Im Interview: Jochen Koehler, Bromium „Micro-Virtualisierung übertrumpft Sandbox“

1. Juni 2017

Sandboxing-Architekturen sind rein Software-basiert: Im Falle einer Kompromittierung der Sandbox-Software verbleibt als einziger Schutzmechanismus die standardmäßige Betriebssystemsicherheit. Dieses Argument spricht nach Ansicht von Jochen Koehler, Regional Director DACH bei Bromium, für den Einsatz der Micro-Virtualisierung, wie er im Interview mit mit Line-of.biz (LoB) erklärt.

Komplexität

LoB: Einige Unternehmen setzen heute zur Abwehr von Cyber-Angriffen auf das Sandboxing. Warum halten Sie diesen Ansatz für unzureichend?
Koehler: Beim Sandboxing wird ja eine Applikation in einer isolierten virtuellen Umgebung ausgeführt. Um das Betriebssystem vor Malware zu schützen, muss eine Sandbox die Zugriffsmöglichkeiten auf Systemaufrufe oder Serviceschnittstellen einschränken, die eine Interprozesskommunikation ermöglichen. Eine Sandbox, gleich ob sie auf dem Client oder im Netzwerk eingerichtet ist, muss daher einigermaßen aufwändig programmiert sein, um die eigentliche Systemumgebung nachzubilden. Die Google Chrome Sandbox besteht zum Beispiel aus über 1,5 Millionen Lines of Code. Damit ist eine Sandbox selbst sehr verwundbar. Zudem führt die hohe Komplexität zu großem Ressourcenbedarf, so dass entsprechend leistungsstarke Rechner nötig sind.

LoB: Ressourcenprobleme sind aber doch lösbar?
Koehler: Das eigentliche Problem ist natürlich viel grundsätzlicher, denn Sandboxing-Architekturen sind ja rein Software-basiert. Das heißt, im Falle einer Kompromittierung der Sandbox-Software verbleibt als einziger Schutzmechanismus die standardmäßige Betriebssystemsicherheit.

LoB: Also sollte man vom Sandboxing die Finger lassen?
Koehler: Gegenüber einer reinen Antiviren-Anwendung ist Sandboxing durchaus ein Fortschritt. Aber der Schutz ist heute einfach nicht mehr ausreichend. Es gibt inzwischen zahlreiche Methoden für das Umgehen einer Sandbox. Zum Beispiel enthält der Schadcode eine Zeitverzögerung, so dass er von der Sandbox nicht sofort zu erkennen ist. Zudem kann neuere Malware vielfach isolierte, simulierte Umgebungen erkennen, so dass sie hier den Schadcode einfach nicht ausführt.

Micro-Virtualisierung

LoB: Wie können Anwender das Problem dann lösen?
Koehler: Eine Alternative ist das Konzept der Micro-Virtualisierung. Hier steht nicht die Detektion von Schadcode im Vordergrund, sondern der Schutz vor Auswirkungen der Malware. Realisiert wird dies durch die Isolierung aller potenziell gefährlichen Aktivitäten. Damit besteht Schutz vor Malware, ohne diese als solche erkennen zu müssen.

LoB: Das klingt aber doch wieder ganz nach Sandboxing – oder etwa nicht?
Koehler: Nur auf den ersten Blick. Prinzipiell greift die Micro-Virtualisierung den Sandboxing-Gedanken auf, das heißt die Ausführung potenziellen Schadcodes in einer virtualisierten Umgebung. Ein zentraler Unterschied zwischen Micro-Virtualisierung und Sandboxing ist aber, dass Letzteres eine softwarebasierte Lösung ist, während Micro-Virtualisierung im Prozessor und damit in der Hardware stattfindet. Der Malware-Schutz direkt am Endpunkt erfolgt hier durch Hardware-isolierte Micro-VMs, mit denen bestimmte Anwender-Aktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines USB-Geräts. Eine Kompromittierung des Endpunkts über einen dieser Angriffswege ist damit ausgeschlossen.

Im Detail

LoB: Wie sieht das denn konkret aus?
Koehler: Bei der Micro-Virtualisierung werden durch einen auf Sicherheit getrimmten Hypervisor und der integrierten Virtualisierungsfeatures der aktuellen CPU-Generationen für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen Hardware-isolierte Micro-VMs realisiert. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM. Er ist strikt getrennt von anderen Tasks, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk. Das heißt, im Unterschied zu Sandboxing-Lösungen werden bei Micro-Virtualisierung alle einzelnen Aktivitäten voneinander isoliert, zum Beispiel unterschiedliche Seitenaufrufe in einem Browser oder das Öffnen verschiedener Dokumente mit Word. Damit wird zuverlässig verhindert, dass sich Schadprogramme ausbreiten.

LoB: Ist das die Zukunft der Cyber-Abwehr?
Koehler: Ich bin überzeugt, dass die Micro-Hypervisor-Technologie das herkömmliche Sandboxing bald ablösen wird. Sie bietet durch Isolierung von Anwenderaktivitäten eine viel zuverlässigere Endpunktsicherung. Der innovative Ansatz ist ja, dass nicht primär die Detektion von Schadcode das Ziel ist, sondern vielmehr der Schutz vor den Wirkungen einer, möglicherweise auch nicht identifizierten Malware. Und das ist in der Tat ein Paradigmenwechsel für die IT-Sicherheit. Der Vorsprung, den Angreifer bisher immer für sich nutzen konnten, ist damit dahin. (rhh)

Hier geht es zu Bromium

Lesen Sie auch