HyperVisor Introspection: ecco l’arma segreta di Bitdefender

Mar 29, 2017 Marco Schiaffino News, Prodotto, RSS, Tecnologia 0

La società di sicurezza affida la protezione dei Data Center basati su Xen a un sistema in grado di analizzare i dati scambiati tra RAM e CPU.

Tecnologie cloud e virtualizzazione non rappresentano solo un sistema per rendere più semplice la gestione delle infrastrutture informatiche a livello aziendale. In alcuni casi, possono anche consentire di utilizzare tecniche innovative per la rilevazione dei malware.

È questo l’approccio adottato da Bitdefender attraverso la HyperVisor Introspection (HVI), una tecnologia che punta a garantire una maggiore protezione nei confronti degli APT (Advanced Persistent Threat) sulle macchine virtuali che girano su sistemi Xen.

“La nostra tecnologia è basata su un principio tutto sommato semplice” spiega a Security Info Denis Valter Cassinerio, Regional Sales Director per l’Italia di Bitdefender. “Si tratta di andare ad analizzare i comandi che vengono trasmessi tra la memoria RAM e il processore, intercettando e bloccando quelli che possono rappresentare una minaccia”.

Certo, detta così sembra semplice. Ma per raggiungere l’obiettivo gli sviluppatori di Bitdefender hanno impiegato la bellezza di sette anni, spesi in una fitta collaborazione con alcuni ricercatori dell’Università di Bucarest.

Il risultato di tanti sforzi, però, è notevole: un sistema in grado di interpretare i comandi prelevandoli direttamente dalla memoria.

“Esistono milioni di malware conosciuti, ma la loro varietà riguarda gli exploit e le tecniche di offuscamento: quando si va a guardare i comandi usati per portare gli attacchi, si scopre che sono relativamente pochi” spiega Cassinerio. “Se si riesce a individuarli a livello di raw memory, è possibile bloccarli anche quando l’attacco sfrutta tecniche avanzate per nascondere la sua presenza ai normali antivirus”.

HVI sfrutta le caratteristiche dell’HyperVisor dei sistemi Xen di Citrix per accedere alle informazioni che vengono scambiate tra la memoria e la CPU, agendo quindi a un livello più profondo rispetto ai normali agent antivirus.

HyperVisor Introspection è pensato specificatamente per i Data Center aziendali che sfruttano un ambiente virtuale, che consente al sistema di analizzare i comandi direttamente in memoria.

“HVI aggiunge un layer di protezione che va a integrare la gestione della sicurezza garantendo un livello di protezione dai malware specificatamente pensato per i Data Center” specifica Cassinerio. “L’adozione della virtualizzazione da questo punto di vista è un enorme vantaggio, perché l’uso delle API sviluppate in collaborazione con Citrix permette di avere accesso ai livelli più profondi dei processi”.

Ma quali sono i vantaggi di un sistema di protezione del genere? Nel panorama attuale, enormi. “Attraverso l’analisi dei comandi, HVI è in grado di individuare anche gli attacchi portati con tecniche di offuscamento avanzate, come quelle che utilizzano le Atom Table” spiega Cassinerio.

Allo stesso modo, l’utilizzo della lettura dei comandi nella raw memory consente l’individuazione di tutti i malware che sfruttano vulnerabilità zero-day. Elemento non secondario, poi, HVI è in grado di convivere con qualsiasi software di protezione installato sulla macchina virtuale.

Una tecnologia che potremo vedere anche sui normali computer desktop? Secondo Cassinerio non è escluso, ma i tempi non sono ancora maturi. “L’implementazione in un ambiente non virtualizzato richiede un lavoro minuzioso per consentire l’accesso in lettura della memoria su ogni possibile configurazione” spiega. “È certamente possibile, ma per il momento la spesa in termini di risorse e ricerca sarebbe sproporzionata rispetto ai vantaggi”.

Condividi l'articolo