HypErSIS

Hypervisor-basierter Angriffsschutz für virtualisierte Endpunktsysteme

Ein Hypervisor ist ein mächtiges Werkzeug zur Kontrolle und zum Schutz von virtuellen Maschinen.© Cyberus Technology

Motivation

Cyberangriffe stellen eine erhebliche und stetig wachsende Gefahr für Unternehmen und Behörden dar. Proaktive und präventive Sicherheitsmechanismen bilden daher einen wichtigen Aspekt in der Architektur sicherer IT-Systeme. Die hostbasierte Endpunkt-Sensorik (EDR) bietet die Möglichkeit, bestimmte Ereignisse in IT-Systemen, wie das Starten eines Prozesses, im laufenden Betrieb und direkt auf den Produktivsystemen zu überwachen. Die Sensorik heutiger EDR-Systeme ist vorrangig im Systemkern angesiedelt. Sollte es Angreifern jedoch gelingen, Systemrechte zu erlangen und schadhaften Code im Systemkern ausführen, kann die Funktionalität dieser EDR-Systeme maßgeblich beeinträchtigt oder sogar ganz abgeschaltet werden. In der Folge könnten weitere Cyberangriffe unerkannt ausgeführt werden.

Ziele und Vorgehen

Im Vorhaben „Hypervisor-basierte Einbruchserkennung, -reaktion und -prävention für Endpunktsysteme (HypErSIS)“ beschäftigt sich das Projektteam mit der Absicherung von virtuellen Maschinen (VM) mittels EDR-Systemen. Diese sollen im Hypervisor verankert werden, damit ein Abschalten der EDR-Systeme durch Angreifer unterbunden werden kann. VM werden v.a. in Rechenzentren genutzt, wo auf einem einzigen physischen System eine Vielzahl virtueller Systemen ausgeführt wird. Die Überwachung und Steuerung dieser VM geschieht mittels eines sogenannten Hypervisors, welcher „von außen“ die Kontrolle über die virtuellen Systeme hat. Somit kann selbst ein Vordringen von Schadsoftware in die Kerne der virtuellen Systeme verlässlich erkannt und unterbunden werden. Dazu soll untersucht werden, wie bereits bekannte Verfahren aus der digitalen Forensik mit möglichst geringem Verarbeitungsaufwand auf die Basisfunktionen einer Virtualisierungsplattform abgebildet werden können. Des Weiteren wird die VM-Technologie selbst auf neue Fähigkeiten und aussagekräftigere Sensordaten hin erforscht.

Innovationen und Perspektiven

Da Hypervisor-basierte Technologie immer häufiger eingesetzt wird, ist auch der Ausbau von Know-how zu deren Schutz von hoher Bedeutung. Die Ergebnisse des Projekts sollen vorerst dazu beitragen, die Sicherheit in Windows-basierten VM signifikant zu erhöhen. Weiterhin soll ein Wissenstransfer der grundsätzlichen Erkenntnisse zum Einsatz von VM-Technologie in Wirtschaft und Forschung stattfinden. Auf diese Weise trägt das Projekt zur Sicherheit von Unternehmens- und Behördennetzwerken und der Stärkung des Hochtechnologiesektors in Deutschland bei.