Abkapseln statt erkennen
12.07.2016, 09:47 Uhr
Malware mit Micro-VMs abwehren
Ein neues Sicherheitskonzept setzt darauf, sämtliche Anwenderaktivitäten zu isolieren. Hierdurch soll Bedrohungen möglichst wenig Angriffsfläche geboten werden.
Der Endpunkt ist neben der Netzwerkinfrastruktur die zentrale Schwachstelle der Unternehmens-IT. Heute gängige Client-Sicherheitslösungen fokussieren auf die Erkennung von Angriffen, etwa unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Damit bieten sie allerdings keinen ausreichenden Schutz vor polymorphen Cyberbedrohungen, Zero-Day-Attacken und Advanced Persistent Threats.
Unternehmen nutzen zwar zunehmend Sandboxing-Lösungen, bei denen Applikationen in einer isolierten virtuellen Umgebung ausgeführt werden. Aber auch die Sandbox-Analyse erkennt neue zielgerichtete Attacken oft nicht. Zudem gibt es inzwischen zahlreiche Methoden, den Sandbox-Schutz zu umgehen.
Ein gänzlich anderes Lösungsmodell verfolgt Bromium mit seiner Micro-Virtualisierungstechnologie. Nicht das Erkennen von Schadcode oder das Aufspüren von Angriffen steht im Vordergrund, sondern die Isolierung aller potenziell gefährlichen Aktivitäten. Erreicht wird dies durch Hardware-isolierte Micro-VMs, mit denen alle Anwenderaktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, das Herunterladen eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines USB-Geräts.
Die Micro-Virtualisierungstechnologie basiert auf einem speziell im Hinblick auf die Sicherheit entwickelten Hypervisor und den integrierten Virtualisierungs-Features aller aktuellen CPU-Generationen. Mit diesem Lösungsansatz werden Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen realisiert. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt vom eigentlichen Betriebssystem und vom verbundenen Netzwerk.
Alle einzelnen – auch mit nur einer Applikation verbundenen – Aktivitäten werden voneinander isoliert, zum Beispiel unterschiedliche Seitenaufrufe in einem Browser oder das Öffnen verschiedener Dokumente mit Word, Excel oder anderen Anwendungen.
Reduzieren der Angriffsfläche
Das Konzept stützt sich auf drei Prinzipien, die alle darauf ausgerichtet sind, die potenzielle Angriffsfläche auf ein Minimum zu reduzieren: die geringe Anzahl von Lines of Code (LOC), der Least-Privilege-Ansatz und das Copy-on-Write-Verfahren.
Geringer Code-Umfang: Der Code ist deutlich kleiner als bei den meisten herkömmlichen Sicherheitsapplikationen. Sandboxing-Lösungen beispielsweise müssen eine extrem hohe Code-Basis – bis zu Millionen von Zeilen – aufweisen, um Systemumgebungen nachbilden zu können. Die Micro-Virtualisierung hingegen kommt mit lediglich 100.000 Programmzeilen aus, wobei die relevante Schnittstelle zwischen Micro-VM und Gesamtsystem nur 10.000 Zeilen umfasst. Es liegt auf der Hand, dass mit einer höheren Anzahl von Code-Zeilen auch die Gefahr potenzieller Schwachstellen steigt.
Least-Privilege-Konzept: In der Micro-VM werden immer nur die Systemressourcen wie Netzwerkservices oder Dateien verfügbar gemacht, die für einen bestimmten Prozess erforderlich sind. Sobald dieser Prozess beendet ist, zerstört sich die Micro-VM selbst – und zwar mit der gesamten Malware, die sie unter Umständen enthält.
Copy-on-Write: Bei diesem Verfahren werden alle erforderlichen Ressourcen und Daten geklont und in der Micro-VM im temporären Speicher bereitgestellt. Das heisst, dass schadhafte Änderungen auch nur isoliert in der Micro-VM durchgeführt werden können. Damit haben sie keinerlei Auswirkung auf das Host-System und können sich auch nicht ausbreiten.
Auch wenn die Micro-Virtualisierung im Prinzip das Sandboxing-Konzept aufgreift, so unterscheidet sie sich technisch doch stark. Klassisches Sandboxing ist softwarebasiert, während Micro-Virtualisierung im Prozessor und damit in der Hardware stattfindet. Das bedeutet auch, dass im Fall einer Sandbox-Kompromittierung als einziger Schutzmechanismus die Standard-Betriebssystemsicherheit übrig bleibt. Die Hardware-Virtualisierung bringt im Gegensatz dazu ein erhebliches Sicherheits-Plus, denn eine CPU-Kompromittierung dürfte für einen Angreifer erheblichen Aufwand bedeuten.
Nutzerkomfort bleibt erhalten
Durch die Isolierung aller potenziell gefährlichen Prozesse erreicht Malware nie das eigentliche Betriebssystem und kann somit weder lokal noch im Netzwerk Schaden anrichten oder zu einem Datendiebstahl führen. Auch Systeme, die beispielsweise nicht auf dem aktuellen Upgrade- oder Patch-Stand sind, bleiben damit umfassend geschützt.
Darüber hinaus macht die Lösung kein zeitaufwendiges und kostenintensives Neuaufsetzen kompromittierter Rechner erforderlich, da eine mögliche Schädigung auf die jeweilige Micro-VM beschränkt ist und diese automatisch nach Beendigung einer Aktivität, beispielsweise dem Schliessen einer Datei oder eines Browser-Tabs, gelöscht wird. Eine Ausbreitung von Schadcode ist damit ausgeschlossen.
Nicht zuletzt bietet die Lösung den Vorteil, dass sie für den einzelnen Anwender im Hintergrund läuft, ohne dass er in Benutzerkomfort oder System-Performance Einschränkungen erleidet. Bei den heutigen Rechnergenerationen erfolgt das Laden einer Micro-VM in rund 20 Millisekunden.
Dieser Beitrag wurde von Jochen Koehler verfasst, Regional Director DACH bei Bromium.