Gesponsert

IT-Sicherheit durch Micro-Virtualisierung Von der Infrastruktur- zur Endgerätesicherheit

Herkömmliche IT-Sicherheitsmaßnahmen können vor komplexen Angriffen nicht ausreichend schützen. Allerdings haben auch innovative Ansätze wie Sandboxing oder Secure-Browsing Schwächen. Bromium bietet eine Lösung auf Basis von Micro-Virtualisierung, die Schadsoftware wirksam isoliert.

Gesponsert von

Die Bromium-Lösung isoliert gefährdende Anwenderaktivitäten in Micro-VMs
Die Bromium-Lösung isoliert gefährdende Anwenderaktivitäten in Micro-VMs
(Bild: Bromium)

Die Lage ist unverändert ernst. Aus dem groben Unfug, der in den Anfängen des Webs die Anwender nervte, ist längst ein kriminelles, aber sehr lukratives Geschäftsmodell geworden, das Unternehmen und öffentliche Einrichtungen massiv beeinträchtigen kann. Neuester Trend ist Ransomware, die auf die Erpressung ihrer Opfer zielt: Wer nicht zahlt, kann auf seine Daten nicht mehr zugreifen; für die Betroffenen mitunter eine Katastrophe. Aufsehen erregte zuletzt die WannaCry-Attacke, die mehr als 230.000 Rechner in 150 Ländern infizierte.

Es zeigt sich immer deutlicher, dass man mit herkömmlicher Sicherheitsphilosophie der Bedrohung nicht mehr Herr werden kann. Lange Zeit galt ja das Prinzip, Angriffe unmittelbar an den „Außengrenzen“ zu stoppen, sie also gar nicht in eine IT-Infrastruktur eindringen zu lassen. Diese Strategie ist den aktuellen Angriffen aber nicht gewachsen: Cyber-Kriminelle verfügen heute über umfangreiche Ressourcen und über viel Know-how. Sie sind damit in der Lage flexible und komplexe Angriffe zu fahren. Neue Zero-Day-Attacken, Advanced Persistent Threats oder Ransomware-Trojaner können weder mit Intrusion-Prevention-­Systemen noch mit Antiviren-Software oder Next-Generation-Firewalls zuverlässig aufgespürt werden, da all diese Lösungen auf die Erkennung der Schadsoftware angewiesen sind – aber bei noch unbekannter Malware müssen sie passen. Keine dieser Lösungen kann eine hundertprozentige Erkennungsrate garantieren; sobald aber ein Angriff die äußeren Sperren überwunden hat, ist ein Unternehmen weitgehend schutzlos den unbefugten Zugriffen ausgesetzt.

Eine neue, der aktuellen Bedrohungslage angemessene Sicherheitsphilosophie darf daher nicht mehr die Infrastruktur und Komponenten wie Server oder Festplatten in den Mittelpunkt stellen, sondern Daten und Anwendungen, die ja auch die eigentlichen Angriffsobjekte sind – es geht also um die Sicherheit der Arbeitsplatz-Endgeräte. Drei Ansätze sind hierbei wichtig zu verfolgen:

  • Sandboxing, das verdächtige Dateien zur Prüfung in abgeschirmten Bereichen des Betriebssystems ausführt;
  • Secure-Browsing, das den zentralen Angriffsvektor Browser vom Arbeitsplatz abkapselt;
  • Micro-Virtualisierung, die eine generelle Isolierung gefährdender Prozesse vornimmt.

Sandboxing

Beim Sandboxing werden Dateien gezielt in einem abgeschirmten Bereich ausgeführt und dabei auf ihr Verhalten untersucht. Wenn es keine Auffälligkeiten gibt, werden sie von der Sandbox in den „normalen“, ungesicherten Bereich übergeben. Solche Lösungen sind oft schon auf Netzwerkebene implementiert, ergänzend gibt es auch entsprechende Agents, die auf dem Client laufen.

Allerdings kann Sandboxing immer nur so gut sein, wie die Prüfverfahren und die Erkennung, die es seiner Entscheidung zugrunde legt. Kann die Sandbox eine Malware nicht identifizieren, so kann diese den geschützten Bereich verlassen und die produktiven Systeme angreifen.

Sandboxes basieren rein auf Software und sind sehr komplex; so umfasst beispielsweise Microsoft Windows über 2.000 System Calls, OS Service Interfaces und Interprocess-Communication-Methoden, die abgefangen werden müssen. Entsprechend groß ist der Umfang des Codes; die Sandbox von Google Chrome besteht beispielsweise aus mehr als 1,5 Millionen Lines of Code. Die hohe Komplexität bedeutet nicht nur großen Ressourcenbedarf und damit die Notwendigkeit, leistungsstarke Rechner einzusetzen, sie macht Sandboxes auch verwundbar. Ist die jeweilige Sandbox-Software einmal durch Malware kompromittiert, so bleibt als einziger Schutzmechanismus nur die standardmäßige Betriebssystemsicherheit übrig. Mittlerweile haben Angreifer aber auch zahlreiche Methoden für das Umgehen des Sandbox-Schutzes entwickelt. So gibt es beispielsweise Schadcode, der mit einer Zeitverzögerung arbeitet und nicht aktiv wird, solange er sich in einer Sandbox befindet; es gibt außerdem Malware, die selbstständig erkennt, ob sie in einer Sandbox-Umgebung läuft, und die dann hier keinen Schadcode ausführt oder die Ressourcen der Sandbox zunächst mit schadfreier Software auslastet.

Gefahr droht auch von „Kernel Mode Exploits“: Dabei wird die Sandbox umgangen, indem der Angriff auf Kernel-Ebene erfolgt, so dass die Sandbox nicht aktiv wird, weil sie den Angriff gar nicht wahrnimmt.

Lesen Sie bitte auf der nächsten Seite weiter.

Die Bromium-Lösung isoliert gefährdende Anwenderaktivitäten in Micro-VMs
Die Bromium-Lösung isoliert gefährdende Anwenderaktivitäten in Micro-VMs
(Bild: Bromium)

Secure-Browsing

Secure-Browsing-Lösungen schützen vor allem den zen­tralen Angriffsvektor Browser. Ein Beispiel dafür sind Remote­Controlled-Browser-Systeme (ReCoBS), die auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Diese Lösungen bauen zum Schutz der Client-PC eine Terminalserver-Umgebung auf; der Webzugang erfolgt dann ausschließlich über die auf den Terminalservern laufenden Browser. Derartige Client-Server-Modelle sind bis zu einem gewissen Grad erfolgreich, doch sie weisen deutliche Nachteile in der Bedienung auf.

So sind RoCoBS-Lösungen meist wenig anwenderfreundlich. Außerdem sind sie mit hohen Kosten verbunden, sowohl hinsichtlich des gesamten Hardware-Bedarfs für die ­Terminalserver als auch bezüglich der Betriebskosten; schließlich beeinträchtigen ReCoBS-Systeme durch ihren erhöhten Bandbreiten­bedarf für die Kom­munika­tion zwischen Servern und Clients die Performance.

Allerdings beschränken sich Secure­-Browsing-Lösungen naturgemäß auf das Thema Internet-Browsing und decken damit andere Gefahren für das Endgerät nicht ab, beispielsweise E-Mails oder USB-Speichermedien.

Micro-Virtualisierung

Die Micro-Virtualisierung, die Bromium mit seiner Secure Platform-Lösung umsetzt, greift die Grundidee des Sandboxing auf. Ein grundlegender Unterschied zum prüfungsorientierten Ansatz ist die generelle Isolation gefährdender Prozesse wie Internet Browsing oder das Öffnen von heruntergeladen Dateien und von E-Mail-­Anhängen. Die Bromium-Lösung nutzt dabei die Virtualisierungs­fähigkeiten der aktuellen Pro­zessor-Generationen und stellt für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen Hardware-isolierte Micro-VMs (Virtual Machine) zur Verfügung. Jeder einzelne Task – beispielsweise das Herunterladen eines Dokuments von einem USB-Stick oder aus dem Web – läuft dabei in einer eigenen Micro-VM und ist damit strikt getrennt vom eigentlichen Betriebssystem, vom verbundenen Netzwerk sowie von anderen Micro-VMs.

Zentrale Komponente der Lösung ist der Bromium Microvisor, ein speziell im Hinblick auf Sicherheit entwickelter Hypervisor. Im Unterschied zu Secure-Browsing-Ansätzen schützt die Bromium-­Lösung nicht nur vor Gefahren aus dem Internet Browser selbst, sondern isoliert auch heruntergeladene Dateien sowie E-Mail-Anhänge aller Art. Einmal eingerichtet erkennt die Lösung entsprechende Aktivitäten und führt sie nur in einer Micro-VM aus.

Eine Kompromittierung des Endgeräts und letztlich des Unternehmensnetzes über einen dieser Angriffswege ist damit nahezu ausgeschlossen. Den Komfort der Benutzer beeinträchtigt die Lösung nicht, da sie für den einzelnen Anwender unsichtbar im Hintergrund läuft und keine Performance­einbußen verursacht. Innovative Ansätze der Endgerätesicherheit wie Bromiums Micro-Virtualisierung stellen also nicht die Identifizierung von Schadcode oder das Aufspüren von Angriffen in den Vordergrund, sondern schützen auch vor Malware, die als solche (noch) gar nicht identifiziert werden kann.

Auf diese Weise kann die IT-­Sicherheit den „natürlichen“ Vorsprung der Angreifer zunichte machen. Dennoch sollten Unternehmen immer multi-dimensional denken: Die Micro-Virtualisierung will beispielsweise die Antiviren-Software nicht ersetzen, sondern erweitern und den Kampf gegen Cyber-Kriminalität auf einer anderen Ebene führen.

Jochen Koehler, Regional Director DACH bei Bromium
Jochen Koehler, Regional Director DACH bei Bromium
(Bild: Bromium)

Weitere Informationen zu Bromium erhalten Sie hier.

* Jochen Koehler, Regional Director DACH bei Bromium

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.

(ID:44845917)