Sie sind hier: HomeTelekommunikation

Malware-Abwehr: Isolieren statt detektieren

Isolieren lautet die derzeit beste Methode in der Malware-Abwehr. Sie überwindet die Grenzen herkömmlicher Lösungen, die auf die Malware-Erkennung angewiesen sind. Das Konzept basiert auf der Micro-Virtualisierungstechnologie, die durch Isolation die meisten Cyber-Attacken wirkungslos macht.

Schadsoftware entdeckt man erst, wenn es bereits zu spät ist Bildquelle: © Nicescene – Shutterstock

Schadsoftware entdeckt man häufig erst, wenn es bereits zu spät ist.

Unternehmen und Behörden geraten zunehmend ins Visier von Cyber-Angreifern. Vor allem Phishing-Mails und maligne Downloads stellen eine immense Gefahr dar, die klassische Sicher-heitsmaßnahmen nicht beseitigen können. Es vergeht kaum ein Tag, an dem nicht neue Phishing-Mails mit gefährlicher Schadsoftware auftauchen. Auch Social Engineering, das vor allem in Form von Spear-Phishing-Mails auftritt, liegt momentan im Trend und stellt eine große Bedrohung für jedes Sicherheitssystem dar. Ein erhebliches Problem für Unternehmen und Behörden ist zudem das Öffnen und Bearbeiten von Dokumenten aus nicht vertrauenswürdigen Quellen. Dabei besteht immer die Gefahr, Opfer von Malware zu werden, sei es durch das Klicken auf Weblinks, durch die Installation von Programmen oder das Starten von FTP-Filetransfers. Die Angriffswege der Hacker sind dabei äußerst vielfältig. Zu den aktuellen Varianten zählen etwa Fake-Updates, URL-Weiterleitungen, DNS-Manipulationen, fingierte Treiber und Systemtools oder Watering Hole Attacks („Wasserloch-Attacken“).

Schutz auch vor unbekannter Schadsoftware
Es ist unmöglich, den durch E-Mails und Downloads bestehenden Gefahren mit klassischen Antiviren (AV)-Programmen erfolgreich zu begegnen. Ihr Problem besteht darin, dass sie zum Beispiel unter Nutzung von Signaturen auf die Malware-Erkennung angewiesen sind. Bisher unbekannte Schadsoftware wie einen neuen Virus in einem E-Mail-Anhang können sie damit kaum aufspüren. Selbst wenn Lösungen wie Next-Generation-AV-Produkte mit einer Erkennungsrate von 99 Prozent werben, bezieht sich auch das nur auf bereits bekannten Schadcode. Was immer bleibt, ist eine gefährliche Lücke nicht detektierbarer Malware.

Und diese Lücke schließt die Micro-Virtualisierungstechnologie, wie sie Bromium bei seiner Software Secure Platform einsetzt. Zentrale Lösungsbestandteile sind ein Xen-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Das heißt, der Hypervisor nutzt die Hardware-Virtualisierung moderner Prozessoren. Dazu zählen die Intel-CPUs mit Core i3, i5 oder i7 und mit Intel Virtualization Technology (Intel VT) und Extended Page Tables (EPT). Darüber hinaus werden auch AMD-Prozessoren mit Rapid Virtualization Indexing (RVI) unterstützt.

Jochen Koehler, Bromium Bildquelle: © Bromium

Jochen Koehler ist Regional VP Sales Europe bei Bromium in Heilbronn

Basierend auf dieser Technologie werden Hardware-isolierte Micro-Virtual-Machines (VMs) realisiert, die alle riskanten Anwen-deraktivitäten mit Daten aus fremden Quellen kapseln. Dazu gehören das Aufrufen einer unternehmensfremden Webseite über Links in Dokumenten oder E-Mails, das Herunterladen einer Datei von solchen Webseiten, das Öffnen und Bearbeiten eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums.

Jeder einzelne Task läuft bei der Bromium-Lösung in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk. Mögliche Schädigungen bleiben immer auf die jeweilige virtuelle Instanz begrenzt, die zudem nach Beendigung einer Aktivität, etwa dem Speichern eines Files oder dem Schließen eines Browser-Tabs, automatisch gelöscht wird. Eine Infizierung des Endgeräts selbst mit neuer, bisher unbekannter Schadsoftware und nachfolgend des Unternehmens- oder Behördennetzes über einen dieser Wege ist damit nahezu ausgeschlossen.