Micro-Virtualisierung als Waffe zur Malware-Bekämpfung

Die Bromium-Lösung kapselt alle Anwenderaktivitäten in eigenen Micro-VMs. (Quelle: Bromium)

Micro-Virtualisierung setzt am Endpunkt an und überwindet die Grenzen herkömmlicher Sicherheitslösungen, die auf die Malware-Erkennung angewiesen sind. Jochen Koehler von Bromium erklärt im Gastbeitrag für silicon.de die Vorteile im Detail.

In der Vergangenheit lag der Fokus im Bereich IT-Sicherheit auf der Netzwerk-Infrastruktur. In letzter Zeit ist aber auch der Endpunkt verstärkt ins Blickfeld gerückt – und zwar als zentrale Schwachstelle im Unternehmensnetz. Heute gängige Client-Sicherheitslösungen konzentrieren sich auf die Detektion von Angriffen. Sie nutzen dazu beispielsweise Signaturen, Verhaltensanalysen oder heuristische Methoden. Attacken aufzuspüren und dann innerhalb des Betriebssystems zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden, ist heute State-of-the-Art bei Softwarelösungen zur Sicherung von Endpunkten.

Jochen Koehler, der Autor dieses Gastbeitrags für silicon.de, ist Regional Director DACH bei Bromium in Heilbronn (Quelle: Bromium)
Jochen Koehler, der Autor dieses Gastbeitrags für silicon.de, ist Regional Director DACH bei Bromium in Heilbronn (Quelle: Bromium)

All diese Anwendungen haben aber einen gravierenden Nachteil: Sie können keinen zuverlässigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten. Der Grund dafür ist, dass herkömmliche Lösungen wie Intrusion-Prevention-Systeme oder Antiviren-Software, aber auch Next-Generation-Firewalls auf die Malware-Erkennung angewiesen sind.

Unternehmen nutzen deshalb auch zunehmend Sandboxing-Lösungen, bei denen Applikationen in einer isolierten, virtuellen Umgebung ausgeführt werden. Aber auch die Sandbox-Analyse bietet keinen ausreichenden Schutz, denn auch sie erkennt neue zielgerichtete Attacken in der Regel nicht. Außerdem gibt es inzwischen zahlreiche Methoden um den Sandbox-Schutz erfolgreich zu umgehen. Zum Beispiel statten Malware-Entwickler ihren Schadcode mit einer Zeitverzögerung aus, so dass er von der Sandbox nicht sofort zu erkennen ist.

Micro-Virtualisierung macht Angriffe unwirksam

Traditionell genutzte Lösungen sind somit unzureichend. Abgesehen davon, dass ihre „mangelnde Treffsicherheit“ zu einer hohen Zahl von False Positives und False Negatives führt, können sie auch das Unternehmensnetz nicht zuverlässig schützen: Wird Malware nicht erkannt oder zielt sie beispielsweise direkt auf den Kernel ab – etwa durch einen Kernel-Mode-Exploit –, wird das System komplett kompromittiert.

Das zentrale Problem bisheriger Ansätze in der IT-Sicherheit ist, dass ein 100-prozentiges Erkennen von Malware eine reine Utopie ist und auch bleiben wird.

Ein gänzlich anderes Lösungsmodell verfolgt das 2010 in Cupertino im Silicon Valley gegründete Unternehmen Bromium mit seiner Technologie der Micro-Virtualisierung. Das zugrunde liegende Konzept dabei ist, nicht die Detektion von Schadcode oder das Aufspüren von Angriffen in den Vordergrund zu stellen, sondern den gezielten Schutz vor Malware, wobei diese nicht zwingend als solche erkannt werden muss. Realisiert wird dies durch die Isolierung aller potenziell gefährlichen Aktivitäten.

Die Bromium-Lösung kapselt alle Anwenderaktivitäten in eigenen Micro-VMs. (Quelle: Bromium)
Die Bromium-Lösung kapselt alle Anwenderaktivitäten in eigenen Micro-VMs. (Quelle: Bromium)

Vereinfacht ausgedrückt erfolgt bei Micro-Virtualisierung der Malware-Schutz direkt am Endpunkt durch Hardware-isolierte Micro-VMs, mit denen alle Anwender-Aktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, der Download eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines USB-Geräts. Eine Kompromittierung des Endpunkts über einen dieser Angriffswege ist damit ausgeschlossen.

Die Micro-Virtualisierungstechnologie basiert auf dem Bromium Microvisor, einem Xen-basierten, speziell im Hinblick auf Sicherheit entwickelten Hypervisor, und den integrierten Virtualisierungs-Features aller aktuellen CPU-Generationen. Mit diesem Lösungsansatz werden Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen realisiert. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk.

Das Dashboard des Bromium Enterprise Controller liefert einen detaillierten Überblick über den aktuellen Alarmierungsstatus. (Quelle: Bromium)
Das Dashboard des Bromium Enterprise Controller liefert einen detaillierten Überblick über den aktuellen Alarmierungsstatus. (Quelle: Bromium)

Konkret heißt das, dass alle einzelnen – auch mit nur einer Applikation verbundenen – Aktivitäten voneinander isoliert werden, zum Beispiel unterschiedliche Seitenaufrufe in einem Browser oder das Öffnen verschiedener Dokumente mit Word, Excel oder anderen Anwendungen. Damit wird zuverlässig verhindert, dass sich Schadprogramme ausbreiten.

Die potenzielle Angriffsfläche wird minimiert

Dem Bromium-Ansatz liegt auch ein Least-Privilege-Konzept zugrunde. Das heißt, es werden in der Micro-VM immer nur diejenigen Systemressourcen wie Netzwerk-Services oder Files verfügbar gemacht, die für einen bestimmten Prozess erforderlich sind. Sobald dieser Prozess beendet ist, zerstört sich die Micro-VM selbst – und zwar mit der gesamten Malware, die sie unter Umständen enthält.

Außerdem nutzt Bromium ein so genanntes Copy-on-Write-Verfahren, bei dem alle erforderlichen Ressourcen und Daten geklont in der Micro-VM im temporären Speicher bereitgestellt werden. Das heißt, schadhafte Änderungen können auch nur isoliert in der Micro-VM durchgeführt werden. Damit haben sie keinerlei Auswirkung auf das Host-System und können sich auch nicht ausbreiten.

Hardware-Virtualisierung bringt zusätzliche Sicherheit

Auch wenn die Micro-Virtualisierung im Prinzip das Sandboxing-Konzept aufgreift, basiert sie doch auf einem völlig neuen technischen Fundament. Ein zentraler Unterschied liegt darin, dass Sandboxing eine softwarebasierte Lösung ist, während Micro-Virtualisierung im Prozessor und damit in der Hardware stattfindet.

Das bedeutet auch, dass im Falle einer Sandbox-Software-Kompromittierung als einziger Schutzmechanismus die Standard-Betriebssystemsicherheit übrig bleibt. Die Hardware-Virtualisierung bringt im Gegensatz dazu ein erhebliches Sicherheitsplus, denn eine CPU-Kompromittierung dürfte für einen potenziellen Angreifer einen erheblichen Aufwand bedeuten.

Update-Status spielt kaum noch eine Rolle

Die Isolierung aller potenziell gefährlichen Prozesse sorgt dafür, dass Malware nie das eigentliche Betriebssystem erreicht. Sie kann somit weder lokal noch im Netzwerk Schaden anrichten oder zu einem Datendiebstahl führen. Auch Systeme, die beispielsweise nicht auf aktuellem Upgrade- oder Patch-Stand sind, bleiben damit umfassend geschützt.

Auch kompromittierte Rechner neu aufzusetzen ist nicht mehr erforderlich. Eine mögliche Schädigung ist ja auf die jeweilige Micro-VM beschränkt. Da die automatisch nach Beendigung einer Aktivität, beispielsweise dem Schließen eines Files oder Browser-Tabs, gelöscht wird, ist die Ausbreitung von Schadcode ausgeschlossen.

Nicht zuletzt bietet die Lösung den Vorteil, dass sie für den einzelnen Anwender im Hintergrund läuft, ohne dass er dabei Einschränkungen hinsichtlich Benutzerkomfort oder Systemperformance hat. Bei den heutigen Rechnergenerationen erfolgt das Laden einer Micro-VM in rund 20 Millisekunden.