Micro-Virtualisierung: Neue Waffe in der Malware-Bekämpfung

Isolieren statt Detektieren: So lautet ein neuer Lösungsansatz in der Malware-Abwehr. Er setzt am Endpunkt an und überwindet die Grenzen herkömmlicher Sicherheitslösungen, die auf die Malware-Erkennung angewiesen sind. Das neue Konzept basiert auf der Micro-Virtualisierungstechnologie von Bromium. Von Jochen Koehler, Bromium.

In der Vergangenheit lag der Fokus im Bereich IT-Sicherheit auf der Netzwerk-Infrastruktur. In letzter Zeit ist aber auch der Endpunkt verstärkt ins Blickfeld gerückt – und zwar als zentrale Schwachstelle im Unternehmensnetz. Heute gängige Client-Sicherheitslösungen fokussieren dabei auf die Detektion von Angriffen, beispielsweise unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Attacken aufzuspüren und dann innerhalb des Betriebssystems zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden, ist heute State-of-the-Art bei Softwarelösungen zur Sicherung von Endpunkten.

All diese Anwendungen haben aber einen gravierenden Nachteil: Sie können keinen zuverlässigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten. Der Grund ist klar: Herkömmliche Lösungen wie Intrusion-Prevention-Systeme oder Antiviren-Software, aber auch Next-Generation-Firewalls sind auf die Malware-Erkennung angewiesen. Unternehmen nutzen deshalb auch zunehmend Sandboxing-Lösungen, bei denen Applikationen in einer isolierten virtuellen Umgebung ausgeführt werden. Aber auch die Sandbox-Analyse bietet keinen ausreichenden Schutz, denn auch sie erkennt neue zielgerichtete Attacken in der Regel nicht. Außerdem gibt es inzwischen zahlreiche Methoden für ein erfolgreiches Umgehen des Sandbox-Schutzes. Zum Beispiel statten Malware-Entwickler ihren Schadcode mit einer Zeitverzögerung aus, so dass er von der Sandbox nicht sofort zu erkennen ist.

Micro-Virtualisierung macht Angriffe unwirksam
Traditionell genutzte Lösungen sind somit unzureichend. Abgesehen davon, dass ihre „mangelnde Treffsicherheit“ zu einer hohen Zahl von False Positives und False Negatives führt, können sie auch das Unternehmensnetz nicht zuverlässig schützen: Wird Malware nicht erkannt oder zielt sie beispielsweise direkt auf den Kernel ab – etwa durch einen Kernel-Mode-Exploit –, wird das System komplett kompromittiert.

Das zentrale Problem bisheriger Ansätze in der IT-Sicherheit ist, dass ein 100-prozentiges Erkennen von Malware eine reine Utopie ist und auch bleiben wird. Ein gänzlich anderes Lösungsmodell verfolgt deshalb auch das 2010 in Cupertino im Silicon Valley gegründete Unternehmen Bromium mit seiner Micro-Virtualisierungstechnologie. Das zugrunde liegende Konzept dabei lautet: Es steht nicht die Detektion von Schadcode oder das Aufspüren von Angriffen im Vordergrund, sondern der gezielte Schutz vor Malware, wobei diese nicht zwingend als solche erkannt werden muss. Realisiert wird dies durch die Isolierung aller potenziell gefährlichen Aktivitäten.

Vereinfacht ausgedrückt erfolgt bei der Bromium-Lösung der Malware-Schutz direkt am Endpunkt durch Hardware-isolierte Micro-VMs, mit denen alle Anwender-Aktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines USB-Geräts. Eine Kompromittierung des Endpunkts über einen dieser Angriffswege ist damit ausgeschlossen.

Die Micro-Virtualisierungstechnologie basiert auf dem Bromium Microvisor, einem Xen-basierten, speziell im Hinblick auf Sicherheit entwickelten Hypervisor, und den integrierten Virtualisierungs-Features aller aktuellen CPU-Generationen. Mit diesem Lösungsansatz werden Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen realisiert. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk. Konkret heißt das, dass alle einzelnen – auch mit nur einer Applikation verbundenen – Aktivitäten voneinander isoliert werden, zum Beispiel unterschiedliche Seitenaufrufe in einem Browser oder das Öffnen verschiedener Dokumente mit Word, Excel oder anderen Anwendungen. Damit wird zuverlässig verhindert, dass sich Schadprogramme ausbreiten.

Die potenzielle Angriffsfläche wird minimiert
Unter technischen Gesichtspunkten kennzeichnen die Bromium-Lösung drei zentrale Komponenten: die geringe Anzahl von Lines of Code (LOC), der Least-Privilege-Ansatz und das Copy-on-Write-Verfahren. Alle drei Elemente sind darauf ausgerichtet, die potenzielle Angriffsfläche auf ein Minimum zu reduzieren.

Erstens wird dies durch die minimale Anzahl von Codezeilen realisiert. Die Bromium-Lösung unterscheidet sich dabei deutlich von herkömmlichen Sicherheitsapplikationen; Sandboxing-Lösungen zum Beispiel müssen eine extrem hohe Codebasis – bis zu Millionen Lines of Code – aufweisen, um Systemumgebungen nachbilden zu können. Bromium hingegen kommt mit lediglich 100.000 LOC aus, wobei die vor allem relevante Schnittstelle zwischen Micro-VM und Gesamtsystem nur 10.000 Codezeilen umfasst. Es liegt auf der Hand, dass mit einer höheren Anzahl von Codezeilen auch die Gefahr potenzieller Schwachstellen steigt, weil jede einzelne Codezeile letztendlich einen möglichen Angriffspunkt darstellt.

Zweitens liegt dem Bromium-Ansatz ein Least-Privilege-Konzept zugrunde. Das heißt, es werden in der Micro-VM immer nur diejenigen Systemressourcen wie Netzwerk-Services oder Files verfügbar gemacht, die für einen bestimmten Prozess erforderlich sind. Sobald dieser Prozess beendet ist, zerstört sich die Micro-VM selbst – und zwar mit der gesamten Malware, die sie unter Umständen enthält.
Und drittens nutzt Bromium ein so genanntes Copy-on-Write-Verfahren, bei dem alle erforderlichen Ressourcen und Daten geklont in der Micro-VM im temporären Speicher bereitgestellt werden. Das heißt, schadhafte Änderungen können auch nur isoliert in der Micro-VM durchgeführt werden. Damit haben sie keinerlei Auswirkung auf das Host-System und können sich auch nicht ausbreiten.

Hardware-Virtualisierung bringt zusätzliche Sicherheit
Auch wenn die Micro-Virtualisierung im Prinzip das Sandboxing-Konzept aufgreift, so basiert sie doch auf einem völlig neuen technischen Fundament. Ein zentraler Unterschied liegt darin, dass Sandboxing eine softwarebasierte Lösung ist, während Micro-Virtualisierung im Prozessor und damit in der Hardware stattfindet. Das bedeutet auch, dass im Falle einer Sandbox-Software-Kompromittierung als einziger Schutzmechanismus die Standard-Betriebssystemsicherheit übrig bleibt. Die Hardware-Virtualisierung bringt im Gegensatz dazu ein erhebliches Sicherheitsplus, denn eine CPU-Kompromittierung dürfte für einen potenziellen Angreifer einen erheblichen Aufwand bedeuten.

Effektiver Schutz schränkt Benutzerkomfort nicht ein
Die neue Lösung von Bromium bietet mehrere Vorteile: Durch die Isolierung aller potenziell gefährlichen Prozesse erreicht Malware nie das eigentliche Betriebssystem und kann somit weder lokal noch im Netzwerk Schaden anrichten oder zu einem Datendiebstahl führen. Auch Systeme, die beispielsweise nicht auf aktuellem Upgrade- oder Patch-Stand sind, bleiben damit umfassend geschützt. Darüber hinaus macht die Lösung kein zeitaufwändiges und kostenintensives Neuaufsetzen von kompromittierten Rechnern erforderlich, da eine mögliche Schädigung auf die jeweilige Micro-VM beschränkt ist und diese automatisch nach Beendigung einer Aktivität, beispielsweise dem Schließen eines Files oder Browser-Tabs, gelöscht wird; eine Ausbreitung von Schadcode ist damit ausgeschlossen. Nicht zuletzt bietet die Lösung den Vorteil, dass sie für den einzelnen Anwender im Hintergrund läuft, ohne dass er dabei Einschränkungen hinsichtlich Benutzerkomfort oder Systemperformance hat. Bei den heutigen Rechnergenerationen erfolgt das Laden einer Micro-VM in rund 20 Millisekunden.

Die Zukunft liegt in der Micro-Virtualisierung
Die Abwehr von Cyber-Attacken ist heute ein zentrales IT-Thema und zunehmend wird dabei auch der einzelne Endpunkt als potenzielle Sicherheitslücke erkannt. Traditionelle Lösungen können dabei nur bedingt weiterhelfen. Mit seinem neuen Lösungsansatz umgeht Bromium das Problem herkömmlicher Sicherheitsapplikationen, die strukturbedingt keinen zuverlässigen Schutz bieten können, da sie auf das Aufspüren von Malware angewiesen sind und mit der dynamischen Weiterentwicklung von Schadsoftware kaum Schritt halten können. Der innovative Ansatz dabei ist, dass nicht primär die Detektion von Schadcode, sondern vielmehr der Schutz vor Malware das Ziel ist.