Trotz steigender Sicherheitsbudgets sinkt das Vertrauen deutscher Unternehmen in die eigenen Security-Maßnahmen. Eine neue Technologie kann den Schutz vor intelligenten Bedrohungen deutlich erhöhen.
Der traditionelle Sicherheitsansatz aus Netzwerktechnologien, Intrusion Prevention und Anti-Malware-Lösungen reicht zur Abwehr moderner, intelligenter Angriffe nicht mehr aus. Entsprechend sank die Zuversicht in die Wirksamkeit der eigenen Schutzmaßnahmen bei deutschen Mittelständlern und öffentlicher Verwaltung gemäß TechConsult von 54 auf 50 von 100 möglichen Punkten. Gleichzeitig stieg der Gefährdungsindex um einen Punkt auf 49, obwohl mehr als die Hälfte der deutschen Firmen glaubt, dass die Ausgaben für IT-Sicherheit und Datenschutz in diesem Jahr deutlich steigen. Laut NIFIS erwarten 44 Prozent ein Wachstum um mindestens ein Drittel.
Dieser Zwiespalt liegt wohl hauptsächlich am aktuellen Gefahrentrend zu Advanced Persistent Threats (APTs). Die intelligenten Bedrohungen bahnen sich häufig über Social Engineering den Weg in das Unternehmensnetzwerk. Dabei verstecken sie ihre Spuren vor herkömmlichen Security-Lösungen. Diese glauben nämlich den von Schadprogrammen erzeugten falschen Informationen. Außerdem wird die Malware oft mit den gleichen Administratorrechten ausgeführt wie eine Sicherheitslösung und kann sich darüber hinwegsetzen.
Prüfung des Betriebssystems. Um dies zu verhindern, müssen Sicherheitslösungen davon ausgehen, dass die Informationen von Kernel und Betriebssystem möglicherweise verändert wurden. Sie sollten sozusagen hinter das Betriebssystem blicken. Dies ist bei aktuellen Virtualisierungs-Technologien möglich, da der Hypervisor sich mit einer Technologie verbinden lässt, die den Raw Memory Stack jeder virtuellen Maschine einsehen kann. Da Hypervisor Introspection (HVI) direkt mit dem Raw Memory arbeitet, kann ein Schadprogramm seine Aktivitäten nicht mehr verschleiern. Denn jeder hier ausgeführte Code wird nicht verschlüsselt, sondern nur chiffriert. So lassen sich Exploits und Skript-basierte Angriffe blockieren, die Schadcode auf einer Maschine ausführen wollen, bevor sie das Betriebssystem erreichen.
HVI nutzt keine Informationen, die das Betriebssystem bereitstellt, und analysiert den Raw Memory auf Hypervisor-Ebene. Damit wird es für APT-artige Angriffe unmöglich, das Betriebssystem der VM zu infizieren. Sogar bei einem Zero-Day-Exploit erkennt die Introspection Engine die bösartige Aktion. In Praxistests konnte die Technologie bereits ihre Effektivität gegen bekannte APTs belegen.
Beim Einsatz von HVI sollten Unternehmen darauf achten, dass die Hersteller der Sicherheitslösung und der Virtualisierungstechnologie eng zusammenarbeiten, um mögliche Lücken zwischen den Systemen zu vermeiden. So hat Bitdefender die Technologie in enger Kooperation mit Citrix entwickelt und stellt sie als Demo-Version bereit. HVI kann somit auf Citrix-Lösungen ohne Agenten auskommen und hat nur einen minimalen Einfluss auf die Performance der virtuellen Maschinen. Damit können Unternehmen ihre Budgets für IT-Sicherheit im Griff halten und gleichzeitig das Gefahrenpotenzial deutlich reduzieren.
Mirco Rohr,
Global Evangelist
bei Bitdefender
Illustration: © wk1003mike /shutterstock.com
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.
Skalierbare Sicherheitslösungen bieten Schutz und Transparenz
Data Breach Detection – IT-Einbrüche schnellstmöglich entdecken
Security Schwachstellenmanagement: Herstellerleistung zeigt große Spannbreite
Abhör-»Feature« von Hypervisor kann Daten aus der Cloud zu Nachrichtendiensten leaken
Backup- und Recovery-Software für Rechenzentren – Worauf es ankommt
Standortübergreifendes Monitoring: Einfaches Lizenzmodell für komplexe Netzwerkstruktur
Sicherheitslösungen für Rechenzentren nach einem neuen Paradigma