Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Web BrowserImmer mehr Unternehmen und Behörden setzen auf Secure-Browsing-Lösungen zur Abwehr von Cyber-Angriffen. Sie ergänzen traditionelle, aber prinzipbedingt unzulängliche Sicherheitslösungen optimal, allerdings sollte ihr konkreter Funktionsumfang genau auf den Prüfstand gestellt werden, meint Sicherheitssoftware-Anbieter Bromium.

Mit traditionellen Sicherheitslösungen wie Intrusion-Prevention-Systemen, Antiviren-Software oder Next-Generation-Firewalls können Unternehmen und Behörden neue Zero-Day-Attacken, Advanced Persistent Threats oder immer raffiniertere Ransomware-Trojaner kaum zuverlässig aufspüren. Der Grund: Diese Lösungen sind auf die Erkennung von Schadsoftware angewiesen; prinzipbedingt hinken Anbieter von Security-Tools Angreifern aber immer einen Schritt hinterher.

Micro Virtuslisierung

Bild: Eine Kompromittierung des Endpunktes ist duch die Isolierung ausgeschlossen (Quelle: Bromium)

Unternehmen und auch Behörden suchen deshalb verstärkt nach zusätzlichen Sicherheitsgateways, die vor allem den zentralen Angriffsvektor Browser schützen. Im Trend liegen dabei Remote-Controlled-Browser-Systeme (ReCoBS), die auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt. Charakterisiert sind sie durch den Aufbau einer Terminalserver-Umgebung. Der Webzugang erfolgt ausschließlich über Browser auf den Terminalservern, wodurch die Client-PCs geschützt werden sollen.

Bis zu einem gewissen Grad sind solche Client-Server-Modelle erfolgreich, ihre Nachteile liegen aber auf der Hand. Erstens sind erfolgreiche Angriffe auf ReCoBS-Server nicht gänzlich auszuschließen, zweitens sind sie mit hohen Kosten verbunden, sowohl hinsichtlich des Hardware-Bedarfs für die Terminalserver als auch bezüglich der Betriebskosten, und drittens beeinträchtigen sie die Performance durch den erhöhten Bandbreitenbedarf für die Kommunikation zwischen Servern und Clients. Wie bei allen Client-Server-Architekturen kann eine Beeinträchtigung des Nutzerkomforts die Folge sein.

Eine weitere Schutzschicht bieten Virtualisierungsansätze, zum Beispiel die Nutzung virtueller "Surfumgebungen" mit getrenntem Webbrowser. Ein zentrales Problem dabei ist, dass es sich um rein softwarebasierte Lösungen mit den immer damit einhergehenden Sicherheitsgefahren handelt. Nachteil sind auch hier die Performanceeinbußen und reduzierte Benutzerfreundlichkeit, da keine Standard-, sondern dedizierte Browser verwendet werden.

Abstriche sind bei den genannten Secure-Browsing-Lösungen allerdings hinsichtlich des Funktionsumfangs zu machen. Sie beziehen sich rein auf das Thema Internet-Browsing und ignorieren damit andere Sicherheitsgefahren für den Endpunkt wie E-Mails oder USB-Speichermedien. Zudem eint diese Lösungen ein weiterer gravierender Nachteil. Wird etwa ein aus dem Internet geladenes und zunächst isoliertes File dann doch in der Produktivumgebung benötigt, muss es analysiert werden. Und hier sind solche Ansätze wiederum auf die Detektionsmöglichkeiten klassischer Antiviren-Lösungen mit den damit verbundenen Unzulänglichkeiten angewiesen.

Jochen Köhler"Die aktuellen Initiativen vieler Unternehmen und Behörden, eine zusätzliche Sicherheitsebene für Client-Rechner einzuführen, sind auf jeden Fall zu begrüßen", betont Jochen Koehler, Regional Director DACH bei Bromium in Heilbronn. "Vor der Entscheidung für eine konkrete Lösung sollte aber immer ein detaillierter Proof-of-Concept durchgeführt werden, in dem sie auf Herz und Nieren getestet wird, und zwar nicht nur im Hinblick auf Aspekte wie Implementierungsaufwand, Performance oder Benutzerkomfort, sondern vor allem auch hinsichtlich des damit überhaupt realisierbaren Schutzniveaus."

Auch Bromium geht mit seiner Lösung Endpoint Protection den Virtualisierungsweg, allerdings einige entscheidende Schritte weiter. Zentrales Merkmal der Lösung ist die Hardware-isolierte Micro-Virtualisierung. Sie basiert auf dem Bromium Microvisor, einem Xen-basierten, speziell im Hinblick auf Sicherheit entwickelten Hypervisor, und den integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen. Eine hohe Sicherheit ist gerade durch die Hardware-Virtualisierung gewährleistet, denn eine CPU-Kompromittierung wäre für einen potenziellen Angreifer mit einem beträchtlichen Aufwand verbunden.

Bei der Bromium-Lösung werden Hardware-isolierte Micro-VMs für alle Anwenderaktivitäten mit Daten aus unbekannten Quellen realisiert. Jeder einzelne Task läuft dabei in einer eigenen Micro-VM – und zwar strikt getrennt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk.

Im Unterschied zu Secure-Browsing-Lösungen zielt die Bromium-Lösung nicht nur auf den Browser als Sicherheitsschwachstelle ab, vielmehr können damit alle potenziell gefährlichen Anwenderaktivitäten gekapselt werden, also nicht nur das Aufrufen einer Webseite, sondern auch das Downloaden eines Dokuments, das Öffnen eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums. Eine Kompromittierung des Endpunkts und letztlich des Unternehmensnetzes über einen dieser Angriffswege ist damit gänzlich ausgeschlossen. Auch den Benutzerkomfort beeinträchtigt die Lösung nicht, da sie für den einzelnen Anwender im Hintergrund läuft und keine Performanceeinbußen verursacht. Bei den heutigen Rechnergenerationen erfolgt das Laden einer Micro-VM in lediglich 20 Millisekunden.

www.bromium.com
 

 
GRID LIST
Hacker lieben Weihnachten

Gefährliche Weihnachtszeit - Hochsaison für Hacker

Für Unternehmen und Behörden ist die Weihnachtszeit alles andere als besinnlich. Während…
Tb W190 H80 Crop Int B4c4e812090ab33236beb9243853732a

Ein Denkfehler ist keine Pioniertat

Die gesamte IT-Sicherheitsindustrie begeht einen Denkfehler – und verkauft ihn als…
Tb W190 H80 Crop Int 658f818261677ec748ec3fc0e8dcad3c

Was ist der Mimecast ESRA Test?

Viele Organisationen sind der Meinung, dass ihre aktuellen Email-Sicherheitssysteme…
Stethoskop und Computer

Warum auch in der IT vorbeugen besser ist als heilen

Die bekannte Redewendung «vorbeugen ist besser als heilen» kann auch in der IT angewendet…
Tb W190 H80 Crop Int Aeb5a1ad0de7db3f252650c4e72a36c1

Als IT-Forensiker zwischen Schadprogrammen und Schraubenziehern

Die fiktive HAK Messtechnik AG wird Opfer einer zielgerichteten Cyber-Attacke und muss…
Tb W190 H80 Crop Int 78ab87a0e30ac3933ee82b3bb260b004

Die IT-Hygiene herstellen, um die IT-Sicherheit zu stärken

Es vergeht kein Tag ohne Datenschutzverletzungen. Die weltweite Datenbank Breach Level…
Smarte News aus der IT-Welt