el Centro de Electrónica Avanzada a través del Aprendizaje Automático (CAEML), que es una asociación público-privada", dice Franzon. "La tecnología ya se está poniendo a disposición de los miembros del centro y sabemos de al menos una empresa que está haciendo planes para implementarla en sus sistemas".
El artículo, "FAXID: Inferencia XGBoost acelerada por FPGA para centros de datos que utilizan HLS", se presentará en el 30.° Simposio internacional de IEEE sobre máquinas informáticas personalizadas programables en campo (FCCM), que se llevará a cabo en la ciudad de Nueva York a partir del 15 de mayo. -18. El artículo fue coautor de Priyank Kashyap, Ph.D. estudiante en NC State; Aydin Aysu, profesor asistente de ingeniería eléctrica e informática en NC State; y Sumon Dey y Chris Cheng de Hewlett Packard Enterprise.
El trabajo fue apoyado por CAEML, a través de la subvención de la Fundación Nacional de Ciencias número CNS #16-244770, y empresas miembros de CAEML.
