САЙМОН КРОСБИ: «Сегодня в ИТ-отделах вокруг корпоративных сетей возводят все более высокие стены, будто вокруг осажденного города» |
В начинающей компании Bromium разработали новую технологию защиты компьютеров — она изолирует всю подозрительную активность от ядра операционной системы, а не просто огораживает сам ПК от любых сомнительных данных и приложений.
Основой технологии является программная система Bromium Microvisor. Она опирается на аппаратные функции виртуализации, присутствующие в архитектуре x86. Но Microvisor — в отличие от разнообразных гипервизоров — не создает полноценные виртуальные машины, поскольку, как утверждают в Bromium, они ухудшают быстродействие, да и не способны полностью решить проблему безопасности. Microvisor генерирует «виртуальные микромашины» (Micro-VM), каждая из которых способна выполнять всего по одной задаче, а не целую операционную систему.
В Bromium применяют принципиально иной подход к обеспечению безопасности, чем в большинстве систем, утверждает Саймон Кросби, сооснователь и директор по технологиям компании. Если пытаться ограждать пользователей от всех угроз внешнего мира, это ухудшает продуктивность, так как служащим просто необходимо выходить за пределы корпоративных сетей для выполнения своих рабочих обязанностей, полагает он.
«Сегодня в ИТ-отделах вокруг корпоративных сетей возводят все более высокие стены, будто вокруг осажденного города, — продолжает Кросби. — Но это бесконечная война, так как пользователи неизбежно загружают вредоносный или ошибочный код. Люди доверчивы, а программисты неидеальны».
Bromium переносит «поле битвы» внутрь самой системы. Технология работает как с программами, которые сами по себе не вызывают доверия, так и с легитимными, которые могут быть уязвимы для атаки. Когда пользователь заходит на сайт или загружает подозрительное приложение или контент, Microvisor создает виртуальную микромашину и исполняет в ней загруженный код. За секунду система способна создать сразу 100 микромашин — для каждой запускаемой задачи и каждой вкладки в браузере, утверждает Кросби.
Например, микромашина может быть создана для защищенного сеанса работы с банковским сайтом — она изолирует процесс ввода паролей от программ протоколирования нажатий на клавиши, которые могут быть установлены на компьютере. Микромашины незаметны для пользователя, и загруженное приложение, например игра Angry Birds, может постоянно работать на корпоративном компьютере в такой виртуальной машине без влияния на быстродействие, утверждает Кросби.
Микромашина предоставляет задаче только те ресурсы, которые ей необходимы, например электронную таблицу или файл cookies сайта Facebook. «Мир, который ‘виден’ из микромашины, это ровно то, что нужно ‘знать’ программе», — поясняет Кросби. У сомнительного кода нет доступа ни к другим приложениям или файлам в системе, ни к ключевым элементам операционной системы. Если коду нужно модифицировать какую-то часть системы для работы, Microvisor воспроизводит этот компонент внутри Micro-VM, а сама ОС остается без изменений.
Так как сомнительный код не имеет доступа к системе в целом, Bromium может сильно усложнить задачу поиска цели для атакующих, полагает Кросби: резко уменьшается объем кода, в котором можно нащупывать уязвимости для использования. В то время как операционная система может состоять из 100 млн строк кода, Bromium Microvisor состоит всего из 100 тыс., а интерфейс между микромашиной и системой содержит лишь 10 тыс. строк кода, объясняет он.