Suchen

Hardware-nahe Isolation Unterschied Micro-Virtualisierung und Sandboxing

| Autor / Redakteur: Jochen Koehler* / Stephan Augsten

Antivirus und Sandboxing sind nicht obsolet, haben aber ihre Schwächen. Micro-Virtu¬alisierung hingegen ist dazu in der Lage. alle potenziell gefährlichen Aktivitäten zu isolieren.

Firma zum Thema

Bei Bromium werden alle Anwenderaktivitäten in eigenen Micro-VMs abgekapselt.
Bei Bromium werden alle Anwenderaktivitäten in eigenen Micro-VMs abgekapselt.
(Quelle: Bromium)

Die meisten Client-Sicherheitsprodukte zielen auf die Malware-Erkennung ab, unter Verwendung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Attacken aufzuspüren und dann innerhalb des Betriebssystems zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden, ist heute State-of-the-Art bei Software-Lösungen zur Sicherung von Endpunkten.

Vor polymorphen Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten diese Technologien allerdings keinen zuverlässigen Schutz. Die Crux klassischer Lösungen wie Next-Generation-Firewalls, Intrusion-Prevention-Systemen oder Antiviren-Software ist, dass sie auf die Malware-Erkennung angewiesen sind.

Im Kontext der heute immer raffinierteren Attacken ist dieser Ansatz allerdings höchst problematisch, denn hier ist die Detektionsrate extrem gering. Unternehmen haben dies vielfach erkannt und sind einen Schritt weiter gegangen – und zwar in Richtung Sandboxing. Doch auch dieser Ansatz führt nicht immer zum Erfolg.

Die Grenzen des Sandboxing

Es gibt zwar verschiedene Sandboxing-Lösungsansätze, eines ist ihnen aber gemeinsam: Dabei geht es prinzipiell immer um das Ausführen einer Applikation in einer isolierten virtuellen Umgebung.

Um das Betriebssystem und den Betriebssystem-Kernel vor Malware zu schützen, muss eine Sandbox die Zugriffsmöglichkeiten auf Systemaufrufe oder Serviceschnittstellen, die eine Interprozesskommunikation ermöglichen, einschränken. Das bedeutet, dass eine Sandbox notwendiger Weise eine hohe Anzahl an Lines of Code aufweisen muss, um die eigentliche Systemumgebung nachzubilden. Beispielsweise besteht die Google Chrome Sandbox aus mehr als 1,5 Millionen Lines of Code.

Sandboxes sind somit außergewöhnlich komplex und damit auch verwundbar. Jede einzelne Codezeile stellt schließlich einen potenziellen Angriffspunkt dar. Zudem resultiert aus der hohen Komplexität auch ein großer Ressourcenbedarf und damit die Notwendigkeit, extrem leistungsstarke Rechner einzusetzen.

Ein zentrales Problem von Sandboxing-Architekturen ist, dass es sich dabei um rein Software-basierte Lösungen handelt. Im Falle einer Sandbox-Software-Kompromittierung verbleibt also als einziger Schutzmechanismus die Standard-Betriebssystemsicherheit. Problematisch ist auch, dass Sandboxing keinen granularen Ansatz unterstützt und somit nicht prozessorientiert agiert.

Sandbox-Programme enthalten Applikationen wie Browser als Ganzes; und das bedeutet, dass im Fall einer Kompromittierung eines Teils einer Applikation dies Auswirkungen auf andere Teile der Applikation haben kann. Beispielsweise könnte Malware dann Zugriff auf Informationen in anderen Registerkarten eines Browsers haben.

Mit Sicherheit bedeutet die Sandboxing-Technologie gegenüber einer reinen Antiviren-Applikation einen Fortschritt. Insgesamt bietet aber die Sandbox-Analyse, auf die etliche Unternehmen inzwischen zusätzlich setzen, keinen zuverlässigen Schutz, denn auch sie erkennt neue zielgerichtete Attacken in der Regel nicht. Außerdem gibt es inzwischen zahlreiche Methoden für ein erfolgreiches Umgehen des Sandbox-Schutzes.

Malware-Entwickler statten ihren Schadcode zum Beispiel mit einer Zeitverzögerung aus, so dass er von der Sandbox nicht sofort zu erkennen ist. Zudem ist neuere Malware vielfach in der Lage, isolierte, simulierte Umgebungen zu erkennen und hier keinen Schadcode auszuführen beziehungsweise die Sandbox dann zunächst mit schadfreier Software ressourcenmäßig auszulasten. Für diese Methoden gibt es im Internet frei verfügbare Tools.

Applikations-Sandboxes bieten nicht zuletzt in der Regel auch einen eingeschränkten Funktionsumfang. Sie fokussieren auf Malware-Unter¬bindung und -Eliminierung und liefern keine Aufschlüsse hinsichtlich konkreter Art und Weise der Attacke sowie im Hinblick auf den Angreifer, das heißt, sie bieten keine Erkenntnisse zu dem Ursprung, den Zielen und Methoden einer Attacke. Letztlich sind die Informationen, die eine Sandbox-Lösung liefert, damit auch nicht besser als jene einer Antiviren-Software.

(ID:44068826)