Contexte ou isolement : résoudre l'un des plus gros dilemmes de la sécurité

Les sécurités réseau, comme les pare-feux ou la prévention contre les intrusions, sont bien isolés. Alors que la sécurité du endpoint peut être compromise, celle des appareils du réseau ne sont pas touchées. Les résultats qu'ils remontent, pour détecter toute forme de trafic inhabituel à partir de/ou vers un endpoint particulier, sont fiables. Cependant, leurs informations sont limitées compte tenu de la grande variété de situations possibles. De fait, il est important de savoir que l'endpoint concerné exfiltre des données, engendrant du trafic SMTP (e-mail) quand il ne devrait pas, ou fait l’objet d’un trafic exceptionnel ; mais cela ne vous dit pas pour autant ce qui se passe à son niveau.  Est ce qu'un nouveau logiciel, potentiellement malveillant, a été installé ? Est ce qu'une application légitime a été corrompue par l’exploitation distante d’une vulnérabilité ?

À l'autre extrémité du spectre, les outils de sécurité – tels que les anti-malwares – qui fonctionnent dans un endpoint protégé peuvent profiter de l’information contextuelle disponible, mais ils leur manquent l'isolement. Imaginez un scénario où la sécurité réseau détecte un trafic anormal sur un endpoint, suggérant qu'il a été corrompu. Si, en effet, il l'a été, les outils de sécurité en cours d'exécution au sein de ce système ne seront pas fiables. En effet, les outils de sécurité utilisés dans un endpoint corrompu peuvent, par définition, également être corrompus.

L'isolement est une notion importante parce que les outils de sécurité du endpoint qui fonctionnent dans un système d'exploitation dépendent souvent des mêmes fonctions noyau (kernel) que les logiciels malveillants. Par exemple, un rootkit peut manipuler les résultats en mélangeant les tables d'appel système. La solution de sécurité peut demander au kernel de fournir une liste de fichiers dans un répertoire donné, qui contient des objets malveillants. Puisque la partie du noyau responsable des réponses aux requêtes est corrompue, le noyau va renvoyer une liste de fichiers sans inclure les objets malveillants.

Pour résoudre ce problème, il faut regarder l'architecture de virtualisation. Traditionnellement, le superviseur est la partie d'un système d'exploitation qui arbitre l'accès au hardware. Par exemple, si une application en mode utilisateur a besoin de lire ou d'écrire de la mémoire, elle appelle les fonctionnalités en mode noyau pour faciliter l'opération. Une fois virtualisé, le superviseur n'a plus d'accès direct au hardware. Dans les scénarios les plus courants de virtualisation x86, le superviseur communique avec le hardware virtuel, tandis que l'hyperviseur, à son tour, arbitre les interactions avec le hardware sous-jacent.

Ensuite, l'hyperviseur fournit un niveau idéal dans la pile pour la sécurité. En se concentrant sur la mémoire, l'hyperviseur peut « voir » tout lecture / écriture des systèmes d'exploitation virtualisés qui sont dessus. La sécurité fonctionnant au niveau de l'hyperviseur, a donc un contexte riche, mais est isolée par rapport aux systèmes d'exploitation virtualisés qu'il héberge.

Bien que cela soit intuitif, l'application de la sécurité au niveau de l'hyperviseur est très complexe. L'accès à la mémoire brute est une chose, être en mesure de lui donner un sens (contexte hors-sujet) en est une autre.  C'est même tellement difficile que, par le passé, on a même pensé que c'était tout bonnement impossible.

Heureusement, Bitdefender a fait de la sécurité au niveau de l'hyperviseur une réalité. Appelée "Introspection de la mémoire basée sur l'hyperviseur", cette technologie tire parti de l'architecture de la virtualisation pour placer la sécurité en amont des attaquants. La technologie sécurise à la fois le noyau et l'espace utilisateur des endpoints virtualisés, et inclus en option la possibilité d’injecter des Outils de nettoyage dans une instance virtuelle en cours d’utilisation. Même si le moteur d’introspection derrière la technologie est propriétaire, les API qui facilitent l'inspection avec l'hyperviseur Xen sont open-source, donc les autres éditeurs peuvent également en profiter.

A lire : Bitdefender résout le problème de sécurité contexte vs. isolement  dans les environnements virtuels