Bitdefender stellt erste agentenlose Hypervisor-Sicherheit vor

Martin Schindler,
Bitdefender (Grafik: Bitdefender)

Mit dem “Gottes-Modus” gegen unbekannte Attacken. Über die Kontrolle von Anwendungen im Arbeitsspeicher von virtualisierten Umgebungen kann Bitdefender einen neuartigen Hacking-Schutz anbieten.

Der Sicherheitsanbieter Bitdefender stellt die neue Lösung Hypervisor Introspection (HVI) vor. Damit bringt das Unternehmen laut eigenen Angaben die erste Sicherheitslösung für virtualisierte Umgebungen auf den Markt, die zu 100 Prozent ohne Agenten auskommt. Die Lösung richtet sich vor allem gegen so genannte Advanced Persistent Threats, also hochgradig spezialisierte Malware, die häufig gar nicht oder erst nach Monaten als solche erkannt wird.

“Die besondere Herausforderung heute ist”, so Carsten Böckelmann, Regional Sales Director DACH-NL bei Bitdefender vor Journalisten in München, “dass wir Malware sehen, die sauberer programmiert ist, als so manche Applikation.” Damit reichen heute Tools, die bis vor zwei drei Jahren noch ein ausreichendes Maß an Sicherheit boten, inzwischen längst nicht mehr aus.

Mit Hypervisor Introspection (HVI) lassen sich außerhalb des Betriebssystems Bedrohungen abfangen. (Bild: Bitdefender)
Mit Hypervisor Introspection (HVI) lassen sich außerhalb des Betriebssystems Bedrohungen abfangen. (Bild: Bitdefender)

Gegen diese Entwicklung soll die neue HVI-Lösung Abhilfe schaffen. Es ist laut Bitdefender die erste Lösung, die vollständig ohne Agenten auskommt und auch nicht vom Betriebssystem aus auf die Anwendungen schaut, sondern mit auf dem Hypervisor sitzt und von dort aus die Prozesse im Arbeitsspeicher überwacht. “Damit ist es für Hacker unmöglich, diese Lösung zu umgehen”, versichert Mirco Rohr, Global Evangelist bei Bitdefender. HVI sitze auf dem höchsten Ring (-1) und werde damit komplett außerhalb des Betriebssystems ausgeführt.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

zum E-Book-Download »
Carsten Böckelmann, Regional Sales Director DACH-NL bei Bitdefender, sieht immer ausgefeiltere Angriffe und die könnten vom Privatnutzer bis zum internationalen Konzern alle betreffen. (Bild: Martin Schindler)
Carsten Böckelmann, Regional Sales Director DACH-NL bei Bitdefender, sieht immer ausgefeiltere Angriffe und die könnten vom Privatnutzer bis zum internationalen Konzern alle betreffen. (Bild: Martin Schindler)

Die Lösung ist ab sofort für Citrix XenServer verfügbar. Für diese Überwachung greift HVI als Teil der Sicherheits-Konsole Gravityzone auf die XenServer Direct Inspect API zu. So kann HVI den Arbeitsspeicher des Hypervisors überwachen.

“Jede Malware braucht Arbeitsspeicher”, betont Rohr und hier setze auch die Lösung an. Durch die Aktionen im Arbeitsspeicher lasse sich sehr schnell erkennen, ob anomales Verhalten vorliege, so Rohr, denn im Grunde gebe es nur wenige Angriffsmethoden und diese würden als anomales Verhalten erkannt und dann blockiert. Somit könne die Lösung auch Schädlinge deaktivieren, die noch nicht bekannt oder gepatcht sind.

In der Pilotphase, die in den zurückliegenden Monaten lief, konnte sich das Konzept etwa im Kampf gegen den Schädling WannaCry und den Angriffsweg EternalBlue behaupten, auch schon bevor das Leck gepatcht wurde.

HVI ist laut Mirco Rohr, Global Evangelist Bitdefender eine Ergänzung zu weiteren Sicherheitstools. (Bild: Martin Schindler)
HVI ist laut Mirco Rohr, Global Evangelist Bitdefender eine Ergänzung zu weiteren Sicherheitstools. (Bild: Martin Schindler)

“Hypervisoren haben es Rechenzentren ermöglicht, Ressourcen besser zu nutzen, die Geschäftskontinuität zu verbessern und Workloads zu isolieren”, so Harish Agastya, Vice President für Unternehmenslösungen bei Bitdefender. Bislang habe niemand das Potenzial des Hypervisors in Sachen Sicherheit ausgeschöpft. “Man kann den Hypervisor für die Sicherheit nutzen und sich damit in einen allmächtigen ‘God Mode’ versetzen, um ausgeklügelte Attacken abzuwehren”, so Agastya weiter.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

zum Webinar »

Rohr erklärt, dass Bitdefender seit etwa fünf Jahren an der Lösung arbeitet. Die lange Entwicklungsdauer erkläre sich aber damit, dass die Lösung sehr nah “am Blech” operiere. Daher sei sie auch vollständig in Assembler programmiert, was die Arbeit zusätzlich erschwert habe. Zudem habe es eine Kooperation mit dem Prozessor-Hersteller Intel gegeben.

Christian Avram, Technical Trainer bei Bitdefender sieht den großen Unterschied zwischen anderen Sicherheitslösungen für Virtualisierung und HVI darin, dass HVI völlig ohne Agenten auskommt und die entsprechenden Informationen aus dem Arbeitsspeicher ausliest. Daher könne HVI mit derzeitigem Stand der Technik auch nicht umgangen werden. (Bild: Martin Schindler)
Christian Avram, Technical Trainer Manager bei Bitdefender, sieht den großen Unterschied zwischen anderen Sicherheitslösungen für Virtualisierung und HVI darin, dass HVI völlig ohne Agenten auskommt und die entsprechenden Informationen aus dem Arbeitsspeicher ausliest. Daher könne HVI mit derzeitigem Stand der Technik auch nicht umgangen werden. (Bild: Martin Schindler)

Cristian Avram, Technical Training Manager bei Bitdefender, erklärt, dass die Lösung den Zugriff auf den Arbeitsspeicher der Hypervisoren brauche. Und zudem “muss HVI wissen, wie ein Betriebssystem mit dem Arbeitsspeicher umgeht.” Das bedeutet, dass Bitdefender jedes einzelne Betriebssystem integrieren muss. Derzeit werden als Gastsysteme sämtliche Windows-Versionen bis zu Windows 7, sowie aktuelle Versionen von Windows Server und gängige Linux-Distributionen wie Ubuntu, Red Hat, CentOS und Debian unterstützt, wie aus einem Datenblatt hervorgeht (PDF). Als Anforderungen an den Host nennt Bitdefender Intel Sandy-Bridge-Prozessoren oder jünger mit Support für Virtualization Technology. Als Software wird derzeit XenServer ab Version 7 unterstützt.

“Citrix war hier sehr interessiert”, daher stehe HVI auch zuerst für Citrix zur Verfügung. Rohr ergänzt, dass die Technologie sich auch mit anderen Hypervisoren vertrage, doch sei es eben Grundvoraussetzung, dass die Lösung Zugriff auf die APIs habe. Man sei mit Microsoft und VMware im Gespräch, um auch für deren Hypervisoren künftig Support liefern zu können. Die Lösung steht ab sofort zur Verfügung und lässt sich als Modul in GravityZone oder Stand-alone in Form einer virtuellen Appliance verwenden.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.