Malware mit Micro-VMs abwehren

Reduzieren der Angriffsfläche

von - 11.07.2016
Jochen Koehler, Regional Director DACH, Bromium
Jochen Koehler, Regional Director DACH, Bromium: „Auch Systeme, die nicht auf dem aktuellsten Stand sind, bleiben umfassend geschützt.“
(Quelle: Bromium)
Das Konzept stützt sich auf drei Prinzipien, die alle darauf ausgerichtet sind, die potenzielle Angriffsfläche auf ein Minimum zu reduzieren: die geringe Anzahl von Lines of Code (LOC), der Least-Privilege-Ansatz und das Copy-on-Write-Verfahren.
Geringer Code-Umfang: Der Code ist deutlich kleiner als bei den meisten herkömmlichen Sicherheitsapplikationen. Sandboxing-Lösungen beispielsweise müssen eine extrem hohe Code-Basis – bis zu Millionen von Zeilen – aufweisen, um Systemumgebungen nachbilden zu können. Die Micro-Virtualisierung hingegen kommt mit lediglich 100.000 Programmzeilen aus, wobei die relevante Schnittstelle zwischen Micro-VM und Gesamtsystem nur 10.000 Zeilen umfasst. Es liegt auf der Hand, dass mit einer höheren Anzahl von Code­-Zeilen auch die Gefahr potenzieller Schwachstellen steigt.
Least-Privilege-Konzept: In der Micro-VM werden immer nur die Systemressourcen wie Netzwerkservices oder Dateien verfügbar gemacht, die für einen bestimmten Prozess erforderlich sind. Sobald dieser Prozess beendet ist, zerstört sich die Micro-VM selbst – und zwar mit der gesamten Malware, die sie unter Umständen enthält.
Copy-on-Write: Bei diesem Verfahren werden alle erforder­lichen Ressourcen und Daten geklont und in der Micro-VM im temporären Speicher bereitgestellt. Das heißt, dass schadhafte Änderungen auch nur isoliert in der Micro-VM durchgeführt werden können. Damit haben sie keinerlei Auswirkung auf das Host-System und können sich auch nicht ausbreiten.
Auch wenn die Micro-Virtualisierung im Prinzip das Sandboxing-Konzept aufgreift, so unterscheidet sie sich technisch doch stark. Klassisches Sandboxing ist softwarebasiert, während Micro-Virtualisierung im Prozessor und damit in der Hardware stattfindet. Das bedeutet auch, dass im Fall einer Sandbox-Kompromittierung als einziger Schutzmechanismus die Standard-Betriebssystemsicherheit übrig bleibt. Die Hardware-Virtualisierung bringt im Gegensatz dazu ein erhebliches Sicherheits-Plus, denn eine CPU-Kompromittierung dürfte für einen Angreifer erheblichen Aufwand bedeuten.
Seite
  1. Teil: Malware mit Micro-VMs abwehren
  2. Teil: Reduzieren der Angriffsfläche
  3. Teil: Nutzerkomfort bleibt erhalten
Verwandte Themen

Mehr zum Thema