Neue Gefahren durch Advanced-Persistent-Threats
Durch Hardware-nahe Security Sicherheitsschwachstellen schließen
Fortsetzung des Artikels von Teil 1
Hardware-nahe Sicherheit und unabhängig von Betriebssystem
Langfristig kann eine effektive Sicherheit nur gewährleistet werden, indem Security-Lösungen unabhängig von Betriebssystem und nahe der Hardware eingreifen. So kann sichergestellt werden, dass Angriffe, bevor diese Sicherheitslücken der Betriebssysteme ausnutzen, entdeckt und abgewehrt werden. Auf Grundlage der "DeepSAFE-Technologie", die von McAfee gemeinsam mit Intel entwickelt wurde, kommen Hardware-unterstützte Sicherheitsprodukte zum Einsatz. Die "McAfee DeepSAFE-Technologieplattform" nutzt die Intel-VT-Funktionen der Intel-Core-i3-, i5- und i7-Prozessoren und wird in einem Modus mit umfangreichen Berechtigungen ausgeführt. Auf diese Weise schützt sie effektiv vor getarnten Software-Angriffen.Deepsafe setzt dabei auf Prozessorfunktionen zur Überwachung des Systemverhaltens, beispielsweise Speicher- oder CPU-Zustandsänderungen. Speicherereignisse, die von der Deepsafe-Technologie erkannt werden, lösen sofort Laufzeitintegritätsverletzungen aus und stellen Malware-Schutztools dadurch die Mittel zur Verfügung, mit denen diese in Echtzeit verborgene Rootkits sowie Malware-Angriffe abwehren können. Die Technologie schützt Malware-Schutzmodule und bietet die notwendige Transparenz zur Überwachung und Überprüfung von Veränderungen an wichtigen Prozessen sowie dem Betriebssystem-Kernel. Mithilfe von CPU-Ereignissen erkennt Deepsafe Integritätsverletzungen und benachrichtigt daraufhin vertrauenswürdige Sicherheits-Agenten – selbst bei bislang unbekannten Zero-Day-Malware-Angriffen.
Für die Laufzeitintegritätsüberwachung einer großen TCB und dynamischer Umgebungen wie modernen Betriebssystemen, benötigt Malware-Schutz-Software zwei Kernfunktionen, die von der Deepsafe-Technologie bereitgestellt und mit Intel-Prozessortechnik erweitert werden. Die erste Kernfunktion ist der Ausführungsschutz (und die Verfügbarkeit) für Sicherheits-Agenten. Deepsafe setzt dazu Hardware-Virtualisierung und den privilegierten VMX-Root-Modus ein, um außerhalb des Betriebssystems agieren und bei Malware-Angriffen Laufzeitschutz für Malware-Schutzmodule bieten zu können. Dadurch werden die Sicherheits-Agenten von Malware isoliert, die auf der gleichen Ebene ausgeführt wird.
Die zweite Kernfunktion ist die vertrauenswürdige Systemtransparenz. Deepsafe setzt dazu auf einen direkten und skalierbaren Ansatz zur kontinuierlichen Überwachung des System- und Prozessspeichers. Dies bietet Sicherheits-Agenten die Möglichkeit, Verhaltensrichtlinien anzuwenden. Diese ergänzen McAfee-Whitelist-Techniken, mit denen nicht nur Malware-Schutz-Ressourcen im Speicher geschützt werden, sondern auch wichtige Betriebssystem-Kernel-Ressourcen, die von Rootkits angegriffen werden. Der Laufzeitschutz des Betriebssystems ist unverzichtbar, um Stealth-Malware und komplexe Angriffe abwehren zu können, die zunehmend bei hochentwickelten hartnäckigen Bedrohungen zum Einsatz kommen. Die Deepsafe-Technologie ist eine Plattform, die präventive Malware-Schutzfunktionen in Echtzeit auf Kernel-Ebene bereitstellt. Dabei werden Whitelist- und Blacklist-Funktionen um Verhaltensrichtlinien ergänzt, die Zero-Day-Angriffe abwehren können, bevor Rootkits und Malware im Betriebssystem-Kernel verankert werden.
"McAfee Deep Defender" nutzt als erstes Produkt die Deepsafe-Technologie. Es setzt Deepsafe unterhalb des Betriebssystems ein und schützt das System vor Stealth-Angriffen, die von herkömmlichen Systemsicherheitsmethoden möglicherweise nicht erfasst werden können. Deep-Defender überwacht das Verhalten von Kernel-Abläufen in Echtzeit, um hochentwickelte, bislang unsichtbare Angriffe zu erkennen und abzuwehren. Durch die Integration mit "McAfee ePolicy Orchestrator" und "McAfee Global Threat Intelligence" bietet Deep-Defender nahtlosen Schutz, der den Systemschutz über das Betriebssystem hinaus erweitert, um für betriebssystembasierte Lösungen unsichtbare Zero-Day-Bedrohungen abzufangen.
Zusammenfassend kann gesagt werden, dass APTs zahlreiche Techniken zum Infizieren und Festsetzen im Betriebssystem einsetzen, um sich vor der Entdeckung schützen. Heutige Malware-Schutzlösungen, die als Anwendungen auf Betriebssystemebene ausgeführt werden, haben gegen die Stealth-Techniken moderner Malware-Varianten keine Chance. Aus diesem Grund sind McAfee und Intel der Meinung, dass Hardware-unterstütze Security in Zukunft ein Muss ist, um sich effizient gegen neuartige und intelligentere Angriffe schon unterhalb des Betriebssystems zu schützen und gleichzeitig durch die Integration in den Hardware-Layer die Integrität des Sicherheits-Layer besser zu schützen und zu bewahren. McAfee und Intel haben mit Deepsafe eine innovative Technologie entwickelt. Die offene Architektur der Intel-Plattform kann prinzipiell auch für Entwicklungen anderer Lösungsanbieter genutzt werden. Mit Deepsafe sind McAfee und Intel mit gutem Beispiel voran gegangen und haben auch in aktuellen Rootkit-Tests belegt, dass wir mit dieser Technologie der einzige Hersteller sind, der 100 Prozent der Rootkits stoppen konnte.
- Durch Hardware-nahe Security Sicherheitsschwachstellen schließen
- Hardware-nahe Sicherheit und unabhängig von Betriebssystem
Lesen Sie mehr zum Thema
