Abkapseln statt erkennen

Malware mit Micro-VMs abwehren

von - 11.07.2016
PC mit Schutzschild
Foto: Grimgram / Shutterstock.com
Ein neues Sicherheitskonzept setzt darauf, sämtliche Anwenderaktivitäten zu isolieren. Hierdurch soll Bedrohungen möglichst wenig Angriffsfläche geboten werden.
Der Endpunkt ist neben der Netzwerkinfrastruktur die zentrale Schwachstelle der Unternehmens-IT. Heute gängige Client-Sicherheitslösungen fokussieren auf die Erkennung von Angriffen, etwa unter Nutzung von Signatu­ren, Verhaltensanalysen oder heuristischen Methoden. Damit bieten sie allerdings keinen ausreichenden Schutz vor polymorphen Cyberbedrohungen, Zero-Day-Attacken und Advanced Persistent Threats.
Bromium
Getrennt von Betriebssystem und Netzwerk: Jeder Task läuft in einer Micro-VM.
Unternehmen nutzen zwar zunehmend Sandboxing-Lösungen, bei denen Applikationen in einer isolierten virtuellen Umgebung ausgeführt werden. Aber auch die Sandbox-Analyse erkennt neue zielgerichtete Attacken oft nicht. Zudem gibt es inzwischen zahlreiche Methoden, den Sandbox-Schutz zu umgehen.
Ein gänzlich anderes Lösungsmodell verfolgt Bromium mit seiner Micro-Virtualisierungstechnologie. Nicht das Erkennen von Schadcode oder das Aufspüren von Angriffen steht im Vordergrund, sondern die Isolierung aller potenziell gefährlichen Aktivi­täten. Erreicht wird dies durch Hardware-isolierte Micro-VMs, mit denen alle Anwenderaktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, das Herunterladen eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines USB-Geräts.
Die Micro-Virtualisierungstechnologie basiert auf einem speziell im Hinblick auf die Sicherheit entwickelten Hypervisor und den integrierten Virtualisierungs-Features aller aktuellen CPU-Generationen. Mit diesem Lösungsansatz werden Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen realisiert. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt vom eigentlichen Betriebssystem und vom verbundenen Netzwerk.
Alle einzelnen – auch mit nur einer Applikation verbundenen – Aktivitäten werden voneinander isoliert, zum Beispiel unterschiedliche Seitenaufrufe in einem Browser oder das Öffnen verschiedener Dokumente mit Word, Excel oder anderen Anwendungen.
Verwandte Themen