Wie HP mit einem neuen alten Ansatz die Kill Chain killen will

Bromium wurde im Herbst 2019 durch HP Inc. akquiriert und ist nun unter dem etwas gewöhnungsbedürftigen Namen «HP Sure Click» Teil der HP Security Solutions. Einige mögen sich jetzt Fragen: Was hat denn HP mit Security am Hut? Nun, mir ging’s nicht anders, um ehrlich zu sein und ich war gelinde gesagt eher skeptisch. Schaut man sich jedoch die HP Geräte mal genauer an, resp. die Security Solutions, die HP für seine Geräteflotte anbietet, so macht der Kauf von Bromium durchaus Sinn. Dazu später mehr.


Kill Chain – wo setzt Sure Click an?

Gängige AV-Lösungen versuchen dank Erkennung von bekannten IOCs oder ungewöhnlichem Verhalten durch Verhaltensanalyse, eine Infektion oder die Ausnutzung einer offenen Sicherheitslücke zu verhindern. Im Kill Chain Modell setzen wir hier zwischen Deliver und Exploit an. Die Krux ist halt einfach, dass wir bei solchen Lösungen etwas erkennen müssen, um davor zu schützen. Und wie auch immer man das machen will, ob mit Pattern oder ohne Pattern, mit Verhaltensanalyse, Machine Learning und KI: Wenn man etwas nicht erkennen kann, wird’s schwierig.

Gerne kommt dann als zusätzliche Verteidigungsstufe ein EDR-System zum Zug. Dieses setzt zum einen zwischen Install und C2 (C&C), oder aber zwischen C2 und Actions an. Dadurch soll eine Attacke spätestens dann entdeckt werden, wenn beispielsweise aussergewöhnliche Prozesse auf Endpoints gestartet werden, oder Seitwärtsbewegungen zwischen Hosts stattfinden. Wie auch bei der AV-Lösung setzen DER-Systeme auf Erkennung. Bei EDR ist die Erkennung sogar noch schwieriger, weil man sich eben nicht nur auf bekannte IOCs verlassen kann, sondern eigentlich nach dem Unbekannten suchen muss. Wo wir dann bei Threat Intelligence wären. Für Interessierte: www.tec-bite.ch/endpoint-detection-and-response-wer-richtig-sucht-der-findet/

HP Sure Click setzt zwar ebenfalls zwischen Deliver und Exploit an, verzichtet jedoch für den Schutz auf eine Erkennung. Es wird ungeachtet der potenziellen Gefährlichkeit eines Files oder einer Website einfach alles in einer Micro-VM isoliert. Eine Erkennung erfolgt dann im zweiten Schritt, durch die Analyse der in der Micro-VM stattfindenden Operationen. Im Falle von z.B. einer in einem Word File versteckten Ransomware hätte man somit einen Obduktionsbericht ohne Leiche. Die Ransomware kann ruhig ausgeführt werden, meinen Host und somit meine Backend-Systeme beeinträchtigt das nicht im Geringsten.

Kill Chain Modell aus HP Sure Click Enterprise Webinar


Was wird geschützt?

HP Sure Click bietet starken Schutz für Office-Dateien, PDFs, Bild und Video-Dateien, sowie Archive. Als Datenquellen sind Outlook Mail Attachments, Browser Downloads und USB Sticks unterstützt.

Das zu schützende File wird von Sure Click nicht verändert. Der File Hash der Datei ist identisch mit und ohne installiertem Sure Click.  Das wird unteranderem dann wichtig, wenn ich ein Dokument mit einem externen Empfänger teilen will. Auch wenn das File auf einem internen Rechner isoliert wird, kann ein externer Empfänger das File problemlos ohne Sure Click öffnen.


Aus Bromium wird HP Sure Click – was ändert sich?

Was die generelle Funktionalität vom Produkt angeht, so ändert sich rein gar nichts. Wer Bromium bereits kennt, wird sich nur an das neue Design gewöhnen müssen. Das Bromium-Orange wird durch HP-Blau ersetzt. Das gilt sowohl für den sichtbaren Teil auf dem Endpoint, Desktop Console Icon und Untrusted Files Icons, wie auch für das GUI des Controllers.

Auch wenn ein „HP“ im Namen steht, die Software läuft natürlich auch auf Hardware von anderen Herstellern. Was es jedoch gibt, sind angepasste Versionen, respektive Bundle-Lösungen, die nur auf HP Geräten laufen. Beispielsweise ist auf EliteBooks HP Sure Click Pro vorinstalliert und kann somit auch von Privat-Anwendern benutzt werden. Echt tolle Sache, kann ich aus eigener Erfahrung bestätigen. Natürlich ist der Funktionsumfang limitiert und bietet nicht die gleichen Möglichkeiten wie ein Sure Click Enterprise. Für den auf Sicherheit bedachten privaten Anwender jedoch tip top.


Neue Features ab Version 4.2

Die neue Version sieht jedoch nicht nur neu aus, sie liefert auch neue interessante Features.

Identity Protection:

Mit aktivierter Identity Protection wird mittels Web Reputation Service die URL überprüft. Falls die URL eine schlechte oder unbekannte Reputation hat, wird anhand der konfigurierbaren Policy entschieden, ob der Benutzer auf der Website Credentials eingeben darf oder nicht. Der Reputation Service lässt sich dabei mit einer eigenen White oder Black List ergänzen. Dieses Feature steht nicht nur in isolierten Browsern zur Verfügung, sondern funktioniert dank Plugin auch im Microsoft Edge oder Firefox.

Protected App:

Protected App ist genau genommen kein neues Feature. Lizenz-technisch ist es sogar als eigenständiges Produkt zu betrachten. Das Management funktioniert jedoch über den gleichen HP Sure Click Enterprise Controller. Ab Version 4.2 hat die Lösung einen grossen Satz vorwärts gemacht und ist nun wirklich eine coole Sache!

Bei Protected App geht es an und für sich darum, eine PAW (Privileged Access Workstation) in virtueller Form sicher auf dem eigenen Rechner zu betreiben. Einsatzgebiet für PA ist daher auch nicht die grosse Masse der „normalen“ Benutzer, sondern es richtet sich vornehmlich an die Admins. Es sollen die RDP- oder HTTPS-Verbindungen der Admins auf die Zielsysteme abgesichert werden. Mit PA im Einsatz ist das Mitlesen der Tastatureingaben oder Ausspionieren des Desktops durch Screenshots nicht mehr möglich. Ähnlich wie bei der Micro-Virtualisierung von HP Sure Click laufen die Verbindungen über einen eigenen Hyper Visor und sind somit vom Host getrennt.


HP Security Solutions – eine Übersicht

Die Funktionen von Bromium werden von HP in verschiedenen Bundles angeboten, mal mit mehr, mal mit weniger Funktionsumfang. Neben Sure Click ist in den Bundles jeweils auch noch Sure Sense als AV-Lösung, Sure View als Privacy Shield und Sure Start als BIOS Check mit drin.

In der nachfolgenden Tabelle sieht man, welche HP-Security-Solutions-Version welche Funktionen abdeckt. Bezogen auf Sure Click, da das hier kein HP Blog ist, lasse ich den Rest bei Seite.

HP Security Solutions – eine Übersicht

Fazit

Wie man sehen kann, hat man das vollständige Paket nur mit HP Sure Click Enterprise. In Gesprächen mit Kunden hat sich schon öfters herausgestellt, dass Firmen, die HP Hardware im Einsatz haben, dachten, dass sie somit Sure Click Enterprise nicht mehr brauchen würden. Wie man der Tabelle entnehmen kann, stimmt das nur bedingt.

Hat man sich erst mal mit dem Namen und dem neuen Design abgefunden, läuft darunter Bromium wie man es kennt und schätzt. Es ist und bleibt eine sehr coole Lösung, die ich als Techie so ziemlich jedem empfehlen kann. Natürlich gibt es einige Punkte, die man im Detail anschauen muss, um die spürbaren Auswirkungen für die Endbenutzer so gering wie möglich zu halten. Und genau hier liegt meines Erachtens auch die grösste Gefahr für HP: Sucht man im Netz nach HP Sure Click, stösst man auf einige Foren mit ziemlich negativen Einträgen. Sure Click störe den normalen Betrieb, mache alles langsam und generell soll HP mit seinen Sicherheitslösungen doch bleiben, wo der Pfeffer wächst. Die kritisierte Version ist jeweils HP Sure Click Pro, also die „gratis“ Version, die beim Kauf eines HP-Rechners vorinstalliert ist. Wird die Lösung jedoch fachmännisch installiert und konfiguriert, sind die Auswirkungen auf den Benutzer sehr gering.


Der Beitrag Wie HP mit einem neuen alten Ansatz die Kill Chain killen will erschien zuerst auf Tec-Bite.