Servus,
nachdem hier auch einige Leute mit Verstand sind und evtl. das ein oder andere Produkt kritisch beugen und an neuem Interessiert sind - möchte ich euch eine Software "Vorstellen" und nach eurer Einschätzung / Meinung fragen.
Es geht um https://www.bromium.com/
Die Software gibt es seit ~2 Jahren als fertiges Produkt, ist aber bisher Quasie nur auf dem Amerikanischen Markt vertreten gewesen und in Deutschland kaum bekannt. Erfinder / Founder sind unter anderem die Erfinder von "Xen..."
Die Denkweise / Funktion der Software ist nicht ganz simpel zu verstehen - daher wird der Beitrag wohl ein wenig länger
Was ist Bromium nicht?
- keine x-te Sandbox Lösung
- keine Anwendungsvirtualisierung (Thinapp, Docker usw.)
Was macht Bromium (außer einen komischen Namen zu haben)
Die Software erstellt grob gesagt beim Boot ein Abbild des OS im Speicher (OS, nicht alle laufenden Anwendungen) (benötigt also im Betrieb ~1gb Ram)
Und erstellt dann für jeden Thread der in einer Bromium-Session läuft einen linked-Clone auf diese Virtuelle Version des Betrienssystems als Micro-VM die direkt über die z.B. Vt-x Erweiterung / den Bromium-Hypervisor auf der CPU läuft.
Micro-VM deswegen da kein OS geklont wird sondern ausschließlich eine minimal-Referenz (das was die Software benötigt) virtualisiert wird.
Der Hypervisor simuliert dabei unterhalb des Kernels bzw. den gesamten Kernel mit.
Der ganze Hypervisor hat ~70.000 Zeilen Code uns ist somit sehr überschaubar > Fehleranfälligkeit bzw. Sicherheitslücken sinken Statistisch erst mal.
Der Administrator teilt nun den PC in "gut" und "böse" auf. Böse ist per default erst mal alles was mit dem Internet in irgendeiner Weise zu tun hat, sprich Anwendungen wie der Webbrowser, E-Mail aber auch mal Teamviewer usw. Es geht nicht darum jegliche Software auf dem PC zu kapseln oder vorhandene Firmen-Parameter deswegen zu ersetzen (Proxy, Firewalls, Virenscanner, IPS und vieles mehr). Was aber für mich auch durchaus Sinn macht. Ebenso können *unbekannte, vom Anwender installierte Programme* oder Dateiendungen usw. nach belieben als böse definiert werden.
Wenn man nun das Beispiel Webbrowser nimmt.
Der Anwender öffnet den Internet Explorer > für den ersten Tab! wird eine Micro-VM erzeugt. Zeitdifferenz hierbei ~20ms zur normalen Startzeit.
Zusätzlicher Ram-Bedarf ca. 50KB pro Micro-VM. Der Anwender Surft und öffnet einen weiteren Tab. jeder Tab ist eine eigene Micro-Vm, sobald ein Tab geschlossen wird wird die Micro-VM (inkl. allem was sich dort eingenistet haben könnte) zerstört.
Die Micro-VM läuft dabei vollständig transparent für den Anwender (etwa wie bei Vmware Workstation Unity-Mode).
Nun möchte der Anwender eine Datei downloaden, ist das kein Problem. Die Datei wird normal ins Filesystem gespeichert. ABER Bromium merkt sich das diese Datei aus einer Bromium-Session (also aus potenziell böser Quelle) gekommen ist und öffnet die z,B. pdf beim Doppelklick im PDF-Viewer wieder automatisch in einer Bromium-Session. So das anhand der Herkunft einer Datei (Somit auch eines Schädlings) sichergestellt ist das dieser nicht ausbrechen kann.
Insofern nun ein .docx das per E-Mail gekommen ist geöffnet wird und schadhafte Prozesse ausführt passieren diese alle in der Micro-VM, selbst Kernel-Exploits haben keine Change da der Kernel ebenso virtuell ist. Daten wie Username, ip usw. sind gefaked. Der Angriff wird jedoch zusätzlich protokolliert und den Administratoren zur Verfügung gestellt (mit kompletter Prozesskette was in der Micro-VM passiert ist / versucht wurde.) Passiert in *echt* ist jedoch natürlich nichts.
Zusätzlich läuft in der Micro-VM eine Heuristic die bösartiges Verhalten im Ansatz trotzdem erkennt und verhindert (auch wenn das Verhalten keinen Schaden anrichten würde) - um unter anderem dem Anwender ein Reibungsloses Arbeiten sicherzustellen, wenn das geöffnete Makro eine DDOS-Attacke startet und das Netzwerk auslastet ist das Arbeiten halt etwas langsamer .
Bisher habe ich die Software selber nicht im Einsatz - es gibt jedoch Überlegungen diese zu implementieren. Bisher gibt es die Lösung *leider* nur für Enterprise-Kunden, evtl. kommt ja auch mal eine Consumer-Variante.
So ziemlich an allen Next-Gen Security-Lösungen hat mich recht viel gestört, sei es die schlichte Wirkungslosigkeit (jedenfalls wenn man weiter als 6 Monate denkt), der kaum Stemmbare Administrative Aufwand (z,B. bei Applikations-Whitelisting) oder das der Anwender an der Arbeit gehindert wird / geschult werden muss / einen Umweg gehen muss um sein Ziel zu erreichen (normale Sandboxing verfahren unterschiedlichster Art).
Die ganze Software wird regelmäßigen Pen-Tests unterworfen und die Firma veröffentlicht Kunden die Ergebnisse + die Tests die darauf ausgeführt wurden.
Was haltet ihr von dem ganzen?
nachdem hier auch einige Leute mit Verstand sind und evtl. das ein oder andere Produkt kritisch beugen und an neuem Interessiert sind - möchte ich euch eine Software "Vorstellen" und nach eurer Einschätzung / Meinung fragen.
Es geht um https://www.bromium.com/
Die Software gibt es seit ~2 Jahren als fertiges Produkt, ist aber bisher Quasie nur auf dem Amerikanischen Markt vertreten gewesen und in Deutschland kaum bekannt. Erfinder / Founder sind unter anderem die Erfinder von "Xen..."
Die Denkweise / Funktion der Software ist nicht ganz simpel zu verstehen - daher wird der Beitrag wohl ein wenig länger
Was ist Bromium nicht?
- keine x-te Sandbox Lösung
- keine Anwendungsvirtualisierung (Thinapp, Docker usw.)
Was macht Bromium (außer einen komischen Namen zu haben)
Die Software erstellt grob gesagt beim Boot ein Abbild des OS im Speicher (OS, nicht alle laufenden Anwendungen) (benötigt also im Betrieb ~1gb Ram)
Und erstellt dann für jeden Thread der in einer Bromium-Session läuft einen linked-Clone auf diese Virtuelle Version des Betrienssystems als Micro-VM die direkt über die z.B. Vt-x Erweiterung / den Bromium-Hypervisor auf der CPU läuft.
Micro-VM deswegen da kein OS geklont wird sondern ausschließlich eine minimal-Referenz (das was die Software benötigt) virtualisiert wird.
Der Hypervisor simuliert dabei unterhalb des Kernels bzw. den gesamten Kernel mit.
Der ganze Hypervisor hat ~70.000 Zeilen Code uns ist somit sehr überschaubar > Fehleranfälligkeit bzw. Sicherheitslücken sinken Statistisch erst mal.
Der Administrator teilt nun den PC in "gut" und "böse" auf. Böse ist per default erst mal alles was mit dem Internet in irgendeiner Weise zu tun hat, sprich Anwendungen wie der Webbrowser, E-Mail aber auch mal Teamviewer usw. Es geht nicht darum jegliche Software auf dem PC zu kapseln oder vorhandene Firmen-Parameter deswegen zu ersetzen (Proxy, Firewalls, Virenscanner, IPS und vieles mehr). Was aber für mich auch durchaus Sinn macht. Ebenso können *unbekannte, vom Anwender installierte Programme* oder Dateiendungen usw. nach belieben als böse definiert werden.
Wenn man nun das Beispiel Webbrowser nimmt.
Der Anwender öffnet den Internet Explorer > für den ersten Tab! wird eine Micro-VM erzeugt. Zeitdifferenz hierbei ~20ms zur normalen Startzeit.
Zusätzlicher Ram-Bedarf ca. 50KB pro Micro-VM. Der Anwender Surft und öffnet einen weiteren Tab. jeder Tab ist eine eigene Micro-Vm, sobald ein Tab geschlossen wird wird die Micro-VM (inkl. allem was sich dort eingenistet haben könnte) zerstört.
Die Micro-VM läuft dabei vollständig transparent für den Anwender (etwa wie bei Vmware Workstation Unity-Mode).
Nun möchte der Anwender eine Datei downloaden, ist das kein Problem. Die Datei wird normal ins Filesystem gespeichert. ABER Bromium merkt sich das diese Datei aus einer Bromium-Session (also aus potenziell böser Quelle) gekommen ist und öffnet die z,B. pdf beim Doppelklick im PDF-Viewer wieder automatisch in einer Bromium-Session. So das anhand der Herkunft einer Datei (Somit auch eines Schädlings) sichergestellt ist das dieser nicht ausbrechen kann.
Insofern nun ein .docx das per E-Mail gekommen ist geöffnet wird und schadhafte Prozesse ausführt passieren diese alle in der Micro-VM, selbst Kernel-Exploits haben keine Change da der Kernel ebenso virtuell ist. Daten wie Username, ip usw. sind gefaked. Der Angriff wird jedoch zusätzlich protokolliert und den Administratoren zur Verfügung gestellt (mit kompletter Prozesskette was in der Micro-VM passiert ist / versucht wurde.) Passiert in *echt* ist jedoch natürlich nichts.
Zusätzlich läuft in der Micro-VM eine Heuristic die bösartiges Verhalten im Ansatz trotzdem erkennt und verhindert (auch wenn das Verhalten keinen Schaden anrichten würde) - um unter anderem dem Anwender ein Reibungsloses Arbeiten sicherzustellen, wenn das geöffnete Makro eine DDOS-Attacke startet und das Netzwerk auslastet ist das Arbeiten halt etwas langsamer .
Bisher habe ich die Software selber nicht im Einsatz - es gibt jedoch Überlegungen diese zu implementieren. Bisher gibt es die Lösung *leider* nur für Enterprise-Kunden, evtl. kommt ja auch mal eine Consumer-Variante.
So ziemlich an allen Next-Gen Security-Lösungen hat mich recht viel gestört, sei es die schlichte Wirkungslosigkeit (jedenfalls wenn man weiter als 6 Monate denkt), der kaum Stemmbare Administrative Aufwand (z,B. bei Applikations-Whitelisting) oder das der Anwender an der Arbeit gehindert wird / geschult werden muss / einen Umweg gehen muss um sein Ziel zu erreichen (normale Sandboxing verfahren unterschiedlichster Art).
Die ganze Software wird regelmäßigen Pen-Tests unterworfen und die Firma veröffentlicht Kunden die Ergebnisse + die Tests die darauf ausgeführt wurden.
Was haltet ihr von dem ganzen?