Virtuelle Kapselung (Sandbox, VM, Container, ...)
Basisschutz der Isolations-Appliance ist ein gehärtetes Linux-Betriebssystem.
Ein weiterer zentraler Schutzmechanismus sind ineinander geschachtelte virtuelle Boxen, wobei die gefährdeten Apps (Browser, E-Mail, ...) in der innersten Box ausgeführt werden. Bei einem Angriff kann Schadcode in der Box, in der er ausgeführt wird, seine Schadwirkung entfalten, z.B. Daten manipulieren, verschlüsseln oder löschen. Aber in dieser Box gibt es keine für das Unternehmen kritischen Daten, denn sobald der Benutzer seine gefährdete App schließt, wird die Box mit allen enthaltenen Daten, inklusive Schadcode, ohnehin gelöscht. Der Benutzer erhält beim nächsten Aufruf seiner App eine neue virtuelle Box mit Browser bzw. E-Mail ohne Schadcode.
Aus dem öffentlichen Internet heruntergeladene Dateien werden auf der Isolations-Appliance gespeichert. Möchte ein Benutzer eine solche Datei öffnen und sich anzeigen lassen, so geschieht das in einer Box, in die die Datei gemountet wird. Ein in der Datei versteckter Schadcode kommt so nur in der Box zur Ausführung. Hat der Benutzer seine Datei bearbeitet, so kann er sie wieder auf Betriebssystemebene abspeichern. Mit Schließen der App durch den Benutzer wird die Box wieder gelöscht.
Der Schutz vor Malware greift bei beliebigen Angriffen, auch bei aktiven Inhalten wie WASM, JavaScript, ... und bei Zero-Day-Angriffen.
Ausbruch aus Kapselung
Ein Ausbruch von Malware aus einer virtuellen Kapselung ist möglich und gar nicht so selten!
Bei Ausbruch aus einer virtuellen Kapselung hat der Schadcode nur stark eingeschränkte Berechtigungen. Auf die Dateien außerhalb der App-Box, aus der der Schadcodeausgebrochen ist, hat der Schadcode nur read-only-Rechte. Somit kann der Ausbruch keinen Schaden anrichten.
Selbst bei Ausbruch aus mehreren virtuellen Sicherheitsschichten hat der Schadcode keine Möglichkeit die physische Grenze der Isolations-Appliance zu überwinden und ins Intranet zu gelangen oder auf Unternehmensdaten zuzugreifen.