Bitdefender maakt open source HVI-technologie beschikbaar via Xen Project

Bitdefender, leverancier van cybersecurity-oplossingen, draagt zijn Hypervisor Introspection (HVI)-technologie bij aan de open source-community. Het bedrijf doet dit binnen het Hypervisor-based Memory Introspection (HVMI)-project, dat zelf weer onder het Xen-project valt.

Als lid van de Adviesraad van het door de Linux Foundation gehoste Xen Project, maakt Bitdefender de mechanismen van HVI open source. Deze mechanismen worden gebruikt om zicht te krijgen op het geheugen van lopende virtuele Linux- en Windows-machines en relevante beveiligingsprocessen toe te kunnen passen. Hiertoe maken ze gebruik van Virtual Machine Introspection (VMI)-API’s op het niveau van de hypervisor.

Diverse toepassingen

De code, tot nu toe intellectueel eigendom van Bitdefender, biedt organisaties de mogelijkheid om met Virtual Machine Introspection inzicht te verwerven in de inhoud van het geheugen van zowel de Xen- als KVM-hypervisor. Hoewel Bitdefender de technologie inzet voor beveiligingsdoeleinden, zijn er diverse andere toepassingsgebieden mogelijk voor een dergelijke sensor.

HVI benut de positie van de hypervisors tussen de onderliggende hardware en gevirtualiseerde besturingssystemen (Windows, Linux, deskcomputers en servers), om het geheugen in real time te inspecteren op tekenen van aanvalstechnieken die op het geheugen gericht zijn. Deze aanvalstechnieken worden herhaaldelijk ingezet om misbruik te maken van bekende en nog onbekende kwetsbaarheden.

De in 2017 geïntroduceerde HVI-technologie wist eerder onder meer EternalBlue-aanvallen te blokkeren, zonder kennis van de aanvalstechnieken of de kwetsbaarheid. HVI kon succesvol worden ingezet tegen de WannaCry aanvallen, die gebruik maakten van EternalBlue.

Napoca

Bitdefender stelt daarnaast ook zijn ‘thin’ hypervisor-technologie beschikbaar aan de open source-community. Deze technologie luistert naar de naam Napoca en stond aan de basis van de ontwikkeling van HVI. Napoca kan nuttig zijn voor onderzoekers en open source initiatieven, omdat het alleen CPU en het geheugen virtualiseert en de rest achterwege laat. Napoca kan met HVI worden gecombineerd voor het beschermen van fysieke systemen.

“Het Xen Project werpt volop vruchten af en de hieruit voorgekomen hypervisor VMI-functionaliteit heeft cybersecurity voorgoed veranderd”, zegt Shaun Donaldson, directeur Strategic Alliances bij Bitdefender. “We kijken met spanning uit naar het brede scala aan toepassingsscenario’s dat de community voor de technologie zal ontwikkelen. We zijn er zeker van dat de HVI- en Napoca-technologie gebruikt zal worden voor onvermoede toepassingsscenario’s buiten het beveiligingsdomein.”

Kurt Roemer, chief security strategist en lid van de staf van de CTO bij Citrix, verwacht dat de creativiteit van de open source-community ervoor gaat zorgen dat de HVMI-technologie zijn weg vindt naar oplossingen die over de beperkingen van OS-gebaseerde beveiligingsmodellen heen kijken. “HVI heeft bijgedragen aan diepgaand inzicht in cyberdreigingen in het geheugen van op Xen gebaseerde virtuele machines en de mogelijkheid om die te blokkeren. Nu de technologie open source is, zullen de toepassingen waarvoor HVMI kan worden ingezet directe waarde opleveren voor zowel beveiligingsteams als de bedrijven waarvoor zij werken, zeker wat betreft het detecteren en blokkeren van nieuwe cyberdreigingen”, aldus Roemer.