IT-Sicherheit durch Micro-Virtualisierung[Gesponsert]

Von der Infrastruktur- zur Endgerätesicherheit

| Autor: Jochen Koehler*

Die Bromium-Lösung isoliert gefährdende Anwenderaktivitäten in Micro-VMs
Die Bromium-Lösung isoliert gefährdende Anwenderaktivitäten in Micro-VMs (Bild: Bromium)

Bereitgestellt von

Herkömmliche IT-Sicherheitsmaßnahmen können vor komplexen Angriffen nicht ausreichend schützen. Allerdings haben auch innovative Ansätze wie Sandboxing oder Secure-Browsing Schwächen. Bromium bietet eine Lösung auf Basis von Micro-Virtualisierung, die Schadsoftware wirksam isoliert.

Die Lage ist unverändert ernst. Aus dem groben Unfug, der in den Anfängen des Webs die Anwender nervte, ist längst ein kriminelles, aber sehr lukratives Geschäftsmodell geworden, das Unternehmen und öffentliche Einrichtungen massiv beeinträchtigen kann. Neuester Trend ist Ransomware, die auf die Erpressung ihrer Opfer zielt: Wer nicht zahlt, kann auf seine Daten nicht mehr zugreifen; für die Betroffenen mitunter eine Katastrophe. Aufsehen erregte zuletzt die WannaCry-Attacke, die mehr als 230.000 Rechner in 150 Ländern infizierte.

Es zeigt sich immer deutlicher, dass man mit herkömmlicher Sicherheitsphilosophie der Bedrohung nicht mehr Herr werden kann. Lange Zeit galt ja das Prinzip, Angriffe unmittelbar an den „Außengrenzen“ zu stoppen, sie also gar nicht in eine IT-Infrastruktur eindringen zu lassen. Diese Strategie ist den aktuellen Angriffen aber nicht gewachsen: Cyber-Kriminelle verfügen heute über umfangreiche Ressourcen und über viel Know-how. Sie sind damit in der Lage flexible und komplexe Angriffe zu fahren. Neue Zero-Day-Attacken, Advanced Persistent Threats oder Ransomware-Trojaner können weder mit Intrusion-Prevention-­Systemen noch mit Antiviren-Software oder Next-Generation-Firewalls zuverlässig aufgespürt werden, da all diese Lösungen auf die Erkennung der Schadsoftware angewiesen sind – aber bei noch unbekannter Malware müssen sie passen. Keine dieser Lösungen kann eine hundertprozentige Erkennungsrate garantieren; sobald aber ein Angriff die äußeren Sperren überwunden hat, ist ein Unternehmen weitgehend schutzlos den unbefugten Zugriffen ausgesetzt.

Eine neue, der aktuellen Bedrohungslage angemessene Sicherheitsphilosophie darf daher nicht mehr die Infrastruktur und Komponenten wie Server oder Festplatten in den Mittelpunkt stellen, sondern Daten und Anwendungen, die ja auch die eigentlichen Angriffsobjekte sind – es geht also um die Sicherheit der Arbeitsplatz-Endgeräte. Drei Ansätze sind hierbei wichtig zu verfolgen:

  • Sandboxing, das verdächtige Dateien zur Prüfung in abgeschirmten Bereichen des Betriebssystems ausführt;
  • Secure-Browsing, das den zentralen Angriffsvektor Browser vom Arbeitsplatz abkapselt;
  • Micro-Virtualisierung, die eine generelle Isolierung gefährdender Prozesse vornimmt.

Sandboxing

Beim Sandboxing werden Dateien gezielt in einem abgeschirmten Bereich ausgeführt und dabei auf ihr Verhalten untersucht. Wenn es keine Auffälligkeiten gibt, werden sie von der Sandbox in den „normalen“, ungesicherten Bereich übergeben. Solche Lösungen sind oft schon auf Netzwerkebene implementiert, ergänzend gibt es auch entsprechende Agents, die auf dem Client laufen.

Allerdings kann Sandboxing immer nur so gut sein, wie die Prüfverfahren und die Erkennung, die es seiner Entscheidung zugrunde legt. Kann die Sandbox eine Malware nicht identifizieren, so kann diese den geschützten Bereich verlassen und die produktiven Systeme angreifen.

Sandboxes basieren rein auf Software und sind sehr komplex; so umfasst beispielsweise Microsoft Windows über 2.000 System Calls, OS Service Interfaces und Interprocess-Communication-Methoden, die abgefangen werden müssen. Entsprechend groß ist der Umfang des Codes; die Sandbox von Google Chrome besteht beispielsweise aus mehr als 1,5 Millionen Lines of Code. Die hohe Komplexität bedeutet nicht nur großen Ressourcenbedarf und damit die Notwendigkeit, leistungsstarke Rechner einzusetzen, sie macht Sandboxes auch verwundbar. Ist die jeweilige Sandbox-Software einmal durch Malware kompromittiert, so bleibt als einziger Schutzmechanismus nur die standardmäßige Betriebssystemsicherheit übrig. Mittlerweile haben Angreifer aber auch zahlreiche Methoden für das Umgehen des Sandbox-Schutzes entwickelt. So gibt es beispielsweise Schadcode, der mit einer Zeitverzögerung arbeitet und nicht aktiv wird, solange er sich in einer Sandbox befindet; es gibt außerdem Malware, die selbstständig erkennt, ob sie in einer Sandbox-Umgebung läuft, und die dann hier keinen Schadcode ausführt oder die Ressourcen der Sandbox zunächst mit schadfreier Software auslastet.

Gefahr droht auch von „Kernel Mode Exploits“: Dabei wird die Sandbox umgangen, indem der Angriff auf Kernel-Ebene erfolgt, so dass die Sandbox nicht aktiv wird, weil sie den Angriff gar nicht wahrnimmt.

Lesen Sie bitte auf der nächsten Seite weiter.

Ergänzendes zum Thema
 
Computacenter und Bromium

Inhalt des Artikels:

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44845917 / Fachanwendungen)