Virtualisierung
Micro-Virtualisierung für mehr Endpunktsicherheit
Sandboxing, Next-Generation-Antiviren- und Secure-Browsing-Lösungen versprechen zwar eine höhere Endpunktsicherheit, aber vor allem die Micro-Virtualisierung weist den Weg in eine sichere Zukunft: Sie schließt alle endpunktbezogenen Risiken einfach aus.
In der Vergangenheit lag der Fokus im Bereich IT-Sicherheit auf der Netzwerkinfrastruktur. In letzter Zeit ist aber auch der Endpunkt verstärkt ins Blickfeld gerückt – und zwar als zentrale Schwachstelle im Netz. Gängige Sicherheitslösungen wie Intrusion-Prevention-Systeme, Antiviren-Software oder Next-Generation-Firewalls fokussieren dabei auf die Detektion von Angriffen, beispielsweise unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Attacken aufzuspüren und dann innerhalb des Betriebssystems zu blockieren, um einen Zugriff auf Systemressourcen zu unterbinden, ist State-of-the-Art bei Softwarelösungen zur Sicherung von Endpunkten.
All diese Anwendungen haben aber einen gravierenden Nachteil: Sie können keinen zuverlässigen Schutz vor der wachsenden Anzahl an polymorphen Cyber-Bedrohungen, Zero-Day-Attacken und Advanced Persistent Threats bieten. Der Grund ist klar, denn diese Lösungen sind auf die Erkennung von Schadsoftware angewiesen; prinzipbedingt hinken Anbieter von Security-Tools aber Angreifern immer einen Schritt hinterher.
Das trifft auch auf die Next-Generation Antiviren-Lösungen zu, die gegenwärtig in aller Munde sind. Sie versprechen, unter Nutzung von maschinellem Lernen und Künstlicher Intelligenz Angriffe aufzuspüren. Damit tragen sie zunächst dem Umstand Rechnung, dass rein signaturbasierte Verfahren unzureichend sind. Durch Codeanalysen vor der Ausführung von Aktionen auf den jeweiligen Endpunkten soll
potenzielle Malware erkannt werden, das heißt aber auch, Next-Generation AV-Anwendungen sind nach wie vor auf die Detektion angewiesen. Sie stellen zwar eine Weiterentwicklung dar, aber letztlich bleiben sie Antiviren-Lösungen und damit unzureichend; schließlich haben auch Antiviren-Softwarehersteller noch nie behauptet, dass ihre Lösungen eine hundertprozentige Erkennungsrate bieten.
Dasselbe Problem betrifft Sandboxing-Ansätze, bei denen Applikationen wie Browser in einer isolierten virtuellen Umgebung ausgeführt werden. Um das Betriebssystem vor Malware zu schützen, muss eine Sandbox die Zugriffsmöglichkeiten auf Systemaufrufe oder Serviceschnittstellen, die eine Interprozesskommunikation ermöglichen, einschränken. Das bedeutet, dass eine Sandbox notwendiger Weise eine hohe Anzahl an Lines of Code aufweisen muss, um die eigentliche Systemumgebung nachzubilden. Sandboxes sind somit außergewöhnlich komplex und damit auch verwundbar. Außerdem sind Sandboxing-Architekturen rein softwarebasiert. Das heißt, im Falle einer Kompromittierung der Sandbox-Software verbleibt als einziger Schutzmechanismus die standardmäßige Betriebssystemsicherheit. Zudem gibt es inzwischen zahlreiche Methoden für ein erfolgreiches Umgehen des Sandbox-Schutzes. Beispiele sind der mit einer Zeitverzögerung ausgestattete Schadcode, der damit von der Sandbox nicht sofort erkannt wird, und Malware, die Sandbox-Umgebungen identifiziert und mit schadfreier Software ressourcenmäßig auslastet. Das zentrale Problem von Sandboxing-Lösungen aber ist, dass sie prinzipiell keinen ausreichenden Schutz bieten können, da auch sie auf Analyse setzen und neue zielgerichtete Attacken in der Regel nicht erkennen.
- Micro-Virtualisierung für mehr Endpunktsicherheit
- Secure-Browsing-Lösungen gehen in die richtige Richtung
- Virtualisierung und Micro-Virtualisierung liegen im Trend
Lesen Sie mehr zum Thema
