Micro-virtualizzazione contro sandboxing
Isolamento invece di rilevamento: le minacce informatiche possono essere contrastate efficacemente solo con soluzioni come la micro-virtualizzazione, come scrive il fornitore Bromium. Jochen Koehler spiega in un'intervista le differenze tra sandboxing e microvirtualizzazione.
Alcune aziende oggi si affidano al sandboxing per difendersi dagli attacchi informatici. Perché ritiene che questo approccio sia insufficiente?
Jochen Koehler, Direttore regionale DACH di BromioAl Sandboxing un'applicazione viene eseguita in un ambiente virtuale isolato. Per proteggere il sistema operativo dalle minacce informatiche, una sandbox deve limitare l'accesso alle chiamate di sistema o alle interfacce di servizio che consentono la comunicazione tra processi. Una sandbox, indipendentemente dal fatto che sia impostata sul client o sulla rete, deve quindi essere programmata in modo piuttosto elaborato per emulare l'ambiente reale del sistema; la sandbox di Google Chrome, ad esempio, è composta da oltre 1,5 milioni di righe di codice. Questo rende la sandbox stessa molto vulnerabile. Inoltre, l'elevata complessità comporta un grande fabbisogno di risorse, per cui sono necessari computer estremamente potenti.
Ma i problemi di risorse sono risolvibili, non è vero?
Il problema reale è, ovviamente, molto più fondamentale, perché le architetture di sandboxing sono puramente software. Ciò significa che, in caso di compromissione del software sandbox, l'unico meccanismo di protezione rimasto è la sicurezza standard del sistema operativo.
Quindi si dovrebbero tenere le mani lontane dal sandboxing?
Rispetto a un'applicazione antivirus pura, la sandboxing è sicuramente un passo avanti. Ma oggi la protezione non è più sufficiente. Oggi esistono numerosi metodi per aggirare una sandbox. Ad esempio, il codice dannoso contiene un ritardo temporale in modo che non possa essere rilevato immediatamente dalla sandbox. Inoltre, le minacce informatiche più recenti sono spesso in grado di riconoscere ambienti isolati e simulati, in modo da non eseguire il codice dannoso.
Come possono gli utenti risolvere il problema?
Un'alternativa è il concetto di micro-virtualizzazione. In questo caso, l'attenzione non è rivolta al rilevamento di codice dannoso, ma alla protezione dagli effetti del malware. Ciò si realizza isolando tutte le attività potenzialmente pericolose. In questo modo si ottiene una protezione contro il malware senza doverlo riconoscere come tale.
Ma questo suona ancora una volta come una sorta di sandboxing.
Solo a prima vista. In linea di principio, la micro-virtualizzazione riprende l'idea del sandboxing, ovvero l'esecuzione di codice potenzialmente dannoso in un ambiente virtualizzato. Tuttavia, una differenza centrale tra micro-virtualizzazione e sandboxing è che quest'ultimo è una soluzione basata sul software, mentre la micro-virtualizzazione avviene nel processore e quindi nell'hardware. In questo caso, la protezione dalle minacce informatiche direttamente sull'endpoint è fornita da micro macchine virtuali isolate dall'hardware che incapsulano determinate attività dell'utente, ad esempio l'accesso a un sito web, il download di un documento, l'apertura di un allegato e-mail o l'accesso ai dati di un dispositivo USB. La compromissione dell'endpoint attraverso uno di questi percorsi di attacco è quindi impossibile.
Che cosa significa in termini concreti?
Con la micro-virtualizzazione, le micro-VM isolate dall'hardware sono realizzate attraverso un hypervisor tagliato per la sicurezza e le funzioni di virtualizzazione integrate delle attuali generazioni di CPU per tutte le attività degli utenti con dati provenienti da fonti sconosciute. Ogni singolo task viene eseguito nella propria micro-VM. È strettamente separato da altri compiti, dal sistema operativo attuale e dalla rete collegata. Ciò significa che, a differenza delle soluzioni di sandboxing, la microvirtualizzazione isola tutte le singole attività l'una dall'altra, ad esempio le diverse richieste di pagine in un browser o l'apertura di diversi documenti con Word. In questo modo si impedisce in modo affidabile la diffusione del malware.
È questo il futuro della difesa informatica?
Sono convinto che la tecnologia dei micro-ipervisori sostituirà presto il sandboxing tradizionale. Offre una sicurezza degli endpoint molto più affidabile, isolando le attività degli utenti. In fondo, l'approccio innovativo è che l'obiettivo primario non è quello di rilevare il codice maligno, ma piuttosto di proteggere dagli effetti del malware, eventualmente anche di quello non identificato. Si tratta di un vero e proprio cambiamento di paradigma per la sicurezza informatica. Il vantaggio che gli aggressori hanno sempre potuto sfruttare a proprio favore è scomparso.
Intervista: PR-COM Beratungsgesellschaft für strategische Kommunikation mbH
