Процесс глобальной информатизации затронул практически все сферы экономики.
Благодаря активному внедрению IT в целом, и персональных компьютеров в частности, информация становится одним из важнейших ресурсов любой компании, независимо от ее размера и сферы деятельности. При этом вместе со значимостью этого ресурса возрастает и его цена: в некоторых случаях убытки при потере информации могут быть сравнимы с оборотом компании, а утечка или несанкционированное использование данных могут нанести непоправимый ущерб репутации. Именно поэтому вопросы обеспечения информационной безопасности относятся к числу приоритетных, а их решение регулируется на законодательном уровне.
Гигантские объемы внутренней статистической и справочной информации становятся объектом охоты злоумышленников. Все больше систем оперируют персональными данными и данными, от которых зависит безопасность и жизнедеятельность населения.
От кого и, самое главное, как нужно защищать критичную информацию?
Предлагаю рассмотреть вопрос IT-безопасности на основе анализа методов угроз и защиты информационной системы персональных данных как предмет, требующий применения мер на законодательном уровне.
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа, результатом которого может стать их уничтожение, изменение и несанкционированное распространение. Объектом воздействия необязательно является злоумышленник извне, зачастую опасность представляют сотрудники, имеющие доступ к информационным ресурсам.
Угрозы на верхнем уровне подразделяются на две группы:
- утечка по техническим каналам передачи данных;
- и за счет несанкционированного доступа с применением специализированного оборудования и/или программного обеспечения.
Защитой от первого типа угроз является выявление каналов утечки на основе нормативных и методических документов ФСТЭК России. Защитой от второго типа угроз является применение комплексного подхода, который включает в себя ограничение нелегитимного доступа субъекта к защищаемому объекту ИС и повышение уровня исходной защищенности ИС, то есть значительное усложнение и повышение стоимости противоправных действий злоумышленника.
В данной статье предлагаю детально изучить возможности повышения уровня исходной защищенности, так как это прямая обязанность архитекторов IT-инфраструктуры организаций.
Для начала изучим модели угроз, связанных персональным компьютером оператора ПД.
1-й шаг.
Несанкционированный доступ к ресурсам компьютера
Наиболее распространенный способ - это загрузка компьютера при отсутствии пользователя. Несанкционированное применение компьютера может привести к нарушению режима конфиденциальности. В большинстве случаев препятствием для злоумышленника остаются только средства, заложенные в используемую операционную систему.
В случае успешного проникновения злоумышленник может внести изменения в системные настройки компьютера, что может отразиться на корректности работы аппаратных средств защиты. Произведя загрузку ПК с внешнего носителя, злоумышленник может получить доступ к данным, обойдя защитные механизмы операционной системы. И все эти действия злоумышленник может произвести, не нарушая защитных маркеров корпуса, контролирующих нелегитимные проникновения.
Использование аппаратно-программного модуля доверенной загрузки (АПМДЗ) является значительным барьером только при правильной его настройке. В большинстве случаев достаточно просто извлечь модуль из ПК, чтобы обойти его защитные барьеры. Но даже при корректном использовании АПМДЗ злоумышленник, имея физический доступ к ПК, может прибегнуть к применению встроенной подпрограммы аппаратных RAID-контроллеров для перехвата управления и обхода защитных модулей АПМДЗ.
Иногда к этому методу прибегают и легальные пользователи для упрощения личной работы с ИС.
2-й шаг.
Нарушение целостности программной среды компьютера
Получив физический доступ к компьютеру, накопителям и операционной системе критичного ПК, злоумышленник может разместить специализированное программное обеспечение (так называемые закладки) для сбора данных, вводимых паролей и упрощения процедуры доступа к ресурсам ПК. Чтобы обеспечить защищенность такой модификации, злоумышленники прибегают к замене критичных файлов ОС, служб, драйверов оборудования. Также могут быть модифицированы исполняемые файлы приложений, непосредственно работающие с критичными данными для обеспечения продолжительного доступа к ним злоумышленнику.
3-й шаг.
Сокрытие информации о нарушении
Производя несанкционированные действия, злоумышленник должен озаботиться коррекцией встроенных журналов протоколирования действий. Если описанные выше действия выполнены, то эта процедура значительно упрощается. При этом легальный пользователь фактически является субъектом, обеспечившим реализацию этого противоправного деяния, и при желании злоумышленник может подготовить доказательную базу для вынесения обвинения в случае проверки по факту утечки данных вплоть до полного удаления следов присутствия и модификации журналов событий с явной целью обвинения легального пользователя.
В случае подобного комплексного воздействия администратор системы не заметит и не определит имеющуюся угрозу. Но в любом случае легальный пользователь ПД попадет под подозрение по факту утечки информации, даже если не будет обвинен в противозаконных действиях.
4-й шаг.
Аппаратные реализации для несанкционированного доступа к ресурсам
Прогресс приносит не только возможности использования его плодов в правовом поле - он предоставляет дополнительные возможности злоумышленникам, а бурное развитие электронных систем - богатый набор инструментов для преступлений в секторе ИС. Наибольшую угрозу для конечных устройств при работе с критичными данными представляет применение нелегальных гипервизоров для использования возможностей виртуализации при организации нелегитимного доступа. Этот программный слой размещается между операционной системой и BIOS, соответственно никакими диагностическими средствами на уровне ОС он не может быть идентифицирован. Что он дает злоумышленнику?
Этот метод аналогичен открытой двери черного входа в хорошо охраняемый банк. Даже рекомендованные и имеющие реальную защиту модули доверенной загрузки (АПМДЗ) оказываются бесполезными, так как они в результате взаимодействуют с измененной версией BIOS, и с точки зрения логики защиты АМДЗ нарушения не фиксируются. При этом злоумышленник может получить полный удаленный доступ, как к данным, так и к критичным файлам. Типичные методы рекомендованных проверок не дадут требуемого результата. В данном случае применение АМДЗ будет создавать ложное ощущение безопасности. Сдерживает распространение этого метода сложность его реализации на этапе подготовки. Процедура модификации выглядит как штатная замена версии BIOS или может быть осуществлена в процессе производства поставляемой техники.
Есть ли метод защиты от этих угроз?
Анализируя модели угроз, мы получили ошеломляющий вывод: добиться требуемого уровня безопасности возможно только при глубокой интеграции средств идентификации в аппаратное обеспечение. По сути, необходимо объединить материнскую плату и модуль доверенной загрузки в единое устройство!
Было принято решение по разработке и созданию материнской платы универсального применения с требуемым набором функциональных возможностей.
Совместно с компанией Aladdin Security Solutions R.D. Kraftway создал программно аппаратный комплекс, который является средством защиты от несанкционированного доступа, интегрированным в аппаратное и программное обеспечение материнских плат KWG-43 и KWG-43s производства Kraftway. Подобная глубокая интеграция позволила создать систему, обладающую существенными преимуществами по сравнению с традиционными АПМДЗ. Встроенное ПО располагается в SPI Flash на материнской плате и вызывается на исполнение BIOS после прохождения процедуры Power On Self-Test (POST). Обратная передача управления BIOS для дальнейшей загрузки компьютера осуществляется только после аутентификации пользователя при помощи сертифицированных устройств eToken в форм-факторе USB-ключей или смарт-карт. Это позволяет проводить строгую двухфакторную аутентификацию пользователей до загрузки операционной системы компьютера.
Благодаря тесной интеграции специализированного встроенного ПО с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами и программным обеспечением.
Дополнительная немаловажная особенность заключается в том, что, используя компьютеры на основе указанных материнских плат, заказчик получает дополнительную гарантию от возможной кражи оборудования, так как злоумышленник просто не сможет включить компьютер, не обладая необходимыми ключами идентификации. Это достигается реализацией программно-аппаратной функции защиты от модификации встроенной в материнскую плату микросхемы EEPROM.
Использование описанных выше технологий вкупе с использованием сертифицированных операционных систем и средств многофакторной аутентификации позволяет описываемому программно-аппаратному комплексу со встроенными средствами защиты достичь более высокого уровня информационной безопасности по сравнению с системами, в которых используются наложенные средства защиты (АПМДЗ).
Производство защищенных компьютеров осуществляется на территории России на сертифицированном производстве, что гарантирует отсутствие недекларированных возможностей, закладок и гипервизоров уровня BIOS.
Журнал «Информационная безопасность», 2010, ноябрь
Издание медиакомпании «Гротек»