;doc

Доверенная платформа:
эффективное средство
обеспечения безопасности
информационных систем
Руководитель направления
Игнатовский Александр
УГРОЗЫ И ПОСЛЕДСТВИЯ
ОБЗОР СОВРЕМЕННЫХ ВОЗМОЖНОСТЕЙ АТАК
И ДЕМОНСТРАЦИЯ АКТУАЛЬНОСТИ ЗАЩИТЫ.
2
Угроза несанксионированного доступа (НСД).
Несанкционированный доступ нарушителя к
в обход стандартных средств обеспечения
применяемых на уровне операционной системы.
информации
безопасности
Примеры:
Хищение оборудования.
Загрузка операционной системы с внешнего носителя (USB, Live-CD).
Использование нештатных режимов работы ОС.
(безопасный режим, режим восстановления и т.д.)
Использование нестойких паролей. Кража паролей.
3
Угроза заражения вредоностным ПО
Компрометация на уровне BIOS
Bootkit (Буткит) — это вредоносная программа которая осуществляет модификацию
загрузочного сектора MBR и функционирует до старта операционной системы.
Rootkit (Руткит) — программа для скрытия следов присутствия злоумышленника или
вредоносной программы в системе.
Вредоносное
ПО,
способное
заражать
BIOS,
CMOS
работать ниже уровня операционной системы и компрометировать систему на уровне
«железа».
Загрузка (обновление) вредоносного буткит-кода может осуществляться
с удаленного сервера каждый раз при старте компьютера.
Невозможно определить стандартными средствами,
не остается каких-либо следов на жестком диске.
Компьютерная система остается скомпрометированной
даже после полной переустановки ОС и смены жёсткого диска.
4
Пример:
В августе 2012 г. на конференции Black Hat французским исследователем компании eScan было
представленно новое вредоносного ПО способное подменять собой BIOS - буткит Rakshasa.
Rakshasa работает на 230 моделях материнских плат и успешно избежал обнаружения при
проверки 43-мя антивирусами.
Rakshasa способен заражать не только BIOS но и прошивки других периферийных устройств.
Угроза "Закладок“ установленных производителями.
Компрометация на уровне BIOS.
Не задокументированные функции (“Закладки”)
установленные производителями оборудования.
Пример:
В 2013 Комитет по разведке палаты представителей США
выпустил доклад, в котором назвал телекоммуникационное
оборудование, выпускаемое китайскими компаниями,
угрозой для безопасности страны в связи с тем,
что оно может скрывать в себе не задокументированные
функции для перехвата и анализа сетевого трафика.
В мае 2014 г. глава Cisco Джон Чемберс направил президенту США
письмо с призывом сократить программы слежения,
осуществляемые Агентством национальной безопасности.
5
МЕТОДЫ ЗАЩИТЫ
МЕТОДЫ ЗАЩИТЫ НА УРОВНЕ BIOS,
КОМПЛЕКСНЫЙ ПОДХОД К ВНЕДРЕНИЮ РЕШЕНИЙ ИБ
6
Концепция доверенной платформы
Kraftway предлагает комплексный подход к решению задачи доверия
к информационной инфраструктуре, который включает в себя
следующие компоненты:
•
•
•
•
•
Аппаратные разработки (компоненты и конструктив)
Программные разработки в области информационной безопасности
Доверенное производство
Специальные проверки и исследования в цикле производства
Сертификационные испытания
7
Концепция доверенной платформы
Создание изначально доверенной платформы,
функционирующей в режиме превентивной защиты
от вредоносного кода:
Материнские платы собственной разработки
Конструкция и шасси собственной разработки
Производство на сертифицированном Российском предприятии
«Независимый Испытательный Центр (НИЦ) СПЕЦТЕСТ» - проведение
специальных проверок и ииселований в цикле производства
Переработанная локализованная версия BIOS (UEFI)
Интеграция на уровень BIOS (UEFI) программных средств защиты информации
Интеграция в конструкцию материнской платы
программно-аппаратных средств защиты информации
Централизованное сетевое управление безопасностью и ИТ-инфраструктурой
8
Интегрированные средства защиты информации
уровня BIOS (UEFI) в решениях Kraftway
При включении компьютера самым первым
запускается набор микропрограмм BIOS
(UEFI - Unified Extensible Firmware Interface)
задача которого инициализировать оборудование
и передать управление загрузчику операционной системы
Именно на этом самом низком уровне,
до загрузки операционной системы, функционируют
средства обеспечения информационной безопасности Kraftway
9
- Kraftway Secure Shell (KSS) - интегрированная в UEFI BIOS среда запуска, контроля и
управления модулями безопасности.
- Электронный замок “Витязь” (СДЗ) - обеспечивает защиту от НСД и контроль
целостности программной среды компьютера.
- Аппаратно-програмный модуль доверенной загрузки фирмы “АНКАД”
- Антивирус «Касперский» - обеспечивает своевременное обнаружение и
блокирование вирусных атак до загрузки операционной системы.
- Центр безопасности – сетевое управление пользователями и СЗИ, мониторинг,
инвентаризация, обновление программной среды клиентов, интеграция с
инфраструктурой открытых ключей.
Оболочка безопасности
Kraftway Security Shell
Kraftway Secure Shell (KSS) - интегрированная в BIOS (UEFI) среда
гарантированного и защищенного запуска, контроля и управления
модулями безопасности до загрузки операционной системы.
Представляет собой промежуточный слой (middleware) между UEFI
и средствами защиты информации.
Поддерживает подключаемые модули безопасности
как производства Kraftway так и сторонних производителей.
Открытое API для интеграции модулей в KSS.
Поддерживает работу с идентифицирующими
устройствами и цифровыми сертификатами.
Позволяет осуществлять сетевое управление
модулями безопасности KSS с использованием
Центра безопасности Kraftway.
Все данные и модули хранятся в защищенной области
энергонезависимой памяти со специализированной
файловой системой.
10
Электронный замок “Витязь”
(Средство Доверенной Загрузки)
Неизвлекаемый Интегрированный в BIOS (UEFI)
Электронный замок “Витязь”
решает следующие основные задачи:
Предотвращение несанкционированного доступа
к ресурсам компьютера за счет строгой
двухфакторной аутентификации до загрузки
операционной системы;
Предотвращение загрузки операционной системы
с внешних носителей;
Контроль целостности программной среды компьютера;
Регистрация событий доступа к ресурсам компьютера;
Ограничение доступа к BIOS SETUP;
11
Модуль доверенной загрузки АПМДЗ-И
компании «Анкад» в платах Kraftway
Flash
SPIFlash
АПМДЗ-И удовлетворяет
требованиям ФСБ России к
аппаратно-программным
модулям доверенной загрузки
по классу 2Б
12
K
МК
USB
Работа неизвлекаемого Электронного замка
Благодаря тесной интеграции электронного замка
с аппаратным обеспечением и BIOS (UEFI)
материнской платы обеспечивается максимальная
безопасность и совместимость.
Обратная передача
управления BIOS для
дальнейшей загрузки
компьютера
осуществляется только
после двухфакторной
аутентификации
пользователя
13
Отличия интегрированного электронного замка
от традиционных (внешних) замков
«Традиционные» электронные замки или модули доверенной загрузки выполняются в
виде внешней платы подключаемой к компьютеру посредством шин PCI/PCI-X, PCI-E
Интегрированный встроенный электронный замок
обладает следующими преимуществами:
Невозможно извлечь, отключить
или обнулить настройки
даже имея физический доступ к материнской плате;
Не требуется отдельный порт расширения;
Невозможно обойти используя устройства
перехватывающие управление загрузкой
раньше МДЗ (например RAID-контроллеры);
Обеспечивается полная совместимость с любым аппаратным
обеспечением компьютера (платы расширения, и т.д.)
Более низкая стоимость за счет отсутствия платы;
Установка внешних устройств и дополнительного программного
14
обеспечения
на компьютеры всегда связана с неудобствами,
дополнительными временными и финансовыми затратами
Вредоносный код на этапе загрузки ОС
Между включением компьютера и запуском антивирусной программы в
операционной системе существует окно, когда никто не контролирует
загружаемые драйверы и приложения.
Неконтролируемый участок
Вредоносный код (Boot-kit и root-kit приложения) активно использует
этот этап для заражения, что позволяет ему взять под контроль процесс
загрузки и операционную систему.
15
Антивирус работающий до загрузки ОС
Kraftway совместно с Лабораторией Касперского предлагает
инновационную антивирусную защиту на уровне BIOS (UEFI)
функционирующую до загрузки операционной системы
Kaspersky Antivirus for UEFI
Благодаря интеграции Антивируса Касперского для UEFI
в оболочку безопасности Kraftway Secure Shell,
проверка загрузочных файлов на компьютере выполняется
непосредственно с момента его включения,
что позволяет обнаруживать вредоносный код,
невидимый для традиционных средств антивирусной защиты
16
Центр безопасности – централизованное
удаленное управление безопасностью
Центр безопасности Kraftway выполняет следующие функции:
Удаленное администрирование и мониторинг работы
модулей безопасности Kraftway Secure Shell (KSS).
Удаленное управление пользователями электронного замка.
Централизованное обновление баз антивируса.
Удаленная настройка BIOS клиентских устройств.
Инвентаризация и контроль состава аппаратных средств
ПК с целью обнаружения несанкционированного
изменения комплектующих клиентских устройств.
Схема с использованием Сервера безопасности Kraftway
позволяет ввести дополнительное звено контроля
за правами доступа
и разделить функции администратора безопасности
и системного администратора
17
Схема работы центра безопасности
Сервер каталогов Active
Directory
ПК c UEFI BIOS
Сервер безопасности
Антивирус
Каперского
LDAP/S
HTTP/S
Удостоверяющий центр
Электронный
замок
Контроль
программной и
аппаратной среды
1. Авторизация и идентификация
2. Синхронизация журналов и
отчетов
3. Обновление баз данных
антивируса и компонентов
Смарткарта с
электронными
сертификатами
18
OCSP
Интеграция с сервером сертификатов
(Certificate Server) и сервером каталогов
(Active Directory или LDAP) позволяет осуществить
переход к единой системе идентификации и
аутентификации пользователей ИТ-сервисов
на основе использования единой цифровой подписи
Продуктовая линейка Kraftway
Тонкие клиенты
Рабочие станции
19
Планшеты
Ноутбуки
Сервера
Моноблочные компьютеры
Мобильный вычислительный комплекс
Мобильный вычислительный комплекс специализированное устройство в защищенном промышленном
исполнении со встроенными средствами защиты информации
от несанкционированного доступа (СЗИ от НСД)
и возможностью установки доверенного шифрованного сеанса связи
с удаленными информационными ресурсами.
20
Спасибо за внимание!