Bromium: Zeitaufwand zur Schadcode-Erkennung im Hacker-Interesse

Dauer laut eigenen Untersuchungen zwischen 27 Minuten und 31 Stunden

[datensicherheit.de, 11.08.2019] Beim Angriff mit neuer Malware reicht das Zeitfenster von deren Auftauchen beim Opfer bis zur Erkennung – und seien es nur Minuten – offensichtlich aus, um bereits Schaden anzurichten. Also nur auf Detektion zu setzen, könne folglich nicht der „Heilige Gral der IT-Sicherheit“ sein, so Bromium. Bis neue Schadsoftware überhaupt erkannt wird, vergehe immer Zeit. Bromium hat diese Problematik nach eigenen Angaben am Beispiel eines Kunden detailliert untersucht.

35 isolierte Threats – 29 definitiv bösartig, der Rest unbekannt oder verdächtig

Im Juni 2019 seien bei diesem Kunden mit der Bromium-Lösung „Secure Platform“, welche laut Bromium „Applikations-Isolation mittels Micro-Virtualisierung bietet“, genau 35 Threats isoliert worden. Davon seien 29 definitiv bösartig gewesen, die restlichen entweder noch unbekannt oder Alarmierungen aufgrund eines verdächtigen Verhaltens.
Konkret seien 25 verschiedene Malware-Typen identifiziert worden, wobei bei acht zum Zeitpunkt der Isolation eine Hash-basierte Erkennung noch nicht möglich gewesen sei. „Bis sie letztlich überhaupt erkennbar waren, vergingen dann nach Bromium-Untersuchungen zwischen 27 Minuten und 31 Stunden.“

Unternehmen und Behörden fokussieren immer noch hauptsächlich auf Detektion von Angriffen

„Und genau an diesem Punkt zeigt sich das ‚Window of Opportunity’ für die Angreifer, die sehr wohl wissen, dass sich viel zu viele Unternehmen und Behörden immer noch hauptsächlich mit der Detektion von Angriffen beschäftigen“, erläutert Jochen Koehler, „Regional VP Sales Europe“ bei Bromium in Heilbronn.
Koehler ergänzt: „Die logische Konsequenz lautet, potenziell gefährliche User-Aktivitäten strikt zu isolieren, anstatt weiterhin nur auf Erkennung zu setzen.“

Foto: Bromium

Jochen Koehler, „Regional VP Sales Europe“ bei Bromium

Micro-Virtualisierungstechnologie – effektivste Möglichkeit zur Isolation von Gefahren

Die derzeit effektivste Möglichkeit für die Isolation von Gefahren bietet demnach die Micro-Virtualisierungstechnologie. Diesen Ansatz verfolge Bromium seit Einführung seiner Software „Secure Platform“. Diese Lösung schließe die zeitliche Lücke zwischen Auftreten und Erkennung von Schadsoftware.
Zentrale Lösungsbestandteile seien „ein ,Xen‘-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen“.

Micro Virtual Machines kapseln riskante Anwenderaktivitäten mit Daten fremder Quellen

Basierend auf dieser Technologie würden Hardware-isolierte „Micro Virtual Machines“ (VMs) realisiert, die alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen kapselten.
Dazu gehörten das Aufrufen einer unternehmensfremden Webseite über einen Link in Dokumenten oder E-Mails, das Herunterladen einer Datei von solchen Webseiten, das Öffnen und Bearbeiten eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums.

Mögliche Schädigungen auf jeweilige virtuelle Instanz begrenzen

Mögliche Schädigungen durch bisher unbekannte Malware blieben immer auf die jeweilige virtuelle Instanz begrenzt, die zudem nach Beendigung einer Aktivität, etwa dem Speichern eines Files oder Schließen eines Browser-Tabs, automatisch gelöscht werde.
Eine Infizierung des Endgeräts mit Schadsoftware und nachfolgend des Unternehmens- oder Behördennetzes über einen dieser Wege sei damit „nahezu ausgeschlossen“.

Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig

Gegenüber traditionellen, erkennungsbasierten Sicherheitslösungen biete ein Einsatz der Bromium-Isolationslösung noch weitere positive Nebeneffekte:
Der mit „False Positives“ verbundene Analyseaufwand entfalle und „False Negatives“ blieben ohne Auswirkungen, da Bedrohungen isoliert seien. Nicht zuletzt werde auch das Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig.

Threat Intelligence im Interesse der Sharing Community

Zum Serviceangebot von Bromium gehöre auch die Erstellung eines regelmäßigen „Threat Insights Report“ mit einer Auswertung von bei Kunden isolierten Threats:
„Immer mehr Anwender stellen dafür ihre Daten bereit“, berichtet Koehler, „und von dieser ,Threat Intelligence‘ profitieren dann unmittelbar alle anderen Mitglieder der ,Bromium Threat Sharing Community‘.“

Weitere Informationen zum Thema:

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser

datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem