4.12M
Категория: ЭлектроникаЭлектроника
Похожие презентации:
Импортозамещение. Российская доверенная вычислительная техника, как основа построения безопасной инфраструктуры
Импортозамещение. Российская доверенная вычислительная техника, как основа построения безопасной инфраструктуры
Организационно-техническая защита информации
Организационно-техническая защита информации
Информационная безопасность
Информационная безопасность
Архитектура операционной системы
Архитектура операционной системы
Классификация современного рынка отечественных систем электронной коммерции. Лекция 10
Классификация современного рынка отечественных систем электронной коммерции. Лекция 10
Системы шифрования дисковых данных
Системы шифрования дисковых данных
Продуктовая линейка средств защиты информации ГК «Конфидент»
Продуктовая линейка средств защиты информации ГК «Конфидент»
Ядро операционной системы, загрузка ОС система инициализации. Тема 1.4
Ядро операционной системы, загрузка ОС система инициализации. Тема 1.4
Процесс загрузки и BIOS
Процесс загрузки и BIOS
Программно-технические средства защиты информации САПР ТПП. Лекция № 10
Программно-технические средства защиты информации САПР ТПП. Лекция № 10

Доклад_ТЕМА_1_ЕВЛАХОВ_ИНФ_БЕЗ

1.

Средства
доверенной
загрузки
Назначение, классификация,
требования
Учитель: Специалист по инф. безопасности АО «КОНСИСТ-ОС»
к.т.н. Атакищев А.О.
Дисциплина: Информационная безопасность
Выполнил: Евлахов Артём ИКБО-51-24

2.

Что такое средства доверенной загрузки (СДЗ)
Определение
Средства доверенной загрузки (СДЗ) — это программные или программно-аппаратные средства, используемые для
предотвращения несанкционированного доступа (НСД) к ресурсам вычислительной техники на этапе ее загрузки.
Они обеспечивают запуск операционной системы исключительно с доверенных носителей.
Основная цель
Защита процесса загрузки ОС от sophisticated-атак, которые требуют высокой подготовки злоумышленников и/или
физического доступа к устройству.
Решаемые задачи
• Защита от буткитов (bootkit) и руткитов (rootkit)
• Блокировка загрузки нештатной ОС с внешних носителей
• Обеспечение целостности и подлинности компонентов ПО на всех этапах загрузки

3.

Угрозы, от которых защищают СДЗ
СДЗ предназначены для нейтрализации серьезных угроз, которые обходят стандартные средства защиты,
загружающиеся вместе с ОС.
Атаки на загрузчик (Bootkit)
Атаки на ядро ОС (Rootkit)
Замена или модификация загрузчика для
Внедрение в ядро ОС для получения полного
выполнения произвольного кода (например,
контроля над системой
уязвимость BootHole в GRUB2)
Атаки на BIOS/UEFI
Физические атаки (Evil Maid Attack)
Модификация прошивки или драйверов BIOS/UEFI
Загрузка с внешнего носителя при физическом
для внедрения вредоносного кода на ранних этапах
доступе к устройству для обхода встроенных
загрузки (например, UEFI-руткит MoonBounce)
механизмов защиты

4.

Классификация СДЗ (уровни реализации)
СДЗ классифицируются в зависимости от уровня загрузочного процесса, на котором они функционируют.
СДЗ уровня BIOS/UEFI
СДЗ уровня платы
расширения (АПМДЗ)
СДЗ уровня загрузочной
записи
Тип: Аппаратно-программные
Тип: Программные
Место: Платы расширения (PCI,
Место: Загрузочная запись (MBR)
mini-PCI Express, M.2)
диска
загрузки, контроль целостности
Функции: Перехват управления
Функции: Шифрование или
BIOS/UEFI, проверка подлинности
загрузкой, контроль целостности
нестандартное
модулей ОС, аутентификация
ПО и аппаратуры,
переформатирование MBR для
пользователя
аутентификация, сторожевой
сокрытия структуры разделов
таймер, генератор случайных
диска
Тип: Программные
Место: Встраиваются в
микропрограмму BIOS или UEFI
Функции: Управление порядком
чисел

5.

Требования к СДЗ (по ФСТЭК России)
Основные нормативные требования к средствам доверенной загрузки в России утверждены Приказом ФСТЭК России от 27 сентября 2013 г. № 119 и
детализированы в Информационном письме ФСТЭК России от 06.02.2014 г.
Ключевые требования
1
Независимость от штатной ОС
Администрирование СДЗ должно проводиться без использования ресурсов загружаемой операционной системы
2
Контроль целостности
Обеспечение проверки неизменности аппаратных и программных компонентов, включая BIOS/UEFI, загрузчик, системные файлы
3
Аутентификация пользователя
Проведение идентификации и аутентификации пользователя до загрузки ОС. Поддержка многофакторной аутентификации (пароли, USB-токены, смарткарты)
4
Защита от загрузки с внешних носителей
Блокировка попыток загрузки ОС с недоверенных внешних устройств
5
Журналирование
Регистрация событий безопасности в защищенном журнале

6.

Алгоритм работы СДЗ
Процесс загрузки устройства с установленным СДЗ состоит из следующих этапов:
01
02
03
Инициализация оборудования
Передача управления СДЗ
Самоконтроль целостности
BIOS/UEFI выполняет инициализацию ЦПУ,
BIOS/UEFI передает управление модулю
СДЗ проверяет целостность своих
ОЗУ, интерфейсов материнской платы
доверенной загрузки
собственных компонентов
04
05
06
Аутентификация пользователя
Проверка целостности компонентов ОС Журналирование
Пользователь проходит проверку
Действия пользователя и результаты
подлинности с использованием
СДЗ проверяет подлинность и целостность
предъявленного средства аутентификации
загрузчика ОС и других критичных модулей
проверок записываются в журнал
(пароль, токен и т.д.)
07
Загрузка ОС
После успешного прохождения всех проверок СДЗ передает управление загрузчику операционной системы

7.

Обзор российских СДЗ
На российском рынке представлены как аппаратные, так и программные решения, сертифицированные ФСТЭК и ФСБ России.
В таблице ниже приведены некоторые популярные отечественные СДЗ:
Название СДЗ
Производитель
Тип (уровень)
Ключевые особенности
Аккорд-АМДЗ
ОКБ САПР
Аппаратный (платы
Широкий список поддерживаемых ФС,
расширения)
резидентный компонент безопасности
Аппаратно-
Наличие «сторожевого таймера»,
программный (UEFI)
контроль целостности ФС
Аппаратный (платы
Защита до уровня "совершенно секретно",
расширения)
независимость от ОС, поддержка UEFI
Программный
Встраивание в UEFI BIOS, авторизация в
(BIOS/UEFI)
AD/LDAP, поддержка SSO
ПАК «Соболь»
Dallas Lock
ViPNet SafeBoot
Код Безопасности
Конфидент
ИнфоТеКС

8.

Международные аналоги: TPM и Secure Boot
Trusted Platform Module (TPM) – это международный аналог аппаратных СДЗ, миниатюрный криптопроцессор.
Назначение
Актуальность
Выполнение криптографических операций, хранение ключей,
Наличие TPM обязательно для Windows 11
обеспечение аппаратной защиты
Использование
Основывается технология Secure Boot (безопасная загрузка),
которая обеспечивает проверку цифровой подписи всех
компонентов до загрузки ОС
Связка технологий
Trusted Boot в Windows продолжает процесс, начатый Secure
Boot, проверяя целостность ядра и всех драйверов

9.

Критерии выбора СДЗ
При выборе средства доверенной загрузки для организации следует учитывать несколько ключевых факторов:
Наличие сертификации
Совместимость
Аппаратная поддержка
Соответствует ли СДЗ требованиям
Поддерживает ли СДЗ ваши
Работает ли модуль с TPM и
ФСТЭК России, ФСБ России и
серверы, операционные системы и
другими аппаратными средствами
других регуляторов. Средство
аппаратную платформу (например,
защиты
должно состоять в Едином реестре
UEFI)
сертифицированных средств защиты
информации
Функции и технологии
Удобство использования
Наличие контроля целостности,
Сложность настройки СДЗ и его
защита от НСД, поддержка
администрирования, наличие
многофакторной аутентификации и
централизованного управления
других необходимых механизмов

10.

Источники
• ФСТЭК России. Приказ от 27.09.2013 № 119 "Об утверждении Требований к средствам доверенной загрузки"
• ФСТЭК России. Информационное письмо от 06.02.2014 № 240/24/405 «Об утверждении Требований к средствам
доверенной загрузки»
• Блог компании Security Vision: «Что такое средства доверенной загрузки и для чего они применяются»
• Блог SELECTEL: «Что такое средства доверенной загрузки (СДЗ) и как они применяются»
• Аналитический портал Security Media: «Обзор средств доверенной загрузки»
• Блог компании Astral: «Доверяй и загружай. Обзор отечественных средств доверенной загрузки»
• Microsoft Learn: "Secure Boot and Trusted Boot"
• Microsoft Learn: "Secure the Windows boot process"
English     Русский Правила