Security-Anbietercheck

Wie sich gezielte Angriffe abwehren lassen

06.05.2015
Von 
Stefan Strobel ist Geschäftsführer der cirosec GmbH in Heilbronn.

Sandboxing und Host IPS

Die Grundideen von Sandboxing und Host IPS sind durchaus miteinander verwandt. In beiden Fällen wird der Zugriff von Applikationen auf Betriebssystem-Ressourcen kontrolliert beziehungsweise manipuliert. Bei Sandboxen wird versucht, der jeweiligen Applikation eine eigene gekapselte Welt vorzutäuschen. In dieser Welt kann die Applikation nahezu beliebig agieren. Manipulationen werden jedoch nicht auf das darunter liegende Betriebssystem übertragen und bleiben in der Sandbox. Bei einem Host IPS dagegen verzichtet man, vereinfacht gesagt, auf das Vortäuschen einer eigenen Welt. Stattdessen werden lesende oder schreibende Zugriffe, die eine Gefahr darstellen könnten, einfach geblockt oder die verursachende Applikation wird beendet.

Heute lässt sich eine Renaissance dieser Ideen am Markt beobachten. Getrieben durch die zuvor beschriebenen Probleme ist der Bedarf an Sicherheitslösungen auf dem Endgerät gestiegen. Zudem hat die Vernetzung und Mobilität in Unternehmen in den letzten Jahren weiter zugenommen. Auch dies unterstützt den Trend, dass zentrale Sicherheitslösungen im Unternehmensnetz die Probleme nicht mehr allein lösen können.

Der Hersteller Cyvera hat eine Idee aufgegriffen, die zuvor beispielsweise schon von eEye in seinem Blink-Produkt verfolgt wurde: das generische Erkennen und Verhindern der Ausnutzung von Sicherheitslücken mit Exploits.

eEye war jedoch ebenso wie Okena, Finjan oder Aladdin zu früh am Markt und konnte mit seiner Idee den Durchbruch damals nicht erreichen. Inzwischen wurde eEye von BeyondTrust übernommen und Blink fristet auch dort eher ein Nischendasein.

Cyvera dagegen wurde nach sehr kurzer Zeit von Palo Alto Networks gekauft. Das Unternehmen hat das Produkt in Traps umbenannt und positioniert es zusammen mit der Netzwerk-Sandbox-Analyse WildFire sehr aktiv als moderne Lösung gegen APTs.

Mikrovirtualisierung

Eine grundlegend neue Interpretation der ursprünglichen Sandbox-Idee findet man in der Mikrovirtualisierungstechnik, die vom Hersteller Bromium erfunden wurde. Auch hier werden Applikationen in einer vorgetäuschten und gekapselten Umgebung "eingesperrt". Im Gegensatz zu klassischen Sandboxen, die bei Fehlern im Kern des Betriebssystems umgehbar sind, verwendet die Lösung von Bromium einen Hypervisor, der die Applikationen in einzelnen virtuellen Maschinen kapselt.

Bei Bromiums Lösung kapselt ein Hypervisor alle Applikationen in einzelnen virtuellen Maschinen.
Bei Bromiums Lösung kapselt ein Hypervisor alle Applikationen in einzelnen virtuellen Maschinen.
Foto: Bromium

Damit der Speicherbedarf der einzelnen virtuellen Maschinen insgesamt nicht zu einem Problem wird, hat Bromium im Gegensatz zu etablierten Virtualisierungslösungen eine "Copy-on-write"-Technik implementiert. So geht der Platzbedarf der einzelnen virtuellen Maschinen kaum über den Platzbedarf der Applikation selbst hinaus. Greift beispielsweise ein Anwender mit seinem Browser auf eine externe Website zu, so wird innerhalb von zehn Millisekunden eine neue Mikro-VM erzeugt. Sie kapselt die einzelne Browser-Session und sorgt dafür, dass Schadcode oder auch Angriffe auf den Flash Player, Adobe Reader oder andere Plug-ins nicht aus der virtuellen Umgebung ausbrechen können. Der Anwender bemerkt davon nichts und kann arbeiten wie zuvor auch.

Die Gründer von Bromium sind keine Unbekannten, sondern es handelt es sich um das Team, das auch maßgeblich bei der Entwicklung des Xen-Hypervisor vor vielen Jahren mitgewirkt hat. An Erfahrung mit Virtualisierungstechnik mangelt es dem Hersteller also nicht.