Bitdefender stellt erste agentenlose Hypervisor-Sicherheit vor
Der Sicherheitsanbieter Bitdefender stellt die neue Lösung Hypervisor Introspection (HVI) vor. Damit bringt das Unternehmen laut eigenen Angaben die erste Sicherheitslösung für virtualisierte Umgebungen auf den Markt, die zu 100 Prozent ohne Agenten auskommt. Die Lösung richtet sich vor allem gegen so genannte Advanced Persistent Threats, also hochgradig spezialisierte Malware, die häufig gar nicht oder erst nach Monaten als solche erkannt wird.
“Die besondere Herausforderung heute ist”, so Carsten Böckelmann, Regional Sales Director DACH-NL bei Bitdefender vor Journalisten in München, “dass wir Malware sehen, die sauberer programmiert ist, als so manche Applikation.” Damit reichen heute Tools, die bis vor zwei drei Jahren noch ein ausreichendes Maß an Sicherheit boten, inzwischen längst nicht mehr aus.
Gegen diese Entwicklung soll die neue HVI-Lösung Abhilfe schaffen. Es ist laut Bitdefender die erste Lösung, die vollständig ohne Agenten auskommt und auch nicht vom Betriebssystem aus auf die Anwendungen schaut, sondern mit auf dem Hypervisor sitzt und von dort aus die Prozesse im Arbeitsspeicher überwacht. “Damit ist es für Hacker unmöglich, diese Lösung zu umgehen”, versichert Mirco Rohr, Global Evangelist bei Bitdefender. HVI sitze auf dem höchsten Ring (-1) und werde damit komplett außerhalb des Betriebssystems ausgeführt.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Die Lösung ist ab sofort für Citrix XenServer verfügbar. Für diese Überwachung greift HVI als Teil der Sicherheits-Konsole Gravityzone auf die XenServer Direct Inspect API zu. So kann HVI den Arbeitsspeicher des Hypervisors überwachen.
“Jede Malware braucht Arbeitsspeicher”, betont Rohr und hier setze auch die Lösung an. Durch die Aktionen im Arbeitsspeicher lasse sich sehr schnell erkennen, ob anomales Verhalten vorliege, so Rohr, denn im Grunde gebe es nur wenige Angriffsmethoden und diese würden als anomales Verhalten erkannt und dann blockiert. Somit könne die Lösung auch Schädlinge deaktivieren, die noch nicht bekannt oder gepatcht sind.
In der Pilotphase, die in den zurückliegenden Monaten lief, konnte sich das Konzept etwa im Kampf gegen den Schädling WannaCry und den Angriffsweg EternalBlue behaupten, auch schon bevor das Leck gepatcht wurde.
“Hypervisoren haben es Rechenzentren ermöglicht, Ressourcen besser zu nutzen, die Geschäftskontinuität zu verbessern und Workloads zu isolieren”, so Harish Agastya, Vice President für Unternehmenslösungen bei Bitdefender. Bislang habe niemand das Potenzial des Hypervisors in Sachen Sicherheit ausgeschöpft. “Man kann den Hypervisor für die Sicherheit nutzen und sich damit in einen allmächtigen ‘God Mode’ versetzen, um ausgeklügelte Attacken abzuwehren”, so Agastya weiter.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Rohr erklärt, dass Bitdefender seit etwa fünf Jahren an der Lösung arbeitet. Die lange Entwicklungsdauer erkläre sich aber damit, dass die Lösung sehr nah “am Blech” operiere. Daher sei sie auch vollständig in Assembler programmiert, was die Arbeit zusätzlich erschwert habe. Zudem habe es eine Kooperation mit dem Prozessor-Hersteller Intel gegeben.
Cristian Avram, Technical Training Manager bei Bitdefender, erklärt, dass die Lösung den Zugriff auf den Arbeitsspeicher der Hypervisoren brauche. Und zudem “muss HVI wissen, wie ein Betriebssystem mit dem Arbeitsspeicher umgeht.” Das bedeutet, dass Bitdefender jedes einzelne Betriebssystem integrieren muss. Derzeit werden als Gastsysteme sämtliche Windows-Versionen bis zu Windows 7, sowie aktuelle Versionen von Windows Server und gängige Linux-Distributionen wie Ubuntu, Red Hat, CentOS und Debian unterstützt, wie aus einem Datenblatt hervorgeht (PDF). Als Anforderungen an den Host nennt Bitdefender Intel Sandy-Bridge-Prozessoren oder jünger mit Support für Virtualization Technology. Als Software wird derzeit XenServer ab Version 7 unterstützt.
“Citrix war hier sehr interessiert”, daher stehe HVI auch zuerst für Citrix zur Verfügung. Rohr ergänzt, dass die Technologie sich auch mit anderen Hypervisoren vertrage, doch sei es eben Grundvoraussetzung, dass die Lösung Zugriff auf die APIs habe. Man sei mit Microsoft und VMware im Gespräch, um auch für deren Hypervisoren künftig Support liefern zu können. Die Lösung steht ab sofort zur Verfügung und lässt sich als Modul in GravityZone oder Stand-alone in Form einer virtuellen Appliance verwenden.