Containrar - ransomwares värsta fiende

ContainerSäkerhet_960x640.jpg

Att använda containrar i utvecklingssyfte blir allt populärare, men principen bakom kan också vara nyckeln till ett lyckat skydd för all it.

Malwareskaparna har länge haft ett försprång gentemot utvecklarna på säkerhetssidan som tvingats vara reaktiva och svara på varje attack istället för att vara proaktiva.

– Traditionellt har säkerhetsprogramvaror varit detekterande och någon har tvingats bli smittad för att man ska kunna upptäcka och skapa en metod för det nya hotet. Med containrar lyfter man bort risken från maskinen och skapar en låda där koden kan köras men inte skriva till systemet. Det innebär när man blir smittad så är det bara containern som infekteras, säger Anders Karlsson, säkerhetsexpert på Atea.

Än så länge har containerskyddet mestadels varit mjukvarubaserat men nu börjar det komma hårdvarumässiga lösningar. Fördelen med en mjukvarubaserad container är att den kan placeras på klienten vilket gör att skyddet finns var man än befinner sig geografiskt och digitalt. Än så länge bygger hårdvarulösningarna på att en särskild enhet placeras mellan brandväggen och klienten för att ge skyddet.

Olika system med likartat resultat

Just nu dominerar två system för containerskydd som även om de till synes verkar jobba på samma sätt har ett par fundamentala skillnader. Invincea, nyligen uppköpta av Sophos, har en lösning som ligger ovanpå operativsystemet och skyddar dig från alla skadliga sidor på nätet genom att kapsla in browsern i en container. Så fort du blivit smittad är det bara att döda containern och sätta igång en ny. Samma sak gäller pdf:er, office-dokument med mera.

– Invincea öppnar betrodda sajter i ett webbläsarfönster och allting annat i ett annat fönster. För användaren märks ingen större skillnad. Även om något tankas hem i bakgrunden och exekveras är det bara i containern det körs, säger Anders Karlsson.

Genom beteendeanalys görs en värdering om beteendet är normalt eller om något inte är som det ska. Beteendet färgkodas och visas på en skala så att man kan få en uppfattning om hur skadlig en åtgärd är.

En dold honungsfälla

För en hackare som bereder sig tillträde till systemet via exempelvis en trojan finns det i princip inga indikationer på att han eller hon endast befinner sig i en container.

– Det ser ut som om man har fullständiga rättigheter, men i själva verket skriver man bara i själva containern.

Skyddet gör det möjligt att köra gamla versioner av till exempel Java och Flash där man vet att det finns säkerhetshål men man inte kan byta allting på en gång.

– Eftersom det inte finns någon fara i att låta maskinen bli smittad behöver man inte stressa med att patcha utan man kan i lugn och ro testa patchen ordentligt innan man kör ut den skarpt.

Nackdelen med den här typen av lösning är förutom en viss prestandaförsämring att allting körs inom en enda stor container. En smittad hemsida kan alltså även smitta en wordfil sparad i containern. Dessutom försvinner allt inom containern när den rensas och stängs. Säkerhetsmässigt finns också en nackdel i att containern ligger ovanpå OS-lagret eftersom det innebär att en hackare som får systembehörighet även kan stänga av containern.

Ingen patentlösning för alla

Ett alternativ till Invincea är Bromium, ett företag som använder Intels VT-teknik för att skapa virtuella maskiner direkt i hårdvaran. Det ger ett bättre skydd även när hackare lyckas ta kontrollen över systemet.

– Till skillnad från Invincea där allt ligger ihop separerar Bromium containrarna. Varje flik är en egen container vilket gör att systemet påverkas mycket mindre. En fördel är att du enkelt till exempel kan köra .exe-filer för att testa en setup av något program som sedan bara körs i containern. Om det visar sig vara smittad programvara är det bara att döda containern. Nackdelen är självklart att det kräver den här typen av hårdvara och att det av prestandaskäl inte är anpassat för VDI-miljöer. Så det finns för- och nackdelar med båda typerna.

Det finns inga patentlösningar, men en bra containerlösning fångar upp 99 procent av all malware.

Anders Karlsson, säkerhetsexpert, Atea.

Nu ligger båda lösningarna på klienterna, men i framtiden tror Anders Karlsson att containerskyddet kommer att ligga på enheter i molnet.

– Då kommer man att köra allting där och det är bara en skärmbild som användaren ser eftersom ingenting exekveras i den egna maskinen. På så sätt får man inte prestandatappet. Idag finns till exempel Menlo som går åt Invinceahållet och Cyberinc som valt Bromiums väg, men de är relativt nya och har en bra bit kvar innan de är framme.

Anders Karlsson menar att även om det inte finns några patentlösningar är containrar ett mycket bra skydd i en tid när hoten ständigt skiftar i karaktär.

– Med en bra lösning fångar man upp 99 procent av all ransomware. Jämför det med kostnaden att återställa sin data. Med bra managering över containrarna är det enkelt för it-avdelningen att uppdatera mjukvaran och få en överblick över vilka burkar som drabbas mest och även vilka användare som drabbas mest.

20 april 2017Uppdaterad 2 oktober 2023Reporter Miguel GuerrerosäkerhetFoto Adobe Stock

Voisters nyhetsbrev

Rekommenderad läsning