Micro-VM: Besserer Malwareschutz durch Isolation
Sicherheitslösung von Bromium stellt Hacker vor Probleme
Heilbronn, 17. Mai 2016 – Herkömmliche Sicherheitslösungen bieten keinen 100-prozentigen Schutz vor Malware. Die Gründe: Sie sind auf die Erkennung von Schadcode angewiesen und weisen durch ihre hohe Komplexität auch zahlreiche Schwachstellen auf. Einen anderen Weg geht deshalb Bromium mit seiner Sicherheitssoftware, die gefährliche Tasks isoliert und damit die potenzielle Angriffsfläche für Hacker auf ein Minimum reduziert.
Die Abwehr von Cyber-Attacken ist heute ein zentrales IT-Thema. Mit traditionellen Sicherheitslösungen wie Intrusion-Prevention-Systemen, Antiviren-Software oder Next-Generation-Firewalls können neue Zero-Day-Attacken, Advanced Persistent Threats oder die aktuell grassierenden Ransomware-Trojaner kaum zuverlässig aufgespürt werden. „Wenn Hacker den Entwicklern von Sicherheitssoftware immer einen Schritt voraus sind, kann eine 100-prozentige Detektion von Malware naturgemäß nicht gewährleistet sein“, betont Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn.
Um das Problem der geringen Treffsicherheit gängiger Sicherheitsapplikationen zu umgehen, verfolgt Bromium mit seiner Lösung Bromium Endpoint Protection deshalb einen anderen Ansatz. Das zugrunde liegende Konzept lautet: Es steht nicht die Detektion von Schadcode oder das Aufspüren von Angriffen im Vordergrund, sondern der gezielte Schutz vor Malware. Realisiert wird dies durch Micro-Virtualisierung. Sie kapselt jede potenziell gefährliche Anwenderaktivität wie das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder den Zugriff auf die Daten eines USB-Geräts in einer eigenen Micro-VM. Kapselung bedeutet, dass die Ausbreitung von Schadcode durch hardwarebasierte Isolation verhindert wird.
„Isolieren statt Detektieren“ – so lautet folglich der Kern des Bromium-Lösungsmodells. „Das ist aber nur die eine Seite der Medaille“, sagt Jochen Koehler. „Genauso wichtig wie den Schadcode einzusperren, war es uns, bei unserer Lösung die potenzielle Angriffsfläche zu minimieren. Dies erfolgt durch drei zentrale technische Architekturkomponenten: die geringe Anzahl von Lines of Code (LOC), den Least-Privilege-Ansatz und das Copy-on-Write-Verfahren.“
Erstens zeichnet die Bromium-Lösung eine vergleichsweise geringe Anzahl von Codezeilen aus. Damit unterscheidet sie sich deutlich von herkömmlichen Sicherheitsapplikationen; Sandboxing-Lösungen zum Beispiel müssen eine extrem hohe Codebasis – bis zu Millionen Lines of Code – aufweisen, um Systemumgebungen nachbilden zu können. Bromium hingegen kommt mit lediglich 100.000 LOC aus, wobei die vor allem relevante Schnittstelle zwischen Micro-VM und Gesamtsystem nur 10.000 Codezeilen umfasst. Es liegt auf der Hand, dass mit einer höheren Anzahl von Codezeilen auch die Gefahr potenzieller Schwachstellen steigt, weil jede einzelne Codezeile letztendlich einen möglichen Angriffspunkt darstellt.
Zweitens liegt dem Bromium-Ansatz ein Least-Privilege-Konzept zugrunde. Das heißt, es werden in der Micro-VM immer nur diejenigen Systemressourcen wie Netzwerk-Services oder Files verfügbar gemacht, die für einen bestimmten Prozess erforderlich sind. Sobald dieser Prozess beendet ist, zerstört sich die Micro-VM selbst – und zwar mit der gesamten Malware, die sie unter Umständen enthält.
Und drittens nutzt Bromium ein so genanntes Copy-on-Write-Verfahren, bei dem alle erforderlichen Ressourcen und Daten geklont in der Micro-VM im temporären Speicher bereitgestellt werden. Das heißt, schadhafte Änderungen können auch nur isoliert in der Micro-VM durchgeführt werden. Damit haben sie keinerlei Auswirkung auf das Host-System und können sich auch nicht ausbreiten.
„Mit unserer Technologie machen wir Hackern das Leben schwer“, so Koehler. „Der personelle und finanzielle Aufwand, um hier ein Schlupfloch zu finden, dürfte eine sehr große Herausforderung sein, der sich renommierte Sicherheitsexperten im Rahmen von Penetrationstests bereits gestellt haben. Das Ergebnis – eine durchgehend positive Bewertung unserer Endpoint-Protection-Lösung – spricht für sich.“