Memory Introspection für den Hypervisor: ein neues Sicherheitsframework für virtualisierte Umgebungen

Dadurch wurde die Verwaltung dieser Umgebungen zunehmend komplexer und teurer. Heute entwickeln sich Rechenzentren von isolierten Systemen zu vernetzten Pools virtualisierter Ressourcen an mehreren Standorten. Der Traum vom vollkommen virtualisierten Rechenzentrum wird nun Realität.

Technologien für IT-Security konzentrieren sich derzeit meist auf traditionelle Infrastrukturen – mit Memory Introspection für den Hypervisor lassen sich dagegen auch virtualisierte Umgebungen umfassend absichern (Bild: Bitdefender).

Die sogenannten „Rechenzentren ohne Wände“ helfen Unternehmen, Kosten zu senken und die Effizienz der IT zu maximieren. Die Kosteneinsparungen und die neue Elastizität, die mit der Virtualisierung einhergehen, überzeugen immer mehr Anwenderunternehmen und tragen wesentlich zur schnellen Einführung von virtualisiertem Computing bei. 2013 verfügten 77 Prozent der kleinen und mittelgroßen Unternehmen über eine Art von Virtualisierung.

Die Vorteile der Virtualisierung von Anwendungen, Desktops, Hardware oder Netzwerken liegen auf der Hand. Es ist dagegen jedoch noch nicht klar, wie sich Sicherheit mit dem neuen Paradigma vereinbaren lässt.

Zwar hat Virtualisierung grundsätzlich das Potenzial, die Systemsicherheit erheblich zu verbessern, aber es hat sich schon gezeigt, dass auch Hypervisoren nicht perfekt sind. So konnten etwa in neuen Versionen Angreifer über Schwachstellen unbefugt Berechtigungen ausweiten und somit den Host zum Absturz bringen oder Zugriff auf sensible Bereiche des Netzwerks erlangen.

Mit Memory Introspection für den Hypervisor bekommen auch virtuelle Maschinen synchronen Echtzeitschutz gegen ein breites Spektrum von Bedrohungen (Bild: Bitdefender).

Außerdem müssen wir ein Problem lösen, das in der Branche bekannt ist: Moderne Malware-Angriffe umgehen die herkömmlichen, betriebssysteminternen Sicherheitsvorkehrungen. Dies ist darauf zurückzuführen, dass moderne Malware im selben Kontext und mit den gleichen Berechtigungen ausgeführt wird wie die Programme, die vor Malware schützen sollen.

Bitdefender will dieses Problem lösen, indem von außerhalb des Gastbetriebssystems für Sicherheit gesorgt wird. Bei der Technologie der Kernel Memory Inspection werden das rohe Speicherimage des Gastbetriebssystems, Dienste und Benutzermodus-Anwendungen analysiert und sowohl der Kernel- als auch der Benutzerspeicher geprüft, um Bedrohungen wie bekannte Hooking-Techniken von Rootkits, Zero-Day- oder Out-of-Reach-Schadsoftware, die von der Sicherheitslösungen des Betriebssystems unerkannt ausgeführt werden können, zu identifizieren. Kernel Memory Inspection hilft auch, Benutzerprozesse gegen Angriffe wie Codeinjektion, Function Detouring, unkomprimierten Schadcode und stapelweise Codeausführung zu schützen.

Memory Introspection stellt sicher, dass die Malwareschutz-Anwendung außerhalb des überwachten Gastsystems ausgeführt werden kann, ohne sich auf Funktionen zu stützen, die durch moderne Schadsoftware kompromittiert werden kann. Dazu muss weder ein Assistent noch eine andere Art spezieller Software innerhalb des Gastsystems ausgeführt werden.

Memory Introspection ist damit ein gigantischer Sprung vorwärts und revolutioniert IT-Sicherheit, wie wir sie bislang kennen. Aktuell ist nur die Implementierung noch etwas komplex. Dazu tragen Kompatibilitätsproblemen mit Hardware, der Bedarf an Rechenleistung und Ressourcen sowie die „semantischen Lücke“ – also die Schwierigkeit, semantische Bedeutung aus der hardwarebezogenen Sicht des Hypervisors exakt auf ein Gastbetriebssystem zu extrahieren, bei. Aber mit den zunehmenden Erfahrungen aus der Praxis werden im Laufe der Zeit auch die letzten, verbleibenden Schwierigkeiten ausgeräumt werden.

Gut bekannt ist Kernel Memory Inspection bereits im akademischen Bereich. Bitdefender hat die Grundidee jedoch wesentlich weiterentwickelt und bietet nun synchronen Echtzeitschutz für virtuelle Maschinen gegen ein breites Spektrum von Bedrohungen.

Die Virtualisierungstechnologie entwickelt sich weiter und bringt höhere Automatisierungsgrade und umfassendere Frameworks für die effizientere Verwaltung virtualisierter Umgebungen. In diesem Zusammenhang ist die Technologie der hypervisorbasierten Memory Introspection ein zukunftssicherer Fortschritt mit einer nahezu unbegrenzten Zahl an Anwendungsmöglichkeiten in unterschiedlichen Bereichen – vom Gesundheitswesen bis zur Mobilität im Unternehmen.