26 Август 2013
Обеспечение безопасности и надежного функционирования информационных систем предприятия — важнейшая задача ИТ-подразделения. Постоянно появляются новые виды угроз, другие становятся все менее и менее распространенными, но сказать, что какие-то угрозы навсегда уходят со сцены, видимо, было бы неправильно. Как обстоят дела в этой области сегодня, мы поговорим с Алексеем Рогачковым, специалистом по корпоративным технологиям Intel.
— Алексей, добрый день! Давайте поговорим об информационной безопасности. С учетом новых тенденции в IT, таких как коньсюмеризация, облака, виртуализация, какие угрозы сегодня представляются наиболее актуальными?
— Действительно, появляются различные новые продукты, существующие становятся более сложными, а чем система сложнее, тем труднее за всем уследить, сложнее ее полностью контролировать. Поэтому в сложных системах часто встречаются уязвимости. Как показывает опыт, многие новые устройства поддаются взлому, jailbreak'у, а компании-разработчики нередко объявляют конкурсы и выплачивают вознаграждения тем, кто обнаружит новую уязвимость.
В принципе, типовые угрозы никуда не уходят. Если, например, спросить специалиста по сетевой безопасности, он приведет множество примеров актуальных угроз. А если поговорить с тем, кто занимается безопасностью так называемых конечных точек, то и здесь будет немало примеров — вирусов, различного вредоносного ПО. В результате убеждаешься, что угрозы разных типов не перестают быть актуальными.
Пожалуй, один из самых заметных трендов сегодня — это рост популярности различных компактных устройств. Очень многие предприятия задумываются об использовании планшетных компьютеров, смартфонов или уже активно действуют в этом направлении, реализуют программы использования личных устройств сотрудников. Совсем недавно было опубликовано исследование Juniper Networks, которое показывает, что количество вредоносного ПО для мобильных устройств увеличилось за год более чем на 600% [источник]. Так что взрывной рост популярности компактных мобильных устройств вызывает такой же взрывной рост количества вредоносного ПО.
Однако, повторюсь, другие угрозы, другие проблемы безопасности от на этом фоне отнюдь не становятся менее актуальными.
— То, что беспокоит корпоративных специалистов по безопасности в отношении мобильных устройств, в основном связано со стратегией консьюмеризации и BYOD, или это в такой же мере касается и моделей, специально выбираемых или разрабатываемых для применения в бизнесе?
— Мне кажется, что это в первую очередь связано с тем, что сами пользователи выбирают такие устройства, им нравится с ними работать. Они хотят не только бродить в Интернет с помощью мобильных устройств, играть в игрушки, но и использовать их для работы. Для компаний это стремление можно обратить в выгоду, позволяя повысить эффективность работы сотрудников и сократить, к примеру, издержки на приобретение устройств, позволив сотрудникам использовать собственные. Но перед отделами ИТ и ИБ эти тенденции, безусловно, ставят новые задачи и возводят определенные барьеры, которые предстоит преодолеть. Например, применение мобильных устройств приводит к расширению периметра корпоративной сети, и заставляет внедрять средства управления мобильными устройствами на предприятии (системы MDM, так же называемые EMM-системами). Любопытно, что в грядущем обновлении Windows 8.1 будет встроена поддержка MDM, что позволит управлять через MDM-решения и Windows-устройствами, в то время как до недавнего времени такая возможность существовала только для «традиционных» мобильных ОС: Android, iOS, Blackberry.
Пользователей же привлекают совершенно разные устройства, одной гребенкой всех не причесать, и многое будет зависеть от принятой в компании политики по использованию таких устройств. В одном случае, например, сотрудникам может быть разрешено применение для решения рабочих задач устройств одной платформы, операционной системы или одного бренда, который специалисты сочтут достаточно хорошо защищенным. А другая компания разрешит использовать вообще любые устройства, ограничив, однако, тип информации или круг приложений, чтобы обеспечить необходимый уровень безопасности. Политика в отношении мобильных устройств может также предполагать снабжение сотрудников за счет компании, закупающей некоторый (обычно небольшой) список проверенных ее IT-специалистами моделей. А может разрешаться применение личных устройств сотрудников, но тогда возникает вопрос, какие функции должны обязательно поддерживаться этими устройствами, и, скорее всего, тоже будет существовать перечень поддерживаемых моделей.
Основной движущей силой здесь, по-моему, является растущая популярность мобильных устройств. Пользователям эти устройства нравятся, им комфортно с ними работать. Со своей же стороны, IT-службы и службы информационной безопасности отвечают этому массовому тренду, чтобы обеспечить высокую продуктивность, высокую эффективность работы сотрудников компаний. Особенно тех, которые являются высокомобильными, часто работают не в офисе, а в каких-то удаленных точках: дома, в общественных местах.
— Пока мы говорили о том, что наблюдается в области пользовательских устройств, а с другими современными IT-трендами, такими как широкое внедрение виртуализации, облачных сервисов, связаны какие-то новые тенденции в области безопасности серверов, центров обработки данных?
— Разумеется, изменения происходят и в этой области. Например, все шире становятся возможности пакетов защиты от вредоносного ПО работать с гипервизорами и виртуальными машинами. Но, что это принципиально новые угрозы, я бы не сказал. Если представить, что какая-то компания решила использовать облачные сервисы, то есть не строить ЦОД и не хостить у себя какие-то приложения, а приобрести необходимое у стороннего поставщика. В виде инфраструктуры как сервис, ПО как сервис — тут возможны разные варианты. Появилось ли в связи с этим что-то новое в плане угроз безопасности? Вопрос защищенности здесь так же сводится к конфиденциальности, целостности и доступности данных. Если какой-то злоумышленник с теми или иными целями хочет получить доступ к нашим данным, нам следует принять меры, чтобы это предотвратить. И тут нет разницы в том, где эти данные хранятся, однако появляется вопрос, кто защищенность данных обеспечивает — владелец данных или провайдер сервиса, и кто и в какой мере несет ответственность в случае инцидента.
Если мы пользуемся услугой, нам наверняка хотелось бы, чтобы поставщик сервиса обеспечивал требуемый уровень безопасности, чтобы с нашими данными ничего не произошло. В случае какой-то целенаправленной атаки, злоумышленник будет пытаться проникнуть не в наш ЦОД, а в ЦОД сервис-провайдера, но для самого злоумышленника задача технически останется одной и той же. Разве что гипотетически провайдер услуг будет активнее использовать методы защиты, поскольку для него это ключевой бизнес, и успешность бизнеса зависит от безопасности. Но это допущение. Поэтому в целом, я не вижу принципиальных изменений в том, что в этой области происходит с точки зрения характера существующих угроз, разновидностей атак и мер по защите данных.
— Тем не менее, вредоносное ПО постоянно эволюционирует, и не только в направлении эксплуатации человеческих слабостей, ориентируясь на то, что появляется все больше пользователей, далеких от «компьютерных наук». Средства противодействия атакам становятся совершеннее, опираются на поддержку со стороны аппаратных технологий, а как на это реагируют вирусы?
— В принципе, между добром и злом существует вечная гонка. Злоумышленники изобретают новые способы атак. Появляются новые продукты, в них ищут новые уязвимости и пытаются найденное использовать. Со своей стороны, производители средств безопасности такие уязвимости закрывают, используют новые методы обнаружения атак... Применяющиеся сегодня системы защиты являются весьма сложными. Даже отдельно взятый антивирус сейчас уже не просто средство для сканирования жесткого диска на наличие сигнатур вредоносного ПО, а зачастую комплексный инструмент, во многих случаях имеющий локальный межсетевой экран, использующий для поиска еще неизвестных вирусов эвристические методы анализа, поведенческий анализ и т.д. Поэтому вредоносное ПО стремится стать невидимым, спрятаться от средств защиты.
А как это можно сделать? Уйти на более глубокий уровень, чем уровень операционной системы, на котором обычно работают средства защиты. Например, на уровень ядра операционной системы, на уровень драйверов ядра. Некоторые вирусы могут даже записать себя в энергонезависимую память, на уровень BIOS, пытаясь стать недосягаемым для средств защиты. В итоге мы видим, что атаки перемещаются на более глубокие уровни. Intel в этом случае, как производитель аппаратных средств, находится в положении, которое позволяет реализовать обеспечение безопасности на аппаратном уровне, заложив его в функционал своих продуктов еще на этапе проектирования. Такие технологии призваны помочь разработчикам систем и средств безопасности обеспечить эффективную защиту как в серверных системах, так и в пользовательских устройствах: ПК, ультрабуках, планшетах и смартфонах.
— В продуктах Intel уже реализованы технологии, обеспечивающие на аппаратном уровне поддержку для систем безопасности. Но такие системы имеют и программную часть. После приобретения Intel компании McAfee вопросы о программной поддержке аппаратных технологий защиты стали решаться быстрее?
— Те аппаратные расширения, которые разрабатывает и внедряет в свои продукты Intel, безусловно, должны поддерживаться производителями программного обеспечения. Функция безопасности, реализованная на аппаратном уровне, не будучи использована ПО, вряд ли обеспечит эффективную защиту. Поэтому вопрос о поддержке аппаратных расширений безопасности программным обеспечением, безусловно, крайне важен. Если посмотреть на существующее решения, то расширения безопасности, которые реализованы Intel в своих полупроводниковых продуктах, открыты и доступны для производителей и операционных систем, и приложений, и систем безопасности. Не могу сказать, что какая-либо из компаний имеет особые привилегии. Например, технологии аппаратной поддержки виртуализации известны давно, подробно описаны и доступны разработчикам. Подтверждением тому является их широкая поддержка производителями программных решений виртуализации. Но в прошлом году была представлена довольно интересная технология McAfee DeepSAFE, которая заключается в использовании технологии виртуализации для обеспечения безопасности. Несколько лет назад, когда технологии аппаратной поддержки виртуализации еще только появились на рынке, Intel рассказывала про новую тогда еще Intel vPro, в области клиентских решений обсуждалось и такое применение технологии виртуализации, как создание на уровне гипервизора программной прослойки, которая отвечала бы за безопасность. По-сути, специалистами McAfee эта идея, обеспечивающая запуск антивирусного приложения еще до начала загрузки операционной системы, и была реализована.
Как мы уже говорили, при переходе вредоносного ПО на более глубокие уровни, где они могут работать в том числе с правами ядра ОС, благодаря чему довольно долго ничем себя не обнаруживая для антивирусных программ. В таком случае подход, при котором еще до запуска ОС загружается приложение безопасности, выполняющее мониторинг в реальном времени и со стороны следящее за тем, что происходит с ОС, обеспечивает возможность выявления глубоко запрятанных вредоносных программ. В этом и заключается технология McAfee DeepSAFE, поддерживаемая пакетом McAfee Deep Defender.
Другой хороший пример — McAfee Deep Command. Вторая версия этого пакета была выпущена недавно, и в ней реализована поддержка Intel vPro, в частности, технологии администрирования AMT. В данном случае, модуль ePO Deep Command использует предоставляемые Intel vPro возможности управления платформой, в том числе находящейся в выключенном состоянии, чтобы производить действия по обеспечению безопасности. Например, через Deep Command можно, задействуя функционал AMT, включить машину, чтобы установить последние обновления, или провести тщательное сканирование на вирусы в то время, когда пользователи уже ушли с работы. Другой вариант — это использование таких мощных средств удаленного управления, как аппаратного перенаправления клавиатуры-видео-мыши, IDE Redirection и Serial Over LAN. Эти средства также поддерживаются ePO Deep Command 2.0, что позволяет снизить расходы на поддержку, повысить защищенность систем и уменьшить негативное влияние на работу пользователей, проводя необходимые действия в нерабочее время.
Не у всех компаний есть реально обоснованная необходимость в приобретении сложных пакетов управления IT-инфраструктурой, в которых используются аппаратные функции Intel vPro. В этом случае McAfee Deep Command открывает возможность воспользоваться преимуществами современных технологий централизованного управления для решения основных задач по обеспечению безопасности. Кроме того, процедура настройки технологии Intel AMT реализована в McAfee Deep Command настолько просто, что справиться с ней в силах абсолютное большинство администраторов.
Другим примером является технология Secure Key, которая была реализована в процессорах Intel Core 3-го поколения и, разумеется, поддерживается в процессорах 4-го поколения. Она представляет собой высокоскоростной аппаратный генератор случайных чисел. Случайные числа являются основой для шифрования, поскольку на их базе генерируются ключи. Обычно, чтобы создать случайное число или пару чисел, применяются программные модули, которые используют псевдослучайные источники для генерирования ключа. Ими могут быть, например, перемещения курсора мыши, текущее время. Если злоумышленник понимает, по какому алгоритму происходит создание случайного числа, то сгенерированный на его основе ключ можно считать скомпрометированным. Кроме того, подобный программный модуль сидит в памяти, и, теоретически, можно вычислить его местонахождение, попытаться выяснить алгоритм его работы. С учетом этого была создана технология Intel Secure Key, которая представляет собой скоростной генератор качественных случайных чисел, пользоваться которым довольно просто и удобно производителям ПО. Сегодня многие компании, включая Microsoft, уже используют эти аппаратные средства безопасности, и мы ожидаем, что таких производителей станет еще больше.
Еще один пример — Intel Identity Protection Technology (IPT), которая представляет собой интегрированный механизм многофакторной аутентификации, и может быть использована в разных сценариях. IT служба Intel провела интересный пилотный проект по использованию Intel IPT для установления VPN-соединения без необходимости вводить пароль со стороны пользователя. Участникам пилотного проекта настолько понравился такой подход, что это внедрение можно считать одним из самых успешных с точки зрения удовлетворенности участников.
— Что в аппаратных технологиях поддержки безопасности появилось в последнее время, например, в связи с выпуском 4-го поколения Intel Core?
— Любопытная технология, появившаяся как раз в 4-ом поколении процессоров Intel Core, — это усиленная аппаратная защита процедуры обновления BIOS. Мы говорили, что существует вредоносное ПО, которое способно прописывать свой код в энергонезависимую память. Например, троян Mebromi — у этого вируса хватало интеллекта, чтобы определить используемый на атакуемом компьютере тип BIOS, и, если он оказался подходящим для взлома, Mebromi прописывал свой код в энергонезависимую память и сектор загрузки ОС. Для защиты от угроз такого рода в 4-ом поколении Intel Core и была реализована безопасная процедура обновления BIOS. Во-первых, она позволяет прошить в энергонезависимую память только подписанный производителем код. Во-вторых, сама процедура стала более защищенной: обновление BIOS происходит, когда процессор находится в специальном безопасном режиме. Таким образом, эта функция является более защищенной от взлома, чем существовавшие ранее процедуры.
— Существуют ли сегодня какие-нибудь широко применимые рекомендации, как правильно построить комплексную систему обеспечения безопасности, учитывающую современные IT-тенденции и актуальные угрозы?
— Существует целый ряд стандартов, которые описывают построение комплексной системы безопасности. Но здесь сложно привести все к какому-то общему знаменателю. В каждой организации будет своя ситуация, и зависит она в первую очередь от того, что именно необходимо защитить. Есть описанные процедуры, выполнение которых позволяет определить, какие активы организации представляют наибольшую ценность, выяснить, что уже защищено, что следует защитить лучше, где остаются прорехи в системе безопасности. После этого и определяется, какими именно средствами следует воспользоваться, какие мероприятия провести, чтобы свести риски к уровню, считаемому приемлемым. Например, если для организации наибольшую опасность представляют риски утечки информации, то акцент будет сделан на системы защиты от утечек данных. Если же наиболее высоки риски, связанные с подключением извне, то можно усилить средства контроля доступа. Для мобильных устройств, которые пользователи постоянно носят с собой и которые часто используются за пределами офиса компании намного выше риски утраты или попадания в чужие руки. Тогда логично для защиты данных использовать шифрование. Если же есть какая-то информация, которая очень критична, которую никак нельзя позволить себе потерять, то стоит задуматься о мерах по обеспечению непрерывности бизнеса. К примеру, полностью или частично задублировать ЦОД — в другом географическом пункте, чтобы даже при катастрофах сохранялись наиболее важные данные, обеспечивались критичные сервисы. Таким образом, возникает очень большое количество вариантов построения эффективных систем безопасности.
В любом случае, повторюсь, первым делом надо понять, что является наиболее ценным для данной компании, насколько эти активы подвержены угрозам, и в зависимости от этого принимать те или иные меры, которые позволят снизить данные риски. Если пытаться защитить все и сразу, то, в принципе, можно внедрить все самое современное и совершенное из средств безопасности, только бы денег хватило. Но будет ли получившаяся система эффективной? Насколько удобно станет работать сотрудникам? Вопрос об использовании защитных мер всегда пересекается с вопросом об удобстве пользователей. Чем больше барьеров на пути угроз устанавливается, тем труднее работать сотрудникам, и тем больше времени они вынуждены тратить на выполнение требований средств защиты для доступа к данным, к сети и т.д. В этих вопросах задача службы ИБ найти правильный баланс – защитить данные при разумном количестве барьеров.
— Алексей, спасибо за интересную беседу! Надеюсь, что в будущих поколениях продуктов Intel появятся еще более эффективные и разнообразные аппаратные технологии, которые позволят создавать системы и продукты обеспечения безопасности на качественно новом уровне. И мы сможем обсудить эту тему снова.
Посмотреть еще: Intel® vPro™ Use Case Reference Design - Use Intel IPT as a VPN Login
© IT Galaxy
— Алексей, добрый день! Давайте поговорим об информационной безопасности. С учетом новых тенденции в IT, таких как коньсюмеризация, облака, виртуализация, какие угрозы сегодня представляются наиболее актуальными?
— Действительно, появляются различные новые продукты, существующие становятся более сложными, а чем система сложнее, тем труднее за всем уследить, сложнее ее полностью контролировать. Поэтому в сложных системах часто встречаются уязвимости. Как показывает опыт, многие новые устройства поддаются взлому, jailbreak'у, а компании-разработчики нередко объявляют конкурсы и выплачивают вознаграждения тем, кто обнаружит новую уязвимость.
В принципе, типовые угрозы никуда не уходят. Если, например, спросить специалиста по сетевой безопасности, он приведет множество примеров актуальных угроз. А если поговорить с тем, кто занимается безопасностью так называемых конечных точек, то и здесь будет немало примеров — вирусов, различного вредоносного ПО. В результате убеждаешься, что угрозы разных типов не перестают быть актуальными.
Пожалуй, один из самых заметных трендов сегодня — это рост популярности различных компактных устройств. Очень многие предприятия задумываются об использовании планшетных компьютеров, смартфонов или уже активно действуют в этом направлении, реализуют программы использования личных устройств сотрудников. Совсем недавно было опубликовано исследование Juniper Networks, которое показывает, что количество вредоносного ПО для мобильных устройств увеличилось за год более чем на 600% [источник]. Так что взрывной рост популярности компактных мобильных устройств вызывает такой же взрывной рост количества вредоносного ПО.
Однако, повторюсь, другие угрозы, другие проблемы безопасности от на этом фоне отнюдь не становятся менее актуальными.
— То, что беспокоит корпоративных специалистов по безопасности в отношении мобильных устройств, в основном связано со стратегией консьюмеризации и BYOD, или это в такой же мере касается и моделей, специально выбираемых или разрабатываемых для применения в бизнесе?
— Мне кажется, что это в первую очередь связано с тем, что сами пользователи выбирают такие устройства, им нравится с ними работать. Они хотят не только бродить в Интернет с помощью мобильных устройств, играть в игрушки, но и использовать их для работы. Для компаний это стремление можно обратить в выгоду, позволяя повысить эффективность работы сотрудников и сократить, к примеру, издержки на приобретение устройств, позволив сотрудникам использовать собственные. Но перед отделами ИТ и ИБ эти тенденции, безусловно, ставят новые задачи и возводят определенные барьеры, которые предстоит преодолеть. Например, применение мобильных устройств приводит к расширению периметра корпоративной сети, и заставляет внедрять средства управления мобильными устройствами на предприятии (системы MDM, так же называемые EMM-системами). Любопытно, что в грядущем обновлении Windows 8.1 будет встроена поддержка MDM, что позволит управлять через MDM-решения и Windows-устройствами, в то время как до недавнего времени такая возможность существовала только для «традиционных» мобильных ОС: Android, iOS, Blackberry.
Пользователей же привлекают совершенно разные устройства, одной гребенкой всех не причесать, и многое будет зависеть от принятой в компании политики по использованию таких устройств. В одном случае, например, сотрудникам может быть разрешено применение для решения рабочих задач устройств одной платформы, операционной системы или одного бренда, который специалисты сочтут достаточно хорошо защищенным. А другая компания разрешит использовать вообще любые устройства, ограничив, однако, тип информации или круг приложений, чтобы обеспечить необходимый уровень безопасности. Политика в отношении мобильных устройств может также предполагать снабжение сотрудников за счет компании, закупающей некоторый (обычно небольшой) список проверенных ее IT-специалистами моделей. А может разрешаться применение личных устройств сотрудников, но тогда возникает вопрос, какие функции должны обязательно поддерживаться этими устройствами, и, скорее всего, тоже будет существовать перечень поддерживаемых моделей.
Основной движущей силой здесь, по-моему, является растущая популярность мобильных устройств. Пользователям эти устройства нравятся, им комфортно с ними работать. Со своей же стороны, IT-службы и службы информационной безопасности отвечают этому массовому тренду, чтобы обеспечить высокую продуктивность, высокую эффективность работы сотрудников компаний. Особенно тех, которые являются высокомобильными, часто работают не в офисе, а в каких-то удаленных точках: дома, в общественных местах.
— Пока мы говорили о том, что наблюдается в области пользовательских устройств, а с другими современными IT-трендами, такими как широкое внедрение виртуализации, облачных сервисов, связаны какие-то новые тенденции в области безопасности серверов, центров обработки данных?
— Разумеется, изменения происходят и в этой области. Например, все шире становятся возможности пакетов защиты от вредоносного ПО работать с гипервизорами и виртуальными машинами. Но, что это принципиально новые угрозы, я бы не сказал. Если представить, что какая-то компания решила использовать облачные сервисы, то есть не строить ЦОД и не хостить у себя какие-то приложения, а приобрести необходимое у стороннего поставщика. В виде инфраструктуры как сервис, ПО как сервис — тут возможны разные варианты. Появилось ли в связи с этим что-то новое в плане угроз безопасности? Вопрос защищенности здесь так же сводится к конфиденциальности, целостности и доступности данных. Если какой-то злоумышленник с теми или иными целями хочет получить доступ к нашим данным, нам следует принять меры, чтобы это предотвратить. И тут нет разницы в том, где эти данные хранятся, однако появляется вопрос, кто защищенность данных обеспечивает — владелец данных или провайдер сервиса, и кто и в какой мере несет ответственность в случае инцидента.
Если мы пользуемся услугой, нам наверняка хотелось бы, чтобы поставщик сервиса обеспечивал требуемый уровень безопасности, чтобы с нашими данными ничего не произошло. В случае какой-то целенаправленной атаки, злоумышленник будет пытаться проникнуть не в наш ЦОД, а в ЦОД сервис-провайдера, но для самого злоумышленника задача технически останется одной и той же. Разве что гипотетически провайдер услуг будет активнее использовать методы защиты, поскольку для него это ключевой бизнес, и успешность бизнеса зависит от безопасности. Но это допущение. Поэтому в целом, я не вижу принципиальных изменений в том, что в этой области происходит с точки зрения характера существующих угроз, разновидностей атак и мер по защите данных.
— Тем не менее, вредоносное ПО постоянно эволюционирует, и не только в направлении эксплуатации человеческих слабостей, ориентируясь на то, что появляется все больше пользователей, далеких от «компьютерных наук». Средства противодействия атакам становятся совершеннее, опираются на поддержку со стороны аппаратных технологий, а как на это реагируют вирусы?
— В принципе, между добром и злом существует вечная гонка. Злоумышленники изобретают новые способы атак. Появляются новые продукты, в них ищут новые уязвимости и пытаются найденное использовать. Со своей стороны, производители средств безопасности такие уязвимости закрывают, используют новые методы обнаружения атак... Применяющиеся сегодня системы защиты являются весьма сложными. Даже отдельно взятый антивирус сейчас уже не просто средство для сканирования жесткого диска на наличие сигнатур вредоносного ПО, а зачастую комплексный инструмент, во многих случаях имеющий локальный межсетевой экран, использующий для поиска еще неизвестных вирусов эвристические методы анализа, поведенческий анализ и т.д. Поэтому вредоносное ПО стремится стать невидимым, спрятаться от средств защиты.
А как это можно сделать? Уйти на более глубокий уровень, чем уровень операционной системы, на котором обычно работают средства защиты. Например, на уровень ядра операционной системы, на уровень драйверов ядра. Некоторые вирусы могут даже записать себя в энергонезависимую память, на уровень BIOS, пытаясь стать недосягаемым для средств защиты. В итоге мы видим, что атаки перемещаются на более глубокие уровни. Intel в этом случае, как производитель аппаратных средств, находится в положении, которое позволяет реализовать обеспечение безопасности на аппаратном уровне, заложив его в функционал своих продуктов еще на этапе проектирования. Такие технологии призваны помочь разработчикам систем и средств безопасности обеспечить эффективную защиту как в серверных системах, так и в пользовательских устройствах: ПК, ультрабуках, планшетах и смартфонах.
— В продуктах Intel уже реализованы технологии, обеспечивающие на аппаратном уровне поддержку для систем безопасности. Но такие системы имеют и программную часть. После приобретения Intel компании McAfee вопросы о программной поддержке аппаратных технологий защиты стали решаться быстрее?
— Те аппаратные расширения, которые разрабатывает и внедряет в свои продукты Intel, безусловно, должны поддерживаться производителями программного обеспечения. Функция безопасности, реализованная на аппаратном уровне, не будучи использована ПО, вряд ли обеспечит эффективную защиту. Поэтому вопрос о поддержке аппаратных расширений безопасности программным обеспечением, безусловно, крайне важен. Если посмотреть на существующее решения, то расширения безопасности, которые реализованы Intel в своих полупроводниковых продуктах, открыты и доступны для производителей и операционных систем, и приложений, и систем безопасности. Не могу сказать, что какая-либо из компаний имеет особые привилегии. Например, технологии аппаратной поддержки виртуализации известны давно, подробно описаны и доступны разработчикам. Подтверждением тому является их широкая поддержка производителями программных решений виртуализации. Но в прошлом году была представлена довольно интересная технология McAfee DeepSAFE, которая заключается в использовании технологии виртуализации для обеспечения безопасности. Несколько лет назад, когда технологии аппаратной поддержки виртуализации еще только появились на рынке, Intel рассказывала про новую тогда еще Intel vPro, в области клиентских решений обсуждалось и такое применение технологии виртуализации, как создание на уровне гипервизора программной прослойки, которая отвечала бы за безопасность. По-сути, специалистами McAfee эта идея, обеспечивающая запуск антивирусного приложения еще до начала загрузки операционной системы, и была реализована.
Как мы уже говорили, при переходе вредоносного ПО на более глубокие уровни, где они могут работать в том числе с правами ядра ОС, благодаря чему довольно долго ничем себя не обнаруживая для антивирусных программ. В таком случае подход, при котором еще до запуска ОС загружается приложение безопасности, выполняющее мониторинг в реальном времени и со стороны следящее за тем, что происходит с ОС, обеспечивает возможность выявления глубоко запрятанных вредоносных программ. В этом и заключается технология McAfee DeepSAFE, поддерживаемая пакетом McAfee Deep Defender.
Другой хороший пример — McAfee Deep Command. Вторая версия этого пакета была выпущена недавно, и в ней реализована поддержка Intel vPro, в частности, технологии администрирования AMT. В данном случае, модуль ePO Deep Command использует предоставляемые Intel vPro возможности управления платформой, в том числе находящейся в выключенном состоянии, чтобы производить действия по обеспечению безопасности. Например, через Deep Command можно, задействуя функционал AMT, включить машину, чтобы установить последние обновления, или провести тщательное сканирование на вирусы в то время, когда пользователи уже ушли с работы. Другой вариант — это использование таких мощных средств удаленного управления, как аппаратного перенаправления клавиатуры-видео-мыши, IDE Redirection и Serial Over LAN. Эти средства также поддерживаются ePO Deep Command 2.0, что позволяет снизить расходы на поддержку, повысить защищенность систем и уменьшить негативное влияние на работу пользователей, проводя необходимые действия в нерабочее время.
Не у всех компаний есть реально обоснованная необходимость в приобретении сложных пакетов управления IT-инфраструктурой, в которых используются аппаратные функции Intel vPro. В этом случае McAfee Deep Command открывает возможность воспользоваться преимуществами современных технологий централизованного управления для решения основных задач по обеспечению безопасности. Кроме того, процедура настройки технологии Intel AMT реализована в McAfee Deep Command настолько просто, что справиться с ней в силах абсолютное большинство администраторов.
Другим примером является технология Secure Key, которая была реализована в процессорах Intel Core 3-го поколения и, разумеется, поддерживается в процессорах 4-го поколения. Она представляет собой высокоскоростной аппаратный генератор случайных чисел. Случайные числа являются основой для шифрования, поскольку на их базе генерируются ключи. Обычно, чтобы создать случайное число или пару чисел, применяются программные модули, которые используют псевдослучайные источники для генерирования ключа. Ими могут быть, например, перемещения курсора мыши, текущее время. Если злоумышленник понимает, по какому алгоритму происходит создание случайного числа, то сгенерированный на его основе ключ можно считать скомпрометированным. Кроме того, подобный программный модуль сидит в памяти, и, теоретически, можно вычислить его местонахождение, попытаться выяснить алгоритм его работы. С учетом этого была создана технология Intel Secure Key, которая представляет собой скоростной генератор качественных случайных чисел, пользоваться которым довольно просто и удобно производителям ПО. Сегодня многие компании, включая Microsoft, уже используют эти аппаратные средства безопасности, и мы ожидаем, что таких производителей станет еще больше.
Еще один пример — Intel Identity Protection Technology (IPT), которая представляет собой интегрированный механизм многофакторной аутентификации, и может быть использована в разных сценариях. IT служба Intel провела интересный пилотный проект по использованию Intel IPT для установления VPN-соединения без необходимости вводить пароль со стороны пользователя. Участникам пилотного проекта настолько понравился такой подход, что это внедрение можно считать одним из самых успешных с точки зрения удовлетворенности участников.
— Что в аппаратных технологиях поддержки безопасности появилось в последнее время, например, в связи с выпуском 4-го поколения Intel Core?
— Любопытная технология, появившаяся как раз в 4-ом поколении процессоров Intel Core, — это усиленная аппаратная защита процедуры обновления BIOS. Мы говорили, что существует вредоносное ПО, которое способно прописывать свой код в энергонезависимую память. Например, троян Mebromi — у этого вируса хватало интеллекта, чтобы определить используемый на атакуемом компьютере тип BIOS, и, если он оказался подходящим для взлома, Mebromi прописывал свой код в энергонезависимую память и сектор загрузки ОС. Для защиты от угроз такого рода в 4-ом поколении Intel Core и была реализована безопасная процедура обновления BIOS. Во-первых, она позволяет прошить в энергонезависимую память только подписанный производителем код. Во-вторых, сама процедура стала более защищенной: обновление BIOS происходит, когда процессор находится в специальном безопасном режиме. Таким образом, эта функция является более защищенной от взлома, чем существовавшие ранее процедуры.
— Существуют ли сегодня какие-нибудь широко применимые рекомендации, как правильно построить комплексную систему обеспечения безопасности, учитывающую современные IT-тенденции и актуальные угрозы?
— Существует целый ряд стандартов, которые описывают построение комплексной системы безопасности. Но здесь сложно привести все к какому-то общему знаменателю. В каждой организации будет своя ситуация, и зависит она в первую очередь от того, что именно необходимо защитить. Есть описанные процедуры, выполнение которых позволяет определить, какие активы организации представляют наибольшую ценность, выяснить, что уже защищено, что следует защитить лучше, где остаются прорехи в системе безопасности. После этого и определяется, какими именно средствами следует воспользоваться, какие мероприятия провести, чтобы свести риски к уровню, считаемому приемлемым. Например, если для организации наибольшую опасность представляют риски утечки информации, то акцент будет сделан на системы защиты от утечек данных. Если же наиболее высоки риски, связанные с подключением извне, то можно усилить средства контроля доступа. Для мобильных устройств, которые пользователи постоянно носят с собой и которые часто используются за пределами офиса компании намного выше риски утраты или попадания в чужие руки. Тогда логично для защиты данных использовать шифрование. Если же есть какая-то информация, которая очень критична, которую никак нельзя позволить себе потерять, то стоит задуматься о мерах по обеспечению непрерывности бизнеса. К примеру, полностью или частично задублировать ЦОД — в другом географическом пункте, чтобы даже при катастрофах сохранялись наиболее важные данные, обеспечивались критичные сервисы. Таким образом, возникает очень большое количество вариантов построения эффективных систем безопасности.
В любом случае, повторюсь, первым делом надо понять, что является наиболее ценным для данной компании, насколько эти активы подвержены угрозам, и в зависимости от этого принимать те или иные меры, которые позволят снизить данные риски. Если пытаться защитить все и сразу, то, в принципе, можно внедрить все самое современное и совершенное из средств безопасности, только бы денег хватило. Но будет ли получившаяся система эффективной? Насколько удобно станет работать сотрудникам? Вопрос об использовании защитных мер всегда пересекается с вопросом об удобстве пользователей. Чем больше барьеров на пути угроз устанавливается, тем труднее работать сотрудникам, и тем больше времени они вынуждены тратить на выполнение требований средств защиты для доступа к данным, к сети и т.д. В этих вопросах задача службы ИБ найти правильный баланс – защитить данные при разумном количестве барьеров.
— Алексей, спасибо за интересную беседу! Надеюсь, что в будущих поколениях продуктов Intel появятся еще более эффективные и разнообразные аппаратные технологии, которые позволят создавать системы и продукты обеспечения безопасности на качественно новом уровне. И мы сможем обсудить эту тему снова.
Посмотреть еще: Intel® vPro™ Use Case Reference Design - Use Intel IPT as a VPN Login
© IT Galaxy
