НОВЫЕ УГРОЗЫ И НОВЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯ информационная безопасность автоматизированных систем

1. НОВЫЕ УГРОЗЫ И НОВЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯинформационная безопасность автоматизированных систем

2. Оценка уровня угроз По данным McAfee

3. Стелс-технологии во вредоносном ПО • Stuxnet – компьютерный червь; • Zeus/SpyEye – средства разработки руткитов; • TDSS – семейство руткитов; • MBR руткит - буткиты; • Bioskit.1 – средство разработки биоскит; • Rakshasa– PXE эксплойт; • DUKU, FLAME, GAUSS – мультивирус.

4. Функциональная стратегиябезопасных платформ Комплексная модель безопасности

5. Давление на BIOS Индустриальные требования (UEFI 2.3.1, Secure boot) Атаки (Чернобыль, Bioskit.1) Требования по проектированию (NIST SP800-147) Уязвимости (обход СЗИ, загрузка PXE, очистка NVRAM) Требования к функциональностипродукта Функциональные ограничения (объём, скорость, однозадачность) Требования по безопасности(сертификация, Заказчики)

6. ОБЗОР ВОЗМОЖНОСТИ АТАКИ ЧЕРЕЗ АППАРАТНЫЕ КОМПОНЕНТЫ ТИПИЧНОГО КОМПЬЮТЕРА НЕПРОВЕРЕННЫЙ BIOS КАК УГРОЗА

7. Предыдущая схема старта BIOS зона работы BIOS и загрузчика OS зона работы типичных антивирусных программ зона высокого риска

8. Актуальная модель угроз для компрометации BIOS

9. Компрометация BIOS. Реальные возможности. • Запуск вредоносных SMI обработчиков для обхода модулей доверенной загрузки и др. средств защиты. • Модификация драйверов BIOS для создания скрытых областей памяти и размещения в них вредоносного ПО. • Запуск в закрытых областях памяти вредоносных OPROM сетевых контроллеров для предоставления удаленного доступа к данным и дистанционного управления. • Модификация загрузочных областей устройств, смена последовательности загрузочных устройств, создание скрытых областей на носителях. • Запуск скрытых виртуальных машин, фильтрация внутреннего и внешнего трафика. Сбор паролей, теста и комбинаций нажатий клавиш. Предоставление злоумышленнику на носитель или удаленно. • Низкоуровневый доступ через сервисный процессор (BMC) и ManagementEngine для контроля и управления аппаратным обеспечением, вплоть до загрузки системы с удаленного носителя. • Вывод из строя оборудования по удаленной команде. ВНИМАНИЕ РЕАЛЬНАЯ УГРОЗА

10. ДЕМОНСТРАЦИЯ АКТУАЛЬНОСТИ ЗАЩИТЫ. НАСКОЛЬКО АКТУАЛЬНА УГРОЗА?

11. ! UEFI – не панацея от безопасности!!! ! ! ! ! ! • Нет доступа к исходному коду • Исполняемый код принадлежит зарубежным коммерческим компаниям. Мы им просто доверяем!

12. Модели взлома UEFI 2007 Blackhat • взлом UEFI через стандартизованный интерфейс SMM; • Заражение UEFI через вредоносный код OPROM. 2011 Defcon • “Network Nightmire” – PXEsploit; • “Stoned” Bootkit 2012 Syscan • DE MYSTERIIS DOM JOBSIVS (EFI Threats to Mac OS X) 2012 Fujitsu Future Conference • Взлом сертифицированного СЗИ на модели недоверенногоBIOS

13. Старт системы с типичным модулем ДЗ Имея наивысший приоритет среди загрузочных устройств аппаратный модуль доверенной загрузки производит старт встроенной в контроллер ОС до запуска основной ОС.

14. Новые угрозы. Системы с модифицированным BIOS Размещая «закладку» в BIOS материнской платы злоумышленник в любой момент может получить доступ к данным минуя защиту аппаратного модуля доверенной загрузки. Ключ активации может иметь любое исполнение (мышь, токен, накопитель, клавиатура и т.д.). censored • После завершения действий злоумышленника система возвращается в исходное состояние, что не создаёт прецедентов для обращения в службу безопасности. confidential

15. МЕТОДЫ ЗАЩИТЫ АРМ ОТ ИСПОЛЬЗОВАНИЯ МОДИФИЦИРОВАННЫХ КОДОВ BIOS МЕТОДЫ ЗАЩИТЫ

16. Режим SECURE BOOT • Загружаются только подписанные модули • Режим UEFI с запуском ТОЛЬКО подписанного загрузчика OS

17. Методы защиты BIOS • Создание доверенной платформы, функционирующей в режиме превентивной защиты от вредоносного кода. • Использование систем с проверенной версией BIOSбез возможности нелегитимной замены модулей UEFI. • Контроль функционирования модулей UEFI. • Интеграция в BIOS дополнительных средств защиты: • модули доверенной загрузки, • гипервизоры уровня BIOS, • межсетевые экраны, • крипто провайдеры, • антивирусы уровня BIOS, • сетевая авторизация через сервер безопасности • single sign-ON; • Использование доверенных систем дистанционного мониторинга и управления(в т.ч. пользователями) на уровне UEFI BIOS.

18. Материнские платы Kraftway KWххх Для обеспечения требований по информационной защите мы разработали и производим продукцию на собственных материнских платах оснащенных уникальными опциями. • Производство осуществляется на сертифицированной площадке на территории России, что гарантирует отсутствие не декларированных возможностей, закладок и гипервизоров уровня BIOS. Имеетполностьюрусифицированный BIOS, обладаетразвитымивозможностямиуправления и самодиагностики КОНТРОЛЬ ЦЕЛОСТНОСТИ и НЕИЗМЕННОСТИ ЗАЩИТА ОТ ПОДМЕНЫ BIOS НЕ ИМЕЕТ АНАЛОГОВ

19. Особенности BIOS Kraftway Интеграция в UEFI BIOS оболочки безопасности обеспечивающей: • Невозможность несанкционированного доступа и модификации неразрушающими методами: • кода модулей безопасности • журнала событий безопасности • конфигурационных файлов • Исключение области содержащей модули безопасностииз общего адресного пространства (после загрузки ос нет доступа) • Запуск СЗИ НСДдо запуска функции поиска загрузочного устройства • Контроль состава оборудования (аппаратная целостность) • Контроль программной среды • Интегрированный сторожевой таймер • Запуск и защита в среде UEFI средств защиты других производителей

20. Технология обеспечения безопасности BIOS Kraftway Запуск устройства в Legacy режиме KSS Запуск устройства в режиме превентивной защиты Windows Secure Boot СЗИ UEFI 2.1.3 Благодаря запуску оболочки KSS уровень безопасности системы не понижается даже при использовании средств безопасности, не имеющих сертификата производителя firmware KSS – оболочка безопасности Kraftway Secure Shell СЗИ – средства защиты информации

21. НЕ ИЗВЛЕКАЕМЫЙ МДЗ (Aladdin TSM) Благодаря тесной интеграции МДЗ с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами Обратная передача управления BIOS для дальнейшей загрузки компьютера осуществляется только после двух фактурной аутентификации пользователя. Прерывание срабатывает до активации начального загрузчика (INT 19H)

22. TSM. СЕРТИФИКАЦИЯ ФСТЭК РОССИИ (от 30 декабря 2011г.) «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 3 уровню контроля. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992)» до 1Г включительно. «Положение о методах и способах защиты информации в информационных системах персональных данных (Утв. приказом ФСТЭК России от 5 февраля 2010 г. № 58) до 1 класса включительно.

23. КРАТКИЙ ОБЗОР ПРОФИЛЬНОЙ ПРОДУКЦИИ. ОПТИМИЗИРОВАННАЯ ПРОДУКЦИЯ

24. Серия защищённых материнских плат Kraftway P P P P P P P P

25. Серия защищённых материнских плат Kraftway P P P P P P P P P P

26. Kraftway Credo VV18, VV20, VV22 Представляет собой полноценную рабочую станцию в миниатюрном исполнении. Может также исполнять роль тонкого клиента, выполняя функции ввода информации и отображения рабочего стола. Пассивное охлаждение в защищенном металлическом корпусе при очень низком энергопотреблении было доведено до совершенства в собственном дизайнерском центре специалистами Kraftway. Тем не менее, модель VV20 выполнена на высокопроизводительном процессоре со встроенной графикой, что позволяет ей без труда исполнять роль универсального клиента. Доступность дополнительных внешних носителей определяется административными настройками BIOS. 152ФЗ СООТВЕСТВУЕТ