Micro-Virtualisierung gegen Cyber-Bedrohungen

Antiviren-Software und Firewalls können nicht zuverlässig schützen

Die Redaktion sprach mit Jochen Koehler, Regional Director DACH bei Bromium über neue software-technische Ansätze gegen Cyber-Bedrohungen.

Herr Koehler, bitte erklären Sie uns kurz das Konzept „Micro-Virtualisierung“?

In einem Satz: Micro-Virtualisierung ist die Isolation von gefährlichen Vorgängen weg vom eigentlichen Client-Betriebssystem.

Gängige Sicherheitslösungen wie Intrusion-Prevention-Systeme, Antiviren-Software oder Next-Generation-Firewalls fokussieren hingegen auf die Detektion von Angriffen, beispielsweise unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Attacken aufzuspüren und dann innerhalb des Betriebssystems zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden, ist State-of-the-Art bei Softwarelösungen zur Sicherung von Endpunkten.

All diese Anwendungen haben aber einen gravierenden Nachteil:
Sie können keinen zuverlässigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten. Der Grund ist klar, denn diese Lösungen sind auf die Erkennung von Schadsoftware angewiesen und bei neuer Malware stoßen sie prinzipbedingt an ihre Grenzen.

Bromium setzt deshalb auf einen anderen Lösungsansatz.
Die zentrale Idee dahinter ist, dass nicht die Detektion von Schadcode oder das Aufspüren von Angriffen im Vordergrund steht, sondern der gezielte Schutz vor Malware, die zudem nicht zwingend als solche erkannt werden muss.

Realisiert wird dies durch die Isolierung aller potenziell gefährlichen Aktivitäten.
Zentrale Bestandteile der Lösung sind ein speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Eine hohe Sicherheit ist gerade durch die Hardware-Virtualisierung gewährleistet, denn eine CPU-Kompromittierung wäre für einen potenziellen Angreifer mit einem beträchtlichen Aufwand verbunden.

Können Sie die Funktionsweise ihrer Lösung kurz skizzieren?

Bei der Bromium-Lösung werden Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen erzeugt. Solche potenziell gefährlichen Anwenderaktivitäten können etwa das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums sein. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk.

Konkret heißt das, dass alle einzelnen – auch mit nur einer Applikation verbundenen – Aktivitäten voneinander isoliert werden, zum Beispiel unterschiedliche Seitenaufrufe in einem Browser oder das Öffnen verschiedener Dokumente mit Word, Excel, Powerpoint oder anderen Anwendungen. Damit wird zuverlässig verhindert, dass sich Schadprogramme ausbreiten.
Eine Kompromittierung des Endpunkts und letztlich des Unternehmensnetzes über einen dieser Angriffswege ist damit gänzlich ausgeschlossen.

Führt ihre Lösung nicht zu einer Beeinträchtigung der Performance?

Nein, die Lösung bietet Sicherheit ohne Beeinträchtigung des Benutzerkomforts. Die Lösung läuft für den einzelnen Anwender vollständig im Hintergrund, ohne dass er dabei Einschränkungen hinsichtlich Benutzerkomfort oder Systemperformance hat.
Bei den heutigen Rechnergenerationen erfolgt das Laden einer Micro-VM in rund 20 Millisekunden und damit für den Endanwender kaum „spürbar“. Die minimalen Systemanforderungen liegen bei 4 GB Arbeitsspeicher für die einzelnen Client-Rechner.

Wie integrieren Sie bei Ihren Kunden Ihre Lösung in die vorhandene Infrastruktur?

Bei der Implementierung gibt es keine besonderen Anforderungen. Letztlich kann die Lösung wie jede andere Desktop-Komponente behandelt werden, da sie als Standard-MSI (Microsoft Windows Installer)-Paketierungslösung bereitgestellt wird. Der Rollout der Lösung kann etwa auch problemlos mit vorhandenen Softwareverteilungssystemen wie Microsoft SCCM (System Center Configuration Manager) erfolgen.

In einem zweiten Schritt ist eine Anbindung an zentrale Policy-Management-Lösungen nahtlos möglich; dabei können zum Beispiel Verzeichnisdienste wie das Microsoft Active Directory genutzt werden. Letzter Implementierungsschritt ist dann die Anbindung der Bromium-Lösung an das zentrale Security-Monitoring, das heißt an vorhandene SIEM (Security Information and Event Management)-Systeme.

Können Sie uns einen Ausblick geben, wie sich Ihre Technologie entwickeln wird?

Generell gehen wir davon aus, dass im Bereich Sicherheit die Virtualisierung das beherrschende Thema der nahen Zukunft sein wird.
Prominentes Beispiel dafür ist Microsoft. Das Unternehmen bietet bei der Enterprise-Edition des aktuellen Betriebssystems Windows 10 den Device Guard an, der Hardware- und Softwaresicherheitsfeatures miteinander kombiniert.

Zentrale Komponente ist dabei die Virtualization-Based Security (VBS).
Damit werden zentrale Betriebssystem-Services isoliert, so dass im Falle einer Kompromittierung des Betriebssystems kein Diebstahl von unternehmenskritischen Daten erfolgen kann.
Zudem beabsichtigt Microsoft auch bei seinem Browser Edge auf Virtualisierung zu setzen. So soll künftig die Option bestehen, den Browser in einer eigenen virtuellen Maschine auszuführen.

Ein weiteres Beispiel für den zunehmenden Virtualisierungstrend sind virtuelle „Surfumgebungen“, dass heißt Lösungen, die auf einem getrennten dedizierten Webbrowser basieren.

Auch Bromium wird den eingeschlagenen Virtualisierungsweg weitergehen.
Die Richtung lautet „Isolation von kompletten Applikationen mittels Micro-Virtualisierung“. Damit können dann sensible Anwendungen umfassend und wirksam geschützt werden.

Die Einsatzszenarien dafür sind weitreichend. Denkbar sind klassische unternehmenskritische Applikationen wie Kernbankensysteme oder Bestandsführungssysteme von Versicherungen, aber auch neue Anwendungen im Umfeld des Internets der Dinge, etwa im Bereich Connected Car.

 

Vielen Dank, Herr Koehler!

 

Jochen Koehler, Regional Director DACH

Weiterführende Informationen:

Bromium

 

Aufmacher / Lizenz / Quelle

By Starkus01 (Own work) CC BY-SA 4.0 , via Wikimedia Commons