Micro-Virtualisierung überwindet Sandboxing-Schwächen

 

Bei Sicherheitslösungen rückt zunehmend der Endpunkt ins Blickfeld, der sich als zentrale Schwachstelle im Unternehmensnetz erwiesen hat. Applikationen, die nur auf die Erkennung von Malware abzielen, oder auch Sandboxing-Lösungen bieten allerdings keinen ausreichenden Schutz. Wirkungsvoll kann Cyber-Gefahren nur mit Lösungen wie der Micro-Virtu­alisierung begegnet werden, die alle potenziell gefährlichen Aktivitäten isoliert.

Bisher wird der Markt von Client-Sicherheitsprodukten dominiert, die auf die Detektion fokussieren, unter Verwendung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Attacken aufzuspüren und dann innerhalb des Betriebssystems zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden, ist heute State-of-the-Art bei Softwarelösungen zur Sicherung von Endpunkten.

Die Bromium-Lösung kapselt alle Anwenderaktivitäten in eigenen Micro-VMs. (Quelle: Bromium)

Diese Technologien haben sich aber als unzulänglich erwiesen, da sie keinen zuverlässigen Schutz vor der wachsenden Zahl polymorpher Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten, mit denen sich Unternehmen weltweit zunehmend konfrontiert sehen. Die Crux klassischer Lösungen wie Next-Generation-Firewalls, Intrusion-Prevention-Systemen oder Antiviren-Software ist, dass sie auf die Malware-Erkennung angewiesen sind. Im Kontext der heute immer raffinierteren Attacken ist dieser Ansatz allerdings höchst problematisch, denn hier ist die Detektionsrate extrem gering.

Auch Sandboxing stösst an Grenzen

Unternehmen haben dies vielfach erkannt und sind einen Schritt weiter gegangen – und zwar in Richtung Sandboxing. Doch auch dieser Ansatz hat sich inzwischen weitgehend als unzureichend herausgestellt.

Es gibt zwar verschiedene Sandboxing-Lösungsansätze, eines ist ihnen aber gemeinsam: Dabei geht es prinzipiell immer um das Ausführen einer Applikation in einer isolierten virtuellen Umgebung. Um das Betriebssystem und den Betriebssystem-Kernel vor Malware zu schützen, muss eine Sandbox die Zugriffsmöglichkeiten auf Systemaufrufe oder Serviceschnittstellen, die eine Interprozesskommunikation ermöglichen, einschränken. Das bedeutet, dass eine Sandbox notwendiger Weise eine hohe Anzahl an Lines of Code aufweisen muss, um die eigentliche Systemumgebung nachzubilden. Beispielsweise besteht die Google Chrome Sandbox aus mehr als 1,5 Millionen Lines of Code. Sandboxes sind somit außergewöhnlich komplex und damit auch verwundbar. Jede einzelne Codezeile stellt schließlich einen potenziellen Angriffspunkt dar. Zudem resultiert aus der hohen Komplexität auch ein großer Ressourcenbedarf und damit die Notwendigkeit, extrem leistungsstarke Rechner einzusetzen.

Ein zentrales Problem von Sandboxing-Architekturen ist, dass es sich dabei um rein Software-basierte Lösungen handelt. Das heißt, im Falle einer Sandbox-Software-Kompromittierung verbleibt als einziger Schutzmechanismus die Standard-Betriebssystemsicherheit. Problematisch ist auch, dass Sandboxing keinen granularen Ansatz unterstützt, dass heißt nicht prozessorientiert agiert. Sandbox-Programme enthalten Applikationen wie Browser als Ganzes, und das bedeutet, dass im Fall einer Kompromittierung eines Teils einer Applikation dies Auswirkungen auf andere Teile der Applikation haben kann. Beispielsweise könnte Malware dann Zugriff auf Informationen in anderen Registerkarten eines Browsers haben.

Mit Sicherheit bedeutet die Sandboxing-Technologie gegenüber einer reinen Antiviren-Applikation einen Fortschritt. Insgesamt bietet aber die Sandbox-Analyse, auf die etliche Unternehmen inzwischen zusätzlich setzen, keinen zuverlässigen Schutz, denn auch sie erkennt neue zielgerichtete Attacken in der Regel nicht. Außerdem gibt es inzwischen zahlreiche Methoden für ein erfolgreiches Umgehen des Sandbox-Schutzes. Zum Beispiel statten Malware-Entwickler ihren Schadcode mit einer Zeitverzögerung aus, so dass er von der Sandbox nicht sofort zu erkennen ist. Zudem ist neuere Malware vielfach in der Lage, isolierte, simulierte Umgebungen zu erkennen und hier keinen Schadcode auszuführen beziehungsweise die Sandbox dann zunächst mit schadfreier Software ressourcenmäßig auszulasten. Für diese Methoden gibt es im Internet frei verfügbare Tools.

Applikations-Sandboxes bieten nicht zuletzt in der Regel auch einen eingeschränkten Funktionsumfang. Sie fokussieren auf Malware-Unter­bindung und -Eliminierung und liefern keine Aufschlüsse hinsichtlich konkreter Art und Weise der Attacke sowie im Hinblick auf den Angreifer, das heißt, sie bieten keine Erkenntnisse zu dem Ursprung, den Zielen und Methoden einer Attacke. Letztlich sind die Informationen, die eine Sandbox-Lösung liefert damit auch nicht besser als diejenigen einer Antiviren-Software.

Micro-Virtualisierung eliminiert Malware-Gefahr

Herkömmliche Lösungsansätze enthalten somit Schwächen, die katastrophale Folgen für ein Unternehmen nach sich ziehen können: Wird Malware nicht erkannt oder gelangt sie aus der Sandbox bis zum Kernel – beispielsweise durch einen Kernel-Mode-Exploit –, wird das System komplett kompromittiert.

Gefragt sind also andere Lösungen. Und hier bietet sich ein neues Konzept wie die Micro-Virtualisierung an. Der Grundgedanke dabei: Es steht nicht die Detektion von Schadcode im Vordergrund, sondern der Schutz vor Auswirkungen der Malware. Realisiert wird dies durch die Isolierung aller potenziell gefährlichen Aktivitäten. Damit besteht Schutz vor Malware, ohne diese als solche erkennen zu müssen.

Prinzipiell greift die Micro-Virtualisierung den Sandboxing-Gedanken auf, dass heißt die Ausführung potenziellen Schadcodes in einer simulierten beziehungsweise virtualisierten Umgebung. Allerdings stellt die Micro-Virtualisierung die Sandboxing-Methode auf ein gänzlich neues technisches Fundament. Ein zentraler Unterschied zwischen Micro-Virtualisierung und Sandboxing ist, dass Letzteres eine softwarebasierte Lösung ist, während Micro-Virtualisierung im Prozessor und damit in der Hardware stattfindet
. Der Malware-Schutz direkt am Endpunkt erfolgt hier durch Hardware-isolierte Micro-VMs, mit denen bestimmte Anwender-Aktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines USB-Geräts. Eine Kompromittierung des Endpunkts über einen dieser Angriffswege ist damit ausgeschlossen.

Das Dashboard des Bromium Enterprise Controller liefert einen detaillierten Überblick über den aktuellen Alarmierungsstatus. (Quelle: Bromium)

Konkret werden bei der Micro-Virtualisierung mittels eines speziell im Hinblick auf Sicherheit entwickelten Hypervisors und der integrierten Virtualisierungs-Features der aktuellen CPU-Generationen Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen realisiert. Jeder einzelne Prozess läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk. Das heißt, im Unterschied zu Sandboxing-Lösungen werden bei einem Micro-Virtuali­sierungsansatz alle einzelnen – auch mit nur einer Applikation verbundenen – Aktivitäten voneinander isoliert, zum Beispiel unterschiedliche Seitenaufrufe in einem Browser oder das Öffnen verschiedener Dokumente mit Word. Damit wird zuverlässig verhindert, dass sich Schadprogramme ausbreiten.

Die Zukunft heisst Micro-Virtualisierung

Die Abwehr von Cyber-Attacken ist heute ein zentrales IT-Thema. Dabei muss vor allem auch der einzelne Endpunkt als potenzielle Sicherheitslücke gesehen werden, sei es ein Desktop-PC, Notebook, Tablet oder Smartphone. Da sich die bisher in diesem Umfeld genutzten Applikationen als ungenügend erwiesen haben, sollten Unternehmen hier verstärkt über den Einsatz neuer Endpunkt-Lösungen nachdenken. Ein Beispiel hierfür sind Micro-Hypervisor-Technologien, die eine zuverlässige Endpunktsicherung durch Isolierung von Anwenderaktivitäten ermöglichen. Der innovative Ansatz dabei ist, dass nicht primär die Detektion von Schadcode, sondern vielmehr der Schutz vor Malware das Ziel ist. Mit diesem Paradigmenwechsel im Bereich der IT-Sicherheit ist ein Unternehmen auch vor den raffiniertesten Cyber-Attacken wirkungsvoll geschützt. Es gilt das Motto, dass der Malware-Sprengsatz explodieren darf, solange das nur in einem bombensicheren Raum passiert.

Autor:

Jochen Koehler ist Regional Director DACH bei Bromium in Heilbronn

 

%d Bloggern gefällt das: