Micro-Virtualisierung versus Sandboxing
Isolation statt Detection: Wirkungsvoll kann Cyber-Gefahren nur mit Lösungen wie der Micro-Virtu¬alisierung begegnet werden, wie der Anbieter Bromium schreibt. Jochen Koehler erklärt im Interview die Unterschiede zwischen Sandboxing und Micro-Virtualisierung.
Einige Unternehmen setzen heute zur Abwehr von Cyber-Angriffen auf das Sandboxing. Warum halten Sie diesen Ansatz für unzureichend?
Jochen Koehler, Regional Director DACH bei Bromium: Beim Sandboxing wird ja eine Applikation in einer isolierten virtuellen Umgebung ausgeführt. Um das Betriebssystem vor Malware zu schützen, muss eine Sandbox die Zugriffsmöglichkeiten auf Systemaufrufe oder Serviceschnittstellen, die eine Interprozesskommunikation ermöglichen, einschränken. Eine Sandbox, gleich ob sie auf dem Client oder im Netzwerk eingerichtet ist, muss daher einigermassen aufwändig programmiert sein, um die eigentliche Systemumgebung nachzubilden; die Google-Chrome-Sandbox besteht zum Beispiel aus über 1,5 Millionen Lines of Code. Damit ist eine Sandbox selbst sehr verwundbar. Zudem führt die hohe Komplexität zu grossem Ressourcenbedarf, so dass extrem leistungsstarke Rechner nötig sind.
Ressourcenprobleme sind aber doch lösbar?
Das eigentliche Problem ist natürlich viel grundsätzlicher, denn Sandboxing-Architekturen sind ja rein Software-basiert. Das heisst, im Falle einer Kompromittierung der Sandbox-Software verbleibt als einziger Schutzmechanismus die standardmässige Betriebssystemsicherheit.
Also sollte man vom Sandboxing die Finger lassen?
Gegenüber einer reinen Antiviren-Anwendung ist Sandboxing durchaus ein Fortschritt. Aber der Schutz ist heute einfach nicht mehr ausreichend. Es gibt inzwischen zahlreiche Methoden für das Umgehen einer Sandbox. Zum Beispiel enthält der Schadcode eine Zeitverzögerung, so dass er von der Sandbox nicht sofort zu erkennen ist. Zudem kann neuere Malware vielfach isolierte, simulierte Umgebungen erkennen, so dass sie hier den Schadcode einfach nicht ausführt.
Wie können Anwender das Problem dann lösen?
Eine Alternative ist das Konzept der Micro-Virtualisierung. Hier steht nicht die Detektion von Schadcode im Vordergrund, sondern der Schutz vor Auswirkungen der Malware. Realisiert wird dies durch die Isolierung aller potenziell gefährlichen Aktivitäten. Damit besteht Schutz vor Malware, ohne diese als solche erkennen zu müssen.
Das klingt aber doch wieder ganz nach Sandboxing.
Nur auf den ersten Blick. Prinzipiell greift die Micro-Virtualisierung den Sandboxing-Gedanken auf, dass heisst die Ausführung potenziellen Schadcodes in einer virtualisierten Umgebung. Ein zentraler Unterschied zwischen Micro-Virtualisierung und Sandboxing ist aber, dass Letzteres eine softwarebasierte Lösung ist, während Micro-Virtualisierung im Prozessor und damit in der Hardware stattfindet. Der Malware-Schutz direkt am Endpunkt erfolgt hier durch Hardware-isolierte Micro-VMs, mit denen bestimmte Anwender-Aktivitäten gekapselt werden – zum Beispiel das Aufrufen einer Webseite, das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines USB-Geräts. Eine Kompromittierung des Endpunkts über einen dieser Angriffswege ist damit ausgeschlossen.
Wie sieht das denn konkret aus?
Bei der Micro-Virtualisierung werden durch einen auf Sicherheit getrimmten Hypervisor und der integrierten Virtualisierungsfeatures der aktuellen CPU-Generationen für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen Hardware-isolierte Micro-VMs realisiert. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM. Er ist strikt getrennt von anderen Tasks, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk. Das heisst, im Unterschied zu Sandboxing-Lösungen werden bei Micro-Virtualisierung alle einzelnen Aktivitäten voneinander isoliert, zum Beispiel unterschiedliche Seitenaufrufe in einem Browser oder das Öffnen verschiedener Dokumente mit Word. Damit wird zuverlässig verhindert, dass sich Schadprogramme ausbreiten.
Ist das die Zukunft der Cyber-Abwehr?
Ich bin überzeugt, dass die Micro-Hypervisor-Technologie das herkömmliche Sandboxing bald ablösen wird. Sie bietet durch Isolierung von Anwenderaktivitäten eine viel zuverlässigere Endpunktsicherung. Der innovative Ansatz ist ja, dass nicht primär die Detektion von Schadcode das Ziel ist, sondern vielmehr der Schutz vor den Wirkungen einer, möglicherweise auch nicht identifizierten Malware. Und das ist in der Tat ein Paradigmenwechsel für die IT-Sicherheit. Der Vorsprung, den Angreifer bisher immer für sich nutzen konnten, ist damit dahin.
Interview: PR-COM Beratungsgesellschaft für strategische Kommunikation mbH
