Thought Leadership
Herkömmliche Sicherheitslösungen allein reichen schon lange nicht mehr zum Schutz der Unternehmens-IT. Ulrich Parthier, Herausgeber it security, sprach mit Carsten Böckelmann, Bitdefender, über HVI, einen völlig neuen Ansatz zum Aufspüren von Advanced Targeted Attacks.
Herr Böckelmann, Unternehmen stehen vor der Herausforderung die digitale Transformation zu gestalten. Ist die IT-Sicherheit dabei die schwierigste Hürde?
Carsten Böckelmann: Viele aktuelle IT-Bedrohungen haben tatsächlich ihre Ursachen in der sich wandelnden IT: die Vernetzung, das Internet der Dinge und die Virtualisierung bestimmen die Entwicklung. Zudem fallen die Grenzen zwischen persönlicher und beruflicher Nutzung, öffentlichem und unternehmenseigenem Netzwerk, Premises- und Cloud-Strukturen. Angreifer finden täglich neue Lücken, in die sie vorstoßen können.
Was sind die schwierigsten Attacken, mit denen wir es heute zu tun haben?
Carsten Böckelmann: Das sind extrem ausgefeilte Angriffe, die von großen kriminellen Organisationen oder Staaten durchgeführt werden, sogenannte Advanced Persistent Threats oder kurz APTs, wie Stuxnet und APT- 28. Aber auch Advanced Targeted Attacks, die jedes Unternehmen treffen können. Meist nutzen solche Attacken eine Kombination von Instrumenten: Exploits von noch unbekannten Sicherheitslücken, maßgeschneiderte Malware, Social Engineering und geheimdienstliche Methoden. Die dabei eingesetzte Schad-Software verhält sich sehr unauffällig und wird von den Urhebern gründlich getestet.
Im Extremfall hinterlässt der Angriff gar keine Spur im Datenspeicher, sondern setzt am Arbeitsspeicher an. Die Manipulation des RAM mit dem Ziel, Privilegien zu erlangen, um dann Schadcode auszuführen ohne dabei einen Alarm auszulösen – das setzt die neuesten Maßstäbe bei Advanced Threats. Heute dauert es in der Regel fünf bis neun Monate, bis Organisationen APTs entdecken.
Täuscht es, oder ist die Security-Industrie den Cyberkriminellen immer etwas hinterher?
Carsten Böckelmann: Das täuscht. Die vielen abgewehrten Angriffe erhalten ja nicht die Aufmerksamkeit wie die erfolgreichen Attacken. Aber richtig ist auch: Herkömmliche, signatur-basierte Malware-Erkennung als alleinige Sicherheitsvorkehrung ist überholt. Das wird angesichts der Masse individualisierter Angriffe nie wieder ausreichenden Schutz bieten.
Cyberkriminalität ist ein sehr lukratives Geschäftsmodell und die kriminellen Organisationen stecken schier endlose Ressourcen in einzigartige und maßgeschneiderte Bedienungsanleitungen für Malware oder Spear Phishing-Angriffe auf genau definierte Benutzergruppen. Deshalb setzen die Sicherheitslösungen der Zukunft auf maschinelle Algorithmen, die das Verhalten des einzelnen Nutzers lernen und verstehen und Anomalien erkennen können.
Und mit welchen Technologien können Unternehmen die Cyber-Gefahren abwenden?
Carsten Böckelmann: Durch kluge Nutzung von Big Data und Machine Learning kann unsere Software derzeit schon völlig unbekannte Schadsoftware mit 99,99 Prozent Zuverlässigkeit erkennen. Unser Anspruch ist aber, auch APTs schneller zu entlarven. Im Jahr 2017 werden wir die erste Sicherheitslösung auf den Markt bringen, die auf Hypervisor-Ebene läuft und alle virtuelle Maschinen darunter sichert. Unser Produkt Hypervisor Introspection, kurz HVI, scannt in Echtzeit den Arbeitsspeicher des Hypervisors und überwacht so dessen virtuelle Gast-Maschinen. Sie erkennt zum Beispiel verhaltensbasiert, ob jemand versucht, Sicherheitslücken zu nutzen, eine Rechte-Ausweitung durchzuführen oder den Antivirus auszutricksen.
Wie ordnen Sie das zwischen den bisherigen IT-Security- Ansätzen ein?
Carsten Böckelmann: Man spricht unter Security-Experten vom Dilemma „Kontext versus Isolation“. Die Instrumente der Netzwerksicherheit, wie Firewalls, sind isoliert von den geschützten Workloads, die auf den Endgeräten laufen. Sie haben einen unabhängigen Blick und können das Endgerät prinzipiell abschirmen. Aber wenn ein Endpoint einmal kompromittiert ist, können sie nicht mehr viel ausrichten, weil der lokale Kontext fehlt. Auf der anderen Seite kennen traditionelle Endpoint Security-Tools den Kontext ihres Endgeräts sehr genau, jedoch fehlt diesen die Isolation. Der Schadcode kann sich die gleichen Rechte wie das Security-Tool aneignen und die Sicherheitsmechanismen außer Gefecht setzen.
Kontext versus Isolation heißt: Bisher gab es keine Möglichkeit, den Verteidigern höhere Privilegien auf dem Endgerät einzuräumen als den Angreifern. Jetzt schon: Hypervisoren können einerseits den vollständigen Kontext kontrollieren und sind dennoch isoliert von der virtuellen Maschine. Wenn Malware sich nicht mehr tarnen und verstecken kann, könnte das Sicherheitsverantwortlichen eine Verschnaufpause verschaffen.
Könnte man es auch so ausdrücken, dass es Zeit für die IT-Sicherheit ist, die Veränderungen durch Virtualisierung aufzugreifen?
Carsten Böckelmann: Auch das ist richtig. Wir haben bei Bitdefender bereits früh Antivirus-Lösungen speziell für virtuelle Umgebungen entwickelt. Aber da ging es um effizientes Management. Jetzt sind wir die ersten, die den Virtualisierungs-Layer für eine bessere Erkennungsleistung nutzen. Angesichts der Bedeutung von virtualisierten Maschinen in heutigen IT-Architekturen ist das ein Riesenschritt.
Wie soll HVI diese höheren Privilegien nutzen?
Carsten Böckelmann: Da der Schutzmechanismus auf einer Schicht läuft, die mehr Rechte als die Betriebssystem-Ebene der virtuellen Maschine hat, kann er komplett ohne Agent auf dem virtuellen Endpoint agieren. Der Vorteil: Der Angreifer kann das Sicherheitssystem nicht aushebeln – der Gegner ist für ihn unsichtbar.
Der Fokus der Hypervisor Introspection liegt allein auf Erkennung der Angriffsmethode im Arbeitsspeicher. Es gibt zwar eine scheinbar unendliche Zahl an Schadprogrammen, aber nur eine endlich hohe Zahl an Angriffsvektoren und an Methoden, Schaden anzurichten oder Daten zu stehlen. Die kennen wir gut. Mit Memory Introspection können wir Manipulationen aufspüren, wie zum Beispiel Code Injection, Function Detouring, API Hooking. Selbst ausgeklügelte individualisierte Bedrohungen, Kernel-mode Malware und Zero-Day Exploits lassen sich erkennen und ausbremsen. Und zwar bevor sie das Zielsystem kompromittieren.
Wie arbeitet die Lösung mit dem Hypervisor zusammen?
Carsten Böckelmann: Wir haben die Lösung in jahrelanger Kooperation mit Citrix verwirklicht. Der Citrix Xen-Server enthält nun eine API, die Introspektion durch eine virtuelle Security Appliance ermöglicht. Es ist die erste API dieser Art und Bitdefenders HVI ist die erste Lösung, die sie nutzt. Hypervisor Introspection nutzt die Rechte des Hypervisors, die höher sind als die des Betriebssystems der Gast-Maschine, und kann über die Hardware Sicherheit durchsetzen.
Auf diese Weise erhalten wir bisher beispiellose Einsichten in den Raw Memory der virtuellen Maschinen. Statt sich mit schädlichem Code zu beschäftigen, erkennt unsere Lösung Angriffstechniken. Zu den positiven Nebeneffekten dieses neuen Ansatzes gehören übrigens, dass das Sicherheitssystem verschiedenste Betriebssysteme auf den Gastmaschinen unterstützt und weniger CPU-Leistung beansprucht.
Und ab wann können Unternehmen HVI testen?
Carsten Böckelmann: Wir haben Hypervisor Introspection dem Fachpublikum schon auf einigen Veranstaltungen vorgeführt und tun das nun auch erstmals in Deutschland. Das Produkt ist jetzt verfügbar. Aus unserer Sicht ist das ein Durchbruch in der Sicherheitsforschung und wir freuen uns sehr darauf, mit unseren Kunden die Chancen durch Hypervisor Introspection in ihrem Unternehmen zu besprechen.
Ulrich Parthier: Herr Böckelmann, wir danken für dieses Gespräch.
