Технология, пришедшая в этом году от запуска под названием Bromium, будет защищать компьютеры, не блокируя их от подозрительных данных и приложений, а изолируя все, что не доверено от ядра ОС.
Технология Bromium, построенная на базе программного обеспечения Bromium Microvisor, использует возможности аппаратной виртуализации в архитектуре Intel x86, но не создает виртуальные машины, которые, по словам Бром, ухудшают работу пользователей и в любом случае не могут действительно решить проблему. Вместо этого Microvisor создает то, что Bromium называет Micro-VM, в котором выполняется всего одна задача вместо всего экземпляра ОС.
Bromium будет придерживаться принципиально иного подхода к безопасности по сравнению с большинство систем, сказал Саймон Кросби, его соучредитель и главный технический директор, который представил компанию на конференции GigaOM Structure в Сан-Франциско в среду. Попытка защитить пользователей от всего, что неизвестно во внешнем мире, ущемляет производительность, потому что сотрудники должны выйти за пределы своих корпоративных сетей, чтобы выполнить свою работу, сказал Кросби.
«Сегодня ИТ может только поднять стены выше, как древний город Трой, - сказал Кросби. Это бесконечная битва, потому что неизбежно, что пользователи будут загружать вредоносный или ошибочный код, сказал он. «Мы легковерны, а программисты ошибаются».
Вместо этого Бром принимает бой внутри системы. Он может обращаться к обоим пунктам, которые являются подозреваемыми, и те, которые могут быть легитимными, но уязвимыми для атаки. Когда пользователь переходит на сайт или загружает приложение или часть контента, которые могут быть ненадежными, Microvisor создает Micro-VM и помещает в него этот код. Он может создать 100 микро-виртуальных машин за секунду, по одному для каждой задачи, которая будет запускаться, и каждой вкладке в браузере, сказал Кросби.
Например, Microvisor может создать Micro-VM специально для безопасного веб-сеанса на банковский сайт клиента, который изолировал бы ввод пароля от любых клавиатурных шпионов, которые могут находиться на ПК, сказал Кросби. Микро-виртуальные машины невидимы для пользователя, и загруженное приложение, такое как игра «Angry Birds» на корпоративном ПК, может постоянно работать в Micro-VM, не влияя на производительность, сказал он.
Micro-VM предоставляет только ресурсы, необходимые для задачи, такие как электронная таблица или файл cookie в Facebook. «Мир, который представлен Micro-VM, именно то, что ему нужно знать, - сказал Кросби. Неверный код не имеет доступа к каким-либо другим приложениям или файлам в системе или к основным элементам ОС. Если для запуска необходимо изменить любую часть ОС, микровизор копирует этот компонент внутри Micro-VM. Сам OS никогда не изменяется.
Сохраняя ненадежный код вдали от системы в целом, Bromium может уменьшить цель для злоумышленников, чтобы обратиться, сказал Кросби. Это сокращает количество строк кода, где они могут искать уязвимости для использования. В то время как ОС может составлять 100 миллионов строк кода, микропроектор Bromium имеет всего 100 000 строк, а «уязвимость» между микро-VM и общей системой составляет всего 10 000 строк. Он сказал.
Кросби, бывший Citrix и Исполнительный директор XenSource, представил Bromium в режиме скрытности на прошлогодней конференции по структуре и использовал мероприятие в этом году, чтобы изложить некоторые детали своей технологии. Компания Silicon Valley планирует начать с предоставления своих технологий для клиентских систем в организациях государственного сектора и других регулируемых предприятиях, таких как юридические фирмы, сказал Кросби в интервью после его презентации. Технология может работать на любой системе на базе x86 и может быть применена и к серверам, сказал он. Когда архитектура чипов ARM получит аппаратную виртуализацию в конце этого года, Бром, возможно, тоже сможет туда переместиться, согласно Кросби. Это откроет большую часть мира мобильных устройств.
Стивен Лоусон использует мобильные, накопительные и сетевые технологии для службы новостей IDG. Следуйте за Стивеном в Twitter на @sdlawsonmedia. Адрес электронной почты Стивена - [email protected]
Бром стремится изолировать задачи, а не сбрасывать ПК
Технология защитит компьютеры, не блокируя их от подозрительных данных и приложений, а изолируя все, что не доверено, из ядра ОС.
American Express стремится сбрасывать номера кредитных карт для токенов
Служба токенов компании позволяет продавцам и поставщикам мобильных платежей прекратить работу с конфиденциальной платежной картой номера
