Эксперты спорят: как обеспечить ИТ-безопасность бизнеса
Проблема обеспечения безопасности продолжает оставаться актуальной. Современный мир диктует иные условия и предоставляет новые возможности для киберзлоумышленников. О том, как противостоять им, насколько реально сейчас создать действительно эффективную защиту и что умеют современные решения, говорили участники конференции "Безопасность бизнеса. Технологии 2012", организованной РБК.Ренат Юсупов, старший вице-президент Kraftway
Вопросы обеспечения информационной безопасности критически важных автоматизированных систем, хранилищ данных и объектов инфраструктуры на сегодняшний день являются приоритетными при формировании любой государственной программы модернизации. В условиях, когда кибернетические угрозы стали реальностью, формирование концепций безопасности ведётся исходя из принципа комплексности, обеспечивающего формирование доверенный среды функционирования систем. При этом доверенными могут быть только системы, состоящие из доверенных компонентов и процессов, которые контролируются на каждом шаге, а не в отдельных точках. Только такие системы могут обеспечить превентивную защиту от угроз, которая существенно более эффективна модели поиска и ликвидации уязвимостей и последствий после атак на объекты. Модель доверенных систем стала стандартом де-факто в наиболее развитых «цифровых» экономиках и реализуется крупнейшими мировыми производителями «железа» и программного обеспечения (Microsoft, Intel и др.). В России, структуры регламентирующие деятельность в сфере защиты информации также осознают опасность новых угроз, что отражается в подготовке.
Обработка конфиденциальной информации, в том числе имеющей гриф секретности, в автоматизированных системах всегда связана с вопросами разделения доступа к обрабатываемым данным, контролем используемых для обработки средств, защитой от модификации программных компонентов, идентификацией и аутентификацией пользователей автоматизированных систем.
Современная архитектура персональных компьютеров и серверов, базирующихся на х86 процессорах, не позволяет выполнять данные задачи на аппаратном уровне с контролем загружаемой операционной системы, разграничением доступа к аппаратным ресурсам компьютера, идентификацией и аутентификацией пользователя до загрузки операционной системы. Это обусловлено архитектурными особенностями х86 систем, связанными с поэтапной инициализацией системы: процессор – материнская плата – операционная система. Доверенной можно назвать только такую систему, в которой контролируется каждый этап работы, каждая функция внутри этапа, а также процесс передачи управления между этапами. Подавляющее большинство средств защиты запускаются только на этапе работы операционной системы, что не позволяет избавить систему от вредоносных программ, стартующих на более ранних фазах и, в частности, в процессе работы BIOS – первого программного кода, исполняемого процессором.
Системный BIOS является потенциально привлекательной целью для атак. Вредоносный код, работающий на уровне BIOS, может получить огромные преимущества по контролю над компьютерной системой. Он может использоваться для компрометации любых компонентов, которые загружаются позднее в процессе загрузки, включая код SMM (обработчики прерываний системы), загрузчик, гипервизор, операционную систему. BIOS хранится в энергонезависимой памяти, которая сохраняется и после цикла включения/выключения. Вредоносный код, записанный в BIOS, может использоваться для повторного заражения компьютеров даже после установки новых операционных систем или замены жёстких дисков. Поскольку системный BIOS выполняется на компьютере очень рано в процессе загрузки с очень высоким уровнем привилегий, то вредоносный код, работающий на уровне BIOS, бывает очень сложно детектировать. Так как BIOS загружается первым, то антивирусные продукты не имеют возможности гарантированно проверить BIOS. Самые опасные вредоносные программы, обнаруженные в последнее время, тем или иным способом связаны с BIOS. Наиболее продвинутые вирусы, называемые ещё кибероружием: Duqu, Stuxnet, Flame, Gauss, Rakshasa, тем или иным способом связаны с процессами, исполняемыми в фазе BIOS. С другой стороны, если на рынке уже существует достаточно большое количество доверенных сборок операционных систем, то доверенные сборки BIOS возможно производить, только компаниям, самостоятельно разрабатывающим и производящим материнские платы. При этом, используя материнские платы зарубежных вендоров, производители ПК и серверов вынуждены использовать недоверенный микрокод BIOS, который по своему объёму и сложности сопоставим с микрокодом операционной системы.
Таким образом, для обеспечения уровня безопасности, соответствующего современным угрозам необходимо создавать вычислительные системы, в которых средства защиты и контроля информации начинают работать уже на уровне BIOS. Причём средства защиты должны быть тесно интегрированы со средствами противодействия несанкционированным изменениям кода BIOS, защиты областей хранения журнала событий безопасности, загрузочных областей, средствами виртуализации подсистемы ввода/вывода, контроля целостности программной среды, централизованного дистанционного группового контроля и управления модулями безопасности.
Наиболее доступным способом создания вычислительных систем избавленных от описанных выше уязвимостей является использование компьютеров, содержащих доверенный BIOS, тесно интегрируемый со встроенными и внешними (по отношению к BIOS) средствами защиты информации. В настоящий момент работы по интеграции средств защиты с BIOS ведутся с более чем 10 российскими компаниями.
Для реализации концепции защищённых (доверенных) ПК и серверов компания Kraftway, начиная с 2008 года, занимается разработкой и производством собственных материнских плат, созданием аппаратно-программных средств защиты интегрированных базовый функционал «железа», а также разработкой конечных клиентских и серверных устройств.
На сегодняшний день компанией Kraftway разработаны и серийно выпускаются уже 5 моделей материнских плат, в которых используются три локализованные версии BIOS (Phoenix-AWARD, UEFI Insyde и UEFI AMI Kraftway) с интегрированными модулями безопасности.
Разработанные компанией Kraftway материнские платы KWG43, KWN10/KWN10D, KWQ67 и KWH77 обладают широкой функциональностью и поддерживают многоядерные процессоры Intel® вплоть до самого последнего поколения Ivy Bridge. Клиентские вычислительные устройства и терминальные станции со встроенными в BIOS средствами защиты информации, созданные на базе материнских плат Kraftway, успешно используются в федеральных программах по информатизации медицины, электронном правительстве, силовых ведомствах и других государственных организациях, в системах обработки персональных данных и для доступа к секретной информации.
Задачи, которые решают эти ПК позволяют решить множество проблем, связанных с утечкой данных, промышленным шпионажем, разграничением и контролем доступа к информации, а также с кибернетическими угрозами, которые невозможно блокировать на уровне операционных систем. Интеграция средств защиты информации на уровне BIOS обеспечивает противодействие практически всем известным моделям угроз и моделям нарушителя, обеспечивая заданный уровень безопасности системы даже в условиях появления новых угроз.