Rambler's Top100
Статьи ИКС № 09 2012
Ренат ЮСУПОВ  18 сентября 2012

Цепочка доверия

Чтобы защитить информационное облако, необходимо доверять каждому компоненту и каждой связи, фактически создать цепочку доверия. Выстроить такую систему безопасности в глобальном масштабе сложно, но в национальном – вполне реально, уверен Ренат ЮСУПОВ, старший вице-президент Kraftway.

Ренат ЮСУПОВ, старший вице-президент Kraftway– Согласны ли Вы с утверждением, что вопросы безопасности в частном облаке в принципе решены?

– С точки зрения защиты ЦОДа – согласен. Но гарантий защиты клиента нет ни в частном, ни в гибридном, ни в публичном облаке. Включая компьютер, пользователь обычно не задумывается о процессах, которые запускаются в этот момент: стартовые микропрограммы-загрузчики инициализируют устройства, пространство памяти, запускают необходимые драйверы, а после передают управление операционной системе. Эту работу традиционно выполняет микрокод BIOS (basic input/output system – базовая система ввода-вывода). Физически BIOS расположен в энергонезависимой памяти клиента. А клиент, как известно, самый незащищенный субъект потребительского рынка вообще и его ИТ-сегмента в частности, включая и облачную инфраструктуру. Свидетельство тому – появление в спектре вредоносных программ нового класса, который способен взять контроль над устройством через уровень BIOS. Угрозы подобного типа практически неуловимы и, что самое печальное, неизлечимы. Переломить ситуацию удастся только при системном подходе к безопасности облаков, не ограничиваясь защитой ЦОДов, но обеспечивая защиту клиентов через доверенный BIOS. Концептуально это выражается в выстраивании цепочки доверия без выпадающих звеньев.

– Принцип создания доверенных систем существует достаточно давно. Что нового в цепочке доверия?

– Все построенные раньше средства безопасности обеспечивали лишь фрагментарную защиту отдельных компонентов и звеньев системы. В традиционной парадигме доверенных систем либо каждое средство безопасности работало на поиск и уничтожение уже реализованных угроз, либо всегда существовала возможность обхода этой системы. Цепочка же доверия обеспечивает превентивную защиту. Если все участки системы доверенные, если существует внутренняя система подтверждения каждого этапа и компонента на соответствие, то никакие угрозы в рамках модели внедрения вредоносного кода в систему не страшны. Крупные ИТ-компании сейчас выстраивают свои системы безопасности на этой новой модели защиты. Однако превентивная модель требует серьезных вложений и усилий, ведь каждое звено цепочки доверия должно разрабатываться, производиться и эксплуатироваться доверенной организацией. Иначе говоря, разработчикам приложений надо договориться об участии в цепочке с производителями операционных систем, а тем, в свою очередь, с производителями средств вычислительной техники, далее по цепочке – с разработчиками BIOS, с производителями процессоров, чипсетов, микроконтроллеров, и всем вместе взятым – с разработчиками средств безопасности. Когда это удастся, можно будет говорить если не о промышленной революции, то о коренном изменении принципов работы всемирной ИТ-индустрии – о переходе от простой стыковки интерфейсов обмена к стыковке интерфейсов безопасности.

– С кем из потенциальных участников цепочки доверия труднее всего договориться?

– Сейчас большая часть материнских плат выпускается в Китае, Тайване и т.п., где типовые BIOS адаптируются под конкретные платы, и никто, кроме их производителей, не знает, какой конкретно микрокод имплементирован в их базовую систему ввода-вывода. Исходные коды эти многочисленные компании вряд ли захотят открыть. Недавно в России была введена процедура проверки BIOS в лабораториях, аккредитованных ФСБ, но, не зная исходных кодов, проверить в двоичном коде, даже после декомпиляции, программу объемом 2 Мбайт, тесно связанную с аппаратным обеспечением, еще можно, а вот в 256 Мбайт (новый стандарт BIOS, стартующий в 2013 г.) – жизни не хватит. А в запасе остается еще возможность маскировки микрокода BIOS под безобидные функции, проверки теряют свою эффективность.

– Выход есть?

 – Мы решили, что для России единственный способ создать доверенный BIOS – разрабатывать его здесь. Что мы и начали делать, лицензировав типовые исходные коды у компании AMI. С другой стороны, поскольку это аппаратно-зависимое ПО, создать доверенный BIOS практически невозможно, не будучи разработчиком аппаратуры. Соответственно, мы занимаемся разработкой материнских плат, в которые встраивается базовая система ввода-вывода собственной же разработки.

Следующий шаг – создание «оболочки безопасности» Secure Shell, позволяющей решить проблему контроля бинарных модулей различных контроллеров, присутствующих в прошивке. Собирая исходный код BIOS, мы обеспечиваем контроль их работы. BIOS де-факто получается доверенный, поскольку модули других производителей повредить ему уже не могут. «Оболочка безопасности» BIOS обладает еще одним важным свойством – в нее можно интегрировать модули защиты информации других компаний: всевозможные модули доверенной загрузки, модули шифрования, межсетевые экраны, антивирусы и даже доверенные гипервизоры. Мы сотрудничаем уже почти с десятком крупных компаний, работающих в сфере ИБ, по интеграции их продуктов в нашу оболочку. Таким образом, мы создали несколько звеньев цепочки доверия нижнего уровня. На процессоры не замахиваемся, но до кремния мы пока дошли. В результате удалось на порядок увеличить безопасность и защищенность клиентских рабочих мест. Положа руку на сердце, могу сказать, что создана устойчивая безопасная система, способная блокировать угрозы нового поколения, которые еще называют кибероружием.

– Национальная цепочка доверия программно-аппаратного уровня уже находит практическое применение?

– Первое решение этой серии сейчас реализуется в медицинских проектах. В наш BIOS встроен модуль доверенной загрузки – электронный замок одного из наших партнеров. Пока он не взломан (профессионалы из ИБ-лаборатории «Бауманки» полтора-два месяца пытались взломать – не смогли). Если при аутентификации пользователя произойдет некоторое заданное количество неправильных вводов кода, система блокируется. Восстановить систему сможет администратор безопасности. Если же такую ошибку совершит администратор, то единственный способ восстановить работу – привозить машину к нам на завод, выпаивать микросхему, «прошивать» ее заново. С одной стороны, это плохо: возникают дополнительные трудности. С другой – хорошо, взломать систему невозможно.

Это решение внедрено и технологически отрабатывается в 11 регионах в рамках проектов модернизации здравоохранения. Часть действующих в регионе лечебных учреждений оснащается клиентскими рабочими местами с нашими решениями. Средства идентификации и аутентификации, встроенные в BIOS, пока гарантируют 100%-ную невзламываемость системы «электронной регистратуры» и «электронной истории болезни» нарушителем со стороны клиентских рабочих мест. Но система безопасности, эксплуатирующаяся в медицинских проектах, – это еще не «оболочка безопасности». Собственно «оболочка» сейчас проходит процедуру сертификации.

– Что мешает силовикам, госорганам, бизнесу внедрять решение уже сейчас?

– У первых и вторых существует действующая нормативная база. Но она устарела; модели угроз, на которые она рассчитана, не предусматривают угроз уровня BIOS и низкоуровневых гипервизоров. А если нет нормативного документа, то нет формального обоснования, чтобы приобретать средства защиты от непредусмотренных угроз. Они должны сначала принять новую модель угроз и нарушителя, потом под нее разработать концепцию безопасности, под концепцию безопасности создать пакет нормативных документов, под нормативные документы – новые регламенты. Это длительный процесс, но судя по косвенным признакам, он уже пошел.

Что касается госсектора, то проблема связана с конкурсным законодательством: нужны аналоги, а их пока нет! Соответственно, механизм приобретения такой продукции осложняется, поскольку отсутствует конкуренция. Наконец, есть проблема искажения информации. Все что-то слышали про опасности, про кибер-оружие – но лишь ограниченный круг специалистов отчетливо понимает, о чем речь. Цельной концепции противодействия таким угрозам в голове у людей, принимающих решения, нет, они ориентируются на общие векторы. Свое решение мы сделали с большим опережением, но, думаю, очень скоро «оболочка безопасности» станет общим вектором. 
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!