Спецпроекты

Вопросы ИБ: выгоднее создать новое ПО, чем «чистить» старое

Безопасность Стратегия безопасности
Проблемы безопасности — это постоянная головная боль ИТ-подразделений всех без исключения компаний. Реальный ущерб от хакерских атак оценить очень сложно, при этом, чем больше инвестируется в безопасность, тем больше инцидентов происходит. Эксперты считают, что причина кроется в накопленном «долге» — долгое время проблемам информационной безопасности не уделялось должного внимания, и сейчас на ИТ ложится сразу множество задач. Конференция «Безопасность бизнеса. Технология 2013», организованная 19 сентября 2013 г. РБК, расставила точки над «i» по многим вопросам — и в области мобильного бизнеса, и в банковской сфере, и даже на уровне государства.

Ренат Юсупов: Этап инициализации ПО – самый комфортный для исполнения вредоносного кода

Ренат Юсупов, старший вице-президент компании Kraftway, считает, что сегодня подход к обеспечению безопасности и в бизнесе, и в госструктурах сравним с шаманством: «Если не умрет, то, возможно, выздоровеет».

CNews: Можно ли сказать, что сегодня формируется новая концепция ИБ в связи с новыми трендами информатизации бизнеса (мобильность, облака, бигдата и т.п.)?

Ренат Юсупов: Не совсем так. Никакой революции не происходит. До сих пор модель взаимодействия с цифровыми данными не поменялась: приложение – клиентский терминал – канал – сервер – сервис. Ничего нового, только программные и аппаратные платформы другие.

Соответственно, должен смениться и инструментарий, отвечающий за ИБ. В связи с этим ускоренными темпами отмирают наложенные аппаратно-программные средства защиты на клиентах и серверах. Их успешно заменяют программные средства защиты информации, опирающиеся на расширенные возможности по безопасности в самих аппаратных платформах: встроенные в процессоры и микросхемы датчики случайных чисел, интегрированные ускорители операций шифрования, защищенные области для хранения сертификатов и ключей в энергонезависимой памяти, специальные режимы работы аппаратуры, исключающие копирование всевозможных буферов (видео, клавиатурный и др.). Это далеко не полный перечень новых технологий, интегрированных в платформы, которые предоставляют необходимые сервисы приложениям безопасности, делая ненужными наложенные средства.

Таким образом меняется подход к созданию самих платформ для запуска клиентских приложений и сервисов, который можно охарактеризовать следующей фразой: каждая платформа должна содержать встроенный набор аппаратно-программных модулей и функций для приоритетного и гарантированного исполнения программных средств защиты информации. При таком подходе исключаются проблемы совместимости СЗИ и платформ, а также обеспечивается главенство функций безопасности над остальными приложениями. Соответственно, меняется и подход к реализации безопасности: она становится превентивной, и создаются условия для закрытия большого количества уязвимостей, которыми кишат современные приложения.

CNews: На ваш взгляд, на какие элементы ИТ-инфраструктуры компаниям следует сегодня обратить самое пристальное внимание с точки зрения обеспечения ИБ?

Ренат Юсупов: Применительно к платформам, на которых «крутятся» приложения и сервисы, на мой взгляд, наиболее уязвимыми являются этапы инициализации, которые исполняются до загрузки ОС. На этой стадии еще не развернуты средства защиты, а все системные устройства работоспособны и могут исполнять практически любые приложения.

Трудно представить более комфортную среду для исполнения вредоносного кода, тем более он априори будет иметь более высокий приоритет, поскольку запускается до старта основных приложений безопасности в ОС. Отсюда и проистекают корни наиболее продвинутых вирусов, названных кибероружием.

К сожалению, все без исключения платформы, которые мы используем для вычислений (не только x86, но и даже ARM), содержат уязвимости подобного рода. Это наследие архитектуры вычислительных систем, которое мы тащим уже более 40 лет. Таким образом, начальные фазы работы вычислительного устройства, в которые входят начальная инициализация системы (фаза BIOS) и фаза загрузчика ОС, являются наиболее привлекательными для проникновения вредоносного кода, а потому и наиболее опасными с точки зрения перехвата управления и кражи цифровых данных.

CNews: Каким образом поставщики компьютерного и серверного оборудования могут принять участие в борьбе за ИБ?

Ренат Юсупов: Если поставщик компьютерного оборудования не способен реализовать непрерывную цепочку доверия, начиная с проектирования самой платформы, производства ключевых компонентов, сборки, прошивки всех устройств, установки ПО и приложений, разворачивания у заказчика, то получившаяся ИТ-инфраструктура не может быть доверенной. Необязательно (хотя и желательно), чтобы все элементы цепочки были «из одного флакона». Но в любом случае все фазы процесса должны быть контролируемыми, в том числе и переходы с этапа на этап. Эти принципы подробно описаны в документах NIST (Американский Институт Стандартов и Технологий), который настоятельно рекомендует при разворачивании государственных информационных систем придерживаться принципа «цепочек доверия».

А у нас в госзакупках как обычно – подешевле и побольше. Сомнительное происхождение продуктов и дыры в безопасности при таком подходе гарантированы. И неважно, для чего покупается: ЦУП, системы управления войсками, налоговая система, АСУТП, всевозможные ГАСы, критерий один – цена. Думаю, что «расхлебывать» подобный подход будем не одно десятилетие.

В условиях современных информационных угроз все производители и поставщики оборудования просто обязаны соблюдать принципы «гигиены» при поставках оборудования. Кроме того, сами платформы на которых устанавливаются приложения, должны обладать «иммунитетом» – иметь встроенные модули и функции безопасности, которые обеспечивают превентивную защиту от проникновения вредоносного кода своих наиболее уязвимых мест.

Если продолжить аналогию с медициной, то на сегодня по безопасности мы находимся на уровне шаманства: «Если не умрет, то, возможно, выздоровеет».