Bromium Advanced Endpoint Security

Angriffe isolieren

10. Juni 2016, 6:00 Uhr | Dr. Wilhelm Greiner

Seit wenigen Monaten vertreibt Sicherheitsspezialist Bromium seine Advanced Endpoint Security auch im DACH-Markt. Die Software dient dem Schutz von Endgeräten vor Angriffen und Zero-Day-Bedrohungen mittels Mikrovirtualisierung der Aktivitäten auf dem Gerät. Dies schützt laut Bromium vor Malware, ohne dass diese als solche erkannt werden muss.

Bromium nutzt hardwareisolierte Mikro-VMs, in denen alle Anwenderaktivitäten gekapselt werden. Dadurch, so der Hersteller, erreiche Malware nie das Betriebssystem, und selbst Systeme, die nicht auf aktuellem Upgrade- oder Patch-Stand sind, blieben geschützt. Laut Jochen Koehler, Regional Director DACH bei Bromium, läuft die Lösung auf Prozessoren, die Intels x86-Virtualisierungstechnik VT-X unterstützen: Mindestanforderung sei Intels i3-Generation, somit sei die Lösung natürlich auch auf den aktuellen i5- und i7-Prozessoren lauffähig. Ebenfalls möglich sei der Betrieb auf AMD-Prozessoren, denn mit AMD-V sei auch bei Intels Konkurrenz ein vergleichbares Virtualisierungsverfahren längst Standard.
Bromiums hardwarebasierte Mikrovirtualisierung dient dem Schutz vor den verbreitetsten Angriffsvektoren: Einfallstore, so Koehler, seien heute vorrangig die Browser, aber auch Microsoft-Office-Dateien, PDFs, Bilder und die Dateikomprimierung. Bromium schütze hier vor Missbrauch durch die Isolation der jeweiligen Prozesse bei der Nutzung der zugeordneten Applikationen, also zum Beispiel: Aufruf einer Webseite mit einem gängigen Browser (Chrome, Firefox, Internet Explorer), Öffnen eines Word- oder Excel-Dokuments, Betrachten eines PDFs (mit Acrobat Reader) oder eines Bildes (mit Microsoft Image Viewer oder Media Player), Entpacken von Zip-Archiven.
Bromiums Schutzfunktion ist also nicht generisch, vielmehr muss die Lösung die jeweilige Anwendung "kennen". Die erwähnten Applikationen isoliert der Hersteller unter Windows 7, 8/8.1 und 10. Unter Mac OS X wird lediglich das sichere Browsing unterstützt. Laut Koehler wäre auch die Isolation unternehmensspezifischer Apps technisch kein Problem, allerdings wäre dies eine Zusatzentwicklung im Projektgeschäft, und dafür fehlten Bromium derzeit die Ressourcen. Deshalb konzentriere man sich auf die wichtigen Standardapplikationen und -Tools.
Bromium unterscheidet zwischen vertrauenswürdigen und fremden (Trusted/Untrusted) Quellen: Vertraut wird Dateien, die am eigenen Rechner entstanden sind oder aber aus dem Intranet des Unternehmens stammen (sofern der Administrator dies so vorgibt) - alles andere wird als "Untrusted" eingestuft. Eine wichtige Einschränkung der Lösung: Nicht geschützt bleiben derzeit Server-Anwendungen sowie Applikationen von Partnern in einem föderierten (und damit vertrauenswürdigen) Verbund.
Beim Entpacken von Zip-Dateien, so Koehler, öffne die Software die Zip-Anwendung in einer Mikro-VM und versehe alle entpackten Dateien beim Speichern mit einem Tag, das sie als Files aus nicht vertrauenswürdiger Quelle ausweist. Wird eine solche Datei dann aufgerufen, öffne Bromium sie automatisch wieder in einer Mikro-VM.
Solange der Anwender ausschließlich per Bromium mikrovirtualisierte Applikationen nutzt, bleibt als Angriffsvektor also lediglich die Möglichkeit, dass ein Angreifer es schafft, auf dem Endgerät eine infizierte App zu installieren - auch auf Smart Devices aufgrund der Sicherheitskonzepte von Apple IOS und Google Android der bevorzugte Angriffsweg. Zur Abwehr dieses Vektors kann der Bromium-Administrator eine exe-Datei zunächst in einer Mikro-VM ausführen, um ihr Verhalten zu prüfen, so Koehler. Die Analyse des Applikationsverhalten könne dann als Basis für die Erlaubnis oder das Sperren der jeweiligen Anwendung geben. Der Administrator könne auch per Richtlinie vorgeben, dass exe-Dateien aus nicht vertrauenswürdiger oder unbekannter Quelle immer in einer Mikro-VM starten.
Neben dieser Endpoint Protection umfasst die Suite die Module Endpoint Monitoring und Threat Analysis. Endpoint Monitoring dient der Echtzeitüberwachung zentraler Systemparameter, Threat Analysis der Echtzeitanalyse von Malware-Angriffen.
Die Kosten gibt Bromium-Mann Koehler bei 500 bis 1.000 Lizenzen mit "unter 100 Euro pro Device" an. Der Vertrieb erfolgt über die Partner Brekom, Cirosec, IT-Cube, NTT und neuerdings auch Computacenter.

Der Autor auf LANline.de: wgreiner
Info: BromiumWeb: www.bromium.com

Bromiums Mikrovirtualisierung schützt vor Malware, ohne dass sie diese als solche erkennen muss. Bild: Bromium

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Ulteo

Weitere Artikel zu BullGuard Germany GmbH

Matchmaker+