USD 65.59 ЕВРО 75.18

Bromium – технология виртуализации, которая может оставить вредоносное ПО навсегда в прошлом

Аналитика

15.05.13

Bromium – технология виртуализации, которая может оставить вредоносное ПО навсегда в прошлом

Новый подход к виртуализации может полностью избавить от вредоносного ПО пользовательские компьютеры, мобильные ОС и даже облачные системы.

Есть мнение, что технологии десктопной виртуализации, используемые в решениях от VMware, Parallels и Oracle VirtualBox могут быть использованы в качестве защиты от вредоносного ПО. Некоторые компании даже строят на этом свой бизнес. Например, компания Invincea использует технологию виртуализации на Windows-десктопах, которая позволяет изолировать браузер от остальной системы. В случае обнаружения угрозы, виртуальная машина просто уничтожается и запускается заново.

Изоляция браузера – это определенно хорошая идея, но можно пойти еще дальше. Компания Bromium, основанная бывшим CTO Citrix предлагает решение, основанное на микровиртуализации.

Технология Bromium vSentry несколько отличается от прочих технологий виртуализации, доступных на десктопах, мобильных и облачных платформах. Это тонкий гипервизор. Он не управляет аппаратными ресурсами, как это делает Hyper-V от Microsoft или VMware ESX. Он также не похож на VMware Workstation, Parallels Desktop или Oracle VirtualBox.

Микровизор vSentry работает над операционной системой как стандартный десктопный гипервизор, но при этом активно использует расширения аппаратной виртуализации (VT-x и VT-d), присутствующие в современном поколении x86-процессоров. Вместо управления аппаратными ресурсами или сздания новых инстансов, он жестко регулирует то, каким образом создаются и уничтожаются процессы внутри основной ОС.

Нечто подобное используется в Solaris Zones и Parallels Virtuozzo/OpenVZ, где основная операционная система создает копии самой себя в памяти и создает псевдо-сервера с уникальными библиотеками, конфигурационными файлами, а хранилище приложений полностью изолировано в своей области памяти, и все это запускается над распределенным ядром.

Обычно все это называется виртуализацией ОС. Это крайне эффективный способ, но чаще всего его связывают с Linux- и UNIX-системами. Исследовательское подразделение корпорации Microsoft проводило изыскания в этой области и даже выпустило несколько научных работ о проекте Drawbridge, который имеет много общих характеристик с Solaris Zones и OpenVZ, а также некоторые значительные архитектурные улучшения базовой идеи. Но пока до Windows эта технология не добралась.

Основная задача Bromium и микровиртуализации в целом – это не увеличение плотности или утилизации ресурсов дата-центров, это всего лишь приятный побочный эффект. Главное – это возможность виртуализации каждого процесса, запущенного пользователем или приложением.

Архитектура Bromium построена таким образом, что всякий раз при запуске приложения, оно открывается в изолированной виртуальной машине – Micro-VM. Виртуальная машина берет приложения под полный контроль и предоставляет только те ресурсы, которые ему действительно необходимы. К примеру. Приложение не сможет получить доступ ко всем библиотекам сразу, только к тем, что необходимы ему для работы.

Некоторые приложения запускают сразу по несколько процессов. Например, у некоторых браузеров каждая вкладка – это отдельный процесс. Таким образом, каждая вкладка и каждое расширение получают по собственной виртуальной машине. Никаких дочерних процессов, только параллельные Micro-VM внутри доверенного круга микровизора.

Как только процесс завершается, Miro-VM, в котором он был запущен, уничтожается. Если через этот процесс в систему проникло вредоносное ПО, оно будет уничтожено вместе с виртуальной машиной.

Bomium также предлагает концепцию «копирования при записи». При обращении к таким системным ресурсам как DLL и пользовательские профили, происходит их клонирование, и в дальнейшем используется именно они. Таким образом, оригинальные файлы не могут быть заражены или повреждены в случае атаки.

Кроме того, Bromium постоянно проверяет каждую Micro-VM в поисках признаков атаки или присутствия вредоносного ПО.

К примеру, если вы заходите на какой-нибудь сайт и нарываетесь на попытку редиректа ли фишинга, в дело вступает так называемая система Live Attack Visualization and Analysis (LAVA). Она использует поведенческую подпись атаки, чтобы определить, нужно ли отключить виртуальную машину и оповестить пользователя еще до того, как произойдет взлом. Система умеет отлавливать даже весьма непростые атаки, включая те, что используют полиморфизм, а также руткиты и буткиты.

Bromium намеревается установить эти поведенческие паттерны в качестве открытого стандарта.

Пока что Bromium vSentry не может работать непосредственно на «железе» в Windows-системах. Она не может встать поверх существующей платформы гипервизора. Но препятствий для внедрения этой архитектуры в существующие гипервизоры нет. Она вполне может предоставлять функции изоляции процессов для облачных десктопов через инфраструктуру виртуальных десктопов (VDI).

Сейчас в полную силу Bromium vSentry можно использовать в Microsoft RDS или Citrix XenApp.

Технология может быть портирована под Linux и даже под OS X. Кроме того, когда технологии виртуализации дойдут до ARM-процессоров (а это должно произойти уже в ближайшие несколько лет), те же принципы мжно будет применять и на мобильных устройствах.