Hardware-nahe Isolation

Unterschied Micro-Virtualisierung und Sandboxing

| Autor / Redakteur: Jochen Koehler* / Stephan Augsten

Bei Bromium werden alle Anwenderaktivitäten in eigenen Micro-VMs abgekapselt.
Bei Bromium werden alle Anwenderaktivitäten in eigenen Micro-VMs abgekapselt. (Quelle: Bromium)

Antivirus und Sandboxing sind nicht obsolet, haben aber ihre Schwächen. Micro-Virtu¬alisierung hingegen ist dazu in der Lage. alle potenziell gefährlichen Aktivitäten zu isolieren.

Die meisten Client-Sicherheitsprodukte zielen auf die Malware-Erkennung ab, unter Verwendung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Attacken aufzuspüren und dann innerhalb des Betriebssystems zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden, ist heute State-of-the-Art bei Software-Lösungen zur Sicherung von Endpunkten.

Vor polymorphen Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten diese Technologien allerdings keinen zuverlässigen Schutz. Die Crux klassischer Lösungen wie Next-Generation-Firewalls, Intrusion-Prevention-Systemen oder Antiviren-Software ist, dass sie auf die Malware-Erkennung angewiesen sind.

Im Kontext der heute immer raffinierteren Attacken ist dieser Ansatz allerdings höchst problematisch, denn hier ist die Detektionsrate extrem gering. Unternehmen haben dies vielfach erkannt und sind einen Schritt weiter gegangen – und zwar in Richtung Sandboxing. Doch auch dieser Ansatz führt nicht immer zum Erfolg.

Die Grenzen des Sandboxing

Es gibt zwar verschiedene Sandboxing-Lösungsansätze, eines ist ihnen aber gemeinsam: Dabei geht es prinzipiell immer um das Ausführen einer Applikation in einer isolierten virtuellen Umgebung.

Um das Betriebssystem und den Betriebssystem-Kernel vor Malware zu schützen, muss eine Sandbox die Zugriffsmöglichkeiten auf Systemaufrufe oder Serviceschnittstellen, die eine Interprozesskommunikation ermöglichen, einschränken. Das bedeutet, dass eine Sandbox notwendiger Weise eine hohe Anzahl an Lines of Code aufweisen muss, um die eigentliche Systemumgebung nachzubilden. Beispielsweise besteht die Google Chrome Sandbox aus mehr als 1,5 Millionen Lines of Code.

Sandboxes sind somit außergewöhnlich komplex und damit auch verwundbar. Jede einzelne Codezeile stellt schließlich einen potenziellen Angriffspunkt dar. Zudem resultiert aus der hohen Komplexität auch ein großer Ressourcenbedarf und damit die Notwendigkeit, extrem leistungsstarke Rechner einzusetzen.

Ein zentrales Problem von Sandboxing-Architekturen ist, dass es sich dabei um rein Software-basierte Lösungen handelt. Im Falle einer Sandbox-Software-Kompromittierung verbleibt also als einziger Schutzmechanismus die Standard-Betriebssystemsicherheit. Problematisch ist auch, dass Sandboxing keinen granularen Ansatz unterstützt und somit nicht prozessorientiert agiert.

Sandbox-Programme enthalten Applikationen wie Browser als Ganzes; und das bedeutet, dass im Fall einer Kompromittierung eines Teils einer Applikation dies Auswirkungen auf andere Teile der Applikation haben kann. Beispielsweise könnte Malware dann Zugriff auf Informationen in anderen Registerkarten eines Browsers haben.

Mit Sicherheit bedeutet die Sandboxing-Technologie gegenüber einer reinen Antiviren-Applikation einen Fortschritt. Insgesamt bietet aber die Sandbox-Analyse, auf die etliche Unternehmen inzwischen zusätzlich setzen, keinen zuverlässigen Schutz, denn auch sie erkennt neue zielgerichtete Attacken in der Regel nicht. Außerdem gibt es inzwischen zahlreiche Methoden für ein erfolgreiches Umgehen des Sandbox-Schutzes.

Malware-Entwickler statten ihren Schadcode zum Beispiel mit einer Zeitverzögerung aus, so dass er von der Sandbox nicht sofort zu erkennen ist. Zudem ist neuere Malware vielfach in der Lage, isolierte, simulierte Umgebungen zu erkennen und hier keinen Schadcode auszuführen beziehungsweise die Sandbox dann zunächst mit schadfreier Software ressourcenmäßig auszulasten. Für diese Methoden gibt es im Internet frei verfügbare Tools.

Applikations-Sandboxes bieten nicht zuletzt in der Regel auch einen eingeschränkten Funktionsumfang. Sie fokussieren auf Malware-Unter¬bindung und -Eliminierung und liefern keine Aufschlüsse hinsichtlich konkreter Art und Weise der Attacke sowie im Hinblick auf den Angreifer, das heißt, sie bieten keine Erkenntnisse zu dem Ursprung, den Zielen und Methoden einer Attacke. Letztlich sind die Informationen, die eine Sandbox-Lösung liefert, damit auch nicht besser als jene einer Antiviren-Software.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44068826 / Cloud und Virtualisierung)