БУДУЩЕЕ ДЛЯ БЕЗОПАСНОСТИ ИНТЕРНЕТА ВЕЩЕЙ И ВСТРАИВАЕМЫХ СИСТЕМ: KASPERSKY OPERATING SYSTEM
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
БУДУЩЕЕ ДЛЯ БЕЗОПАСНОСТИ ИНТЕРНЕТА ВЕЩЕЙ И ВСТРАИВАЕМЫХ СИСТЕМ: KASPERSKY OPERATING SYSTEM
ИНТЕРНЕТ ВЕЩЕЙ
Количество подключенных устройств 2020
50.1 МИЛЛИАРДА
50 2019
42.1 МИЛЛИАРДА
2018
34.8 МИЛЛИАРДОВ 2017
40
28.4 МИЛЛИАРДА
2016
22.9 МИЛЛИАРДОВ
2015
МИЛЛИАРДЫ УСТРОЙСТВ
30 18.2 МИЛЛИАРДА
2014
14.4 МИЛЛИАРД 2013
20
11.2 МИЛЛИАРДА
2012
8.7 МИЛЛИАРДОВ
2009
10
IoT INCEPTION
1992 2003
1,000,000 0.5 МИЛЛИАРДА
0
20
90 92 94 96 98 00 02 04 06 08 10 12 14 16 18
ГОД
2 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
ФУНКЦИОНАЛЬНЫЕ IoT УСТРОЙСТВА НАИБОЛЕЕ УЯЗВИМЫ
«Вещи» Локальная Сеть Интернет Облачные сервисы
Сервера
Gateway(s)
Пользовательский
Wired/wireless доступ и контроль
Power line
BAN, PAN, LAN
Бизнес аналитика
Сенсоры и актуаторы Обработка Коммуникации
3 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
АТАКИ НА IoT
MIRAI
Mirai был обнаружен в августе 2016, и наименование пошло от
имени одного из модулей, который назывался “mirai.()”. Mirai –
это исполняемый модуль Linux, и его основная цель – это
камеры наблюдения DVRs, роутеры, Linux сервера и другие
устройства, которые используют Busybox, распространённую
библиотеку для IoT устройств.
BASHLITE
Заражает Linux системы и использует их для организации
DDoS атак. В 2014 BASHLITE использовал для
распространения уязвимость Shellshock для заражения
устройств с BusyBox. В 2016 было около 1 миллиона
устройств, зараженных BASHLITE.
4 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
ОСНОВНАЯ ПРОБЛЕМА IoT С ТОЧКИ ЗРЕНИЯ КИБЕРБЕЗОПАСНОСТИ
УЯЗВИМОСТИ
Ошибки людей
Использование сторонних библиотек и
приложений
Сложность программного обеспечения
(Значительное увеличение количества строк кода)
НЕБЕЗОПАСНЫЙ ДИЗАЙН
Желание вывести продукт на рынок как можно
быстрее
НЕБЕЗОПАСНОСТЬ
ОПЕРАЦИОННЫХ СИСТЕМ
ОБЩЕГО НАЗНАЧЕНИЯ
5 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
ПОЧЕМУ ОС ОБЩЕГО НАЗНАЧЕНИЯ НЕБЕЗОПАСНЫ
Пользователь
Монолитная система позволяет
любому модулю вызывать
напрямую любой другой модуль
Эксплуатируя уязвимость есть
возможность вызвать другой
модуль, несмотря на настройки
безопасности Библиотеки Команды Приложения
…
Системные вызовы OS
Использование стороннего кода
Драйвер Таблица перехвата
Интерфейс драйверов
Есть возможность получить устройства
контроль над системой целиком Монолитное ядро ОС
Драйвер
после эксплуатации всего одной
устройства
уязвимости Управление процессами
Слабые настройки безопасности по
… Управление памятью
Управление файлами
разным причинам (недостаток Управление
Драйвер
опыта или времени, лень) инфраструктурой устройств
устройства
Огромная поверхность атаки
6 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
КАК НАМ ОБЕЗОПАСИТЬ ВСТРАИВАЕМЫЕ СИСТЕМЫ
КАК РЕШИТЬ ПРОБЛЕМУ
Создать такое окружение, которое просто не позволит
программам исполнить недекларируемые возможности (код) и
предотвратит эксплуатацию уязвимостей.
ОСНОВНЫЕ ПРИНЦИПЫ БЕЗОПАСНОЙ OS
Безопасность, заложенная в архитектуру (Secure by design
system)
Использование MILS подхода с монитором обращений
Микроядро
Удовлетворяет специальным требованиям к ОС для
встраиваемых систем
8 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
ТРЕБОВАНИЯ К ОС ДЛЯ ВСТРАИВАЕМЫХ СИСТЕМ
НЕБОЛЬШОЙ РАЗМЕР И СТАБИЛЬНАЯ РАБОТА
МИНИМАЛЬНОЕ ДАЖЕ ВО ВРЕМЯ АТАКИ
ИСПОЛЬЗОВАНИЕ РЕСУРСОВ
Большинство встраиваемых Решение должно быть
систем ограничены в продумано с т.з.
ресурсах (RAM, ROM, CPU) кибербезопасности и
векторов потенциальных
атак
РЕШЕНИЕ ИЗ КОРОБКИ СООТВЕТСТВИЕ
ИНДУСТРИАЛЬНЫМ
Большинство встраиваемых СТАНДАРТАМ
систем имеют (почти) уникальные
Решение должно быть создано и
требования к кибербезопасности.
разработано в соответствии с
Необходимо поддержать эти
индустриальными стандартами
требования и при этом
функциональной и
уменьшить время разработки
кибербезопасности.
нового продукта
9 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
KASPERSKYOS // ПЕРВЫЙ ВЗГЛЯД
Разработана для встраиваемых, подключенных к
сети Интернет устройств со специфическими
требованиями к кибербезопасности
Основана на микроядре, которое гарантирует
контроль всех внутренних коммуникаций
Поведение всех модулей описано в политиках
безопасности
MILS архитектура
Разделение и изоляция доменов
безопасности
Гибкий контроль междоменных
коммуникаций посредством
Kaspersky Security System (KSS)
10 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemKASPERSKYOS // СПЕЦИФИКАЦИЯ Микроядерная операционная система, разработанная с нуля в Лаборатории Касперского Статическая конфигурация безопасности MILS архитектура Разделение функционала приложения и функций кибербезопасности (упрощается разработка приложений, уменьшается время разработки и улучшается качество продукта) Максимальный уровень контроля всей системы благодаря уменьшению гранулярности доменов безопасности (каждое приложение, драйвер, библиотека могут быть отдельным доменом безопасности) Совместима с POSIX API (~98% API) Поддерживает Intel x86, x64 и ARM (v6, v7, v8) 11 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
KASPERSKYOS – TRUSTED. FLEXIBLE. SECURE.
ДОВЕРЕННАЯ ГИБКАЯ БЕЗОПАСНАЯ
KasperskyOS может выступать Благодаря возможности Благодаря разделению функций
основой для построения использования любого типа безопасности и функциональной
доверенной системы в силу политик безопасности, части приложения, возможна
своих архитектурных возможно использовать параллельная работа над этими
особенностей: ОС не допускает KasperskyOS для любых задач. частями, что экономит время
исполнения функций Разработав один раз политику
приложений, не для приложения или модуля, Позволяет улучшить
декларированных в политиках ее можно использовать вновь в функциональную безопасность
безопасности будущем системы за счет использования
политик безопасности, в которых
описан алгоритм работы
12 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemПЛЮСЫ KASPERSKYOS
ВРОЖДЕННИЯ УНИВЕРСАЛЬНАЯ
БЕЗОПАСНОСТЬ МОДУЛЬНАЯ АРХИТЕКТУРА
Операционная система Система построена из слабо
KasperskyOS создана связанных модулей, что позволяет
безопасной со стадии дизайна легко модифицировать набор
и останется таковой за счет модулей и минимизировать время
использования лучших практик на разработку доверенных
из мира кибербезопасности модулей
ГИБКИЕ НАСТРОЙКИ РАЗДЕЛЕНИЕ БЕЗОПАСНОСТИ
БЕЗОПАСНОСТИ И ФУНКЦИОНАЛЬНОЙ ЧАСТИ
Средства разработки позволяют МОДУЛЕЙ
легко создавать правила Безопасная архитектура
поведения системы и спроектирована таким образом,
комбинировать разные типы чтобы отделить функции
политик для контроля безопасности от бизнес-логики
взаимодействий. приложений; благодаря этому
настройка политик безопасности и
13 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System разработка приложений
становятся прощеРЕАЛИЗАЦИИ KASPERSKYOS
Мы разработали набор продуктов, которые
подходят разным клиентам с различными
потребностями. При этом все продукты
построены на основе одних и тех же принципов
безопасности (разделение и изоляция доменов
безопасности и жесткий контроль
коммуникаций между ними)
KasperskyOS
Kaspersky Secure Hypervisor
Kaspersky Security System для Linux
14 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemТЕХНОЛОГИИ КИБЕРБЕЗОПАСНОСТИ, КОТОРЫЕ ПОДХОДЯТ ДЛЯ
РАЗНЫХ ПРИМЕНЕНИЙ
Наиболее безопасное решение (все
компоненты изолированы и контролируются) Kaspersky
OS
Требуется редизайн и переработка компонент
Количество работы
системы
Требуется (по крайней мере) портирование
приложений
Ограниченная поддержка целевых платформ
(только встраиваемые системы)
Уровень контроля
15 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemТЕХНОЛОГИИ КИБЕРБЕЗОПАСНОСТИ, КОТОРЫЕ ПОДХОДЯТ ДЛЯ
РАЗНЫХ ПРИМЕНЕНИЙ
Хороший уровень
Most
Требуется редизайн
secure solution и
(all components
безопасности
переработка
are isolated критических
and controlled) Kaspersky
(изоляция ВМ и
функций системы OS
контроль
Requires rethinking and redevelopment
work
работы
Kaspersky коммуникаций
Широкийofспектр
of architecture every component
Secure между ними)
of extra
назначений (не только
Hypervisor
Количество
Requires
встраиваемые системы)
(at least) porting of applications
Требуется
or complete rewriting of them
Amount
редизайн и
переработка
Limited support of hardware
архитектуры
(embedded systems only)
компонент
системы
Уровень контроля
Level of control
16 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemТЕХНОЛОГИИ КИБЕР БЕЗОПАСНОСТИ, КОТОРЫЕ ПОДХОДЯТ ДЛЯ
РАЗНЫХ ПРИМЕНЕНИЙ
Хороший уровень
безопасности
(изоляция
Good level of
Most secure
Requires
solution (all components контейнеров Linux,of
security (isolation
are isolated and controlled)
re/development Kaspersky контроль
VMs and critical
some critical OS коммуникаций между
functions, limited
Requires rethinking
work
functions and redevelopment контейнерами)
работы
Kaspersky control of
of architecture of every component
Secure communications)
of extra
Wide range of Требуется лишь
Hypervisor
Количество
Requires (at least) porting of applications
редизайн
hardware supported
KSS for rewriting of them Requires rethinking
or complete (not only embedded архитектуры
Amount
Linux and redeveloping of
systems) приложений
applications’
Limited support of hardware
architecture only
(embedded systems only) Минимум доработок
Уровень контроля
Level of control Работает на всех
версиях Linux с
поддержкой
контейнеризации
17 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemТЕХНОЛОГИИ КИБЕРБЕЗОПАСНОСТИ, КОТОРЫЕ ПОДХОДЯТ ДЛЯ
РАЗНЫХ ПРИМЕНЕНИЙ
KASPERSKYOS SECURE HYPERVISOR KSS FOR LINUX
Наиболее безопасное решение Хороший уровень безопасности Хороший уровень
(все компоненты изолированы и (изоляция ВМ и контроль безопасности (изоляция
контролируются) коммуникаций между ними) контейнеров Linux, контроль
коммуникаций между
Требуется редизайн и Требуется редизайн и контейнерами)
переработка компонент системы переработка архитектуры
компонент системы и Требуется лишь редизайн
Требуется (по крайней мере) критических функций системы архитектуры приложений
портирование приложений
Широкий спектр назначений (не Минимум доработок
Ограниченная поддержка только встраиваемые системы)
целевых платформ (только Работает на всех версиях
встраиваемые системы) Linux с поддержкой
18 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating System
контейнеризацииПРИМЕРЫ ИСПОЛЬЗОВАНИЯ
Сетевое и IoT и Современные
телекоммуникационное индустриальный IoT автомобили
оборудование
PC POS Расширение
терминалы безопасности
для Linux
19 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemПРИМЕРЫ ИСПОЛЬЗОВАНИЯ – ТЕЛЕКОММУНИКАЦИОННОЕ
ОБОРУДОВАНИЕ
KASPERSKYOS
Доверенная платформа
Безопасность с самого начала:
Безопасная загрузка
гарантирует целостность ОС и
приложений Домен Домен
безопасности 2 безопасности 4
Web server Telnet
Изоляция всех компонентов и Домен Домен
приложений безопасности 3 безопасности 5
SSH Хранилище
Домен
Минимальный урон от безопасности 1
эксплуатации уязвимостей, Сетевой стек
KasperskyOS
защита от вредоносного кода Домен uCore + KSS
безопасности 0
Сетевой драйвер
Защита важных данных
(ключей шифрования) Запрос вердикта
безопасности на
Интернет разрешение
Сетевые роутеры и свитчи, VPN послать\принять
серверы данные в\из другой
домен безопасности
20 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemПРИМЕРЫ ИСПОЛЬЗОВАНИЯ – IoT
KASPERSKYOS
Безопасность с нуля (единственный способ защитить IoT)
Изоляция всех доменов безопасности
Минимизация урона от уязвимостей
Защита важных данных (ключей шифрования)
Безопасная загрузка
ПРИМЕР
Подключенные к сети устройства с богатым
функционалом (не основанные на MCU) :
1. Умные камеры наблюдения (CCTV) (обработка
изображения на камере и передача не только
картинки, но и результатов обработки)
2. Интернет хабы и гейтвеи
21 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemПРИМЕРЫ ИСПОЛЬЗОВАНИЯ – CONNECTED АВТОМОБИЛИ
KASPERSKY SECURE HYPERVISOR
Безопасность с нуля
Изоляция информационно-развлекательной системы
от критических компонент (advanced driver assistance
systems, AUTOSAR)
Минимизация урона от эксплуатации уязвимости в
одном из доменов
Защита важных данных (ключи шифрования,
сертификаты, телеметрия, логи) от
несанкционированного доступа
Безопасная загрузка и защита от
несанкционированного изменения компонентов
системы
Может быть использован в головном блоке, гейтвее или в ECU
22 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemПРИМЕРЫ ИСПОЛЬЗОВАНИЯ – РС и ТОНКИЕ КЛИЕНТЫ
KASPERSKY SECURE HYPERVISOR
Две виртуальные машины Доверенный Недоверенный Доверенный домен
Первая с доступом к конфиденциальной домен домен
Administrative Хранилище
информации (внутренний домен) service
Приложение SSL/TLS
сертификатов
Вторая с доступом к Сети и публичным
сервисам (внешний домен)
Отсутствие или контролируемый обмен
информацией между виртуальными машинами
Контроль целостности программного
обеспечения
Доверенная загрузка
Защита от Bootkit и rootkit
Контроль доступа ко внешним устройствам Access service Give permissions
Уменьшение стоимости владения (нужен один Request
PC вместо двух) handshake
o Специальный компьютер с двумя
жесткими дисками и сетевыми картами
Kaspersky Secure Hypervisor
23 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemПРИМЕРЫ ИСПОЛЬЗОВАНИЯ – СЕТЕВОЕ ОБОРУДОВАНИЕ
KASPERSKY SECURE HYPERVISOR
Безопасное хранилище для ключей шифрования
и сертификатов (защита от
несанкционированного доступа как со стороны
программного, так и со стороны аппаратного
обеспечения)
Разделение и менеджмент функциональных
модулей, например web и почтовый антивирусы,
контентная фильтрация, облачное хранилище
(модули могут продаваться и активироваться
отдельно с разными лицензиями)
VPN серверы
UTMs
24 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemПРИМЕРЫ ИСПОЛЬЗОВАНИЯ – POS ТЕРМИНАЛЫ
KASPERSKY SECURE HYPERVISOR
Домен
Перенос важных с т.з. кибербезопасности функций в отдельный
безопасный домен Запрет
Недоверенное модификации
Обработка данных кредитных карт (защита от приложение
несанкционированного доступа к данным карт) Конфиденциальные
Доверенное данные
приложение
Коммуникации с банками и процессинговыми центрами
Безопасное хранилище (аудит, безопасная передача
доверенных данных менеджменту или регулятору)
Защита
Контроль целостности ПО POS терминала страниц
памяти
Защита памяти от
Соответствие PA DSS несанкционированного
доступа
Kaspersky Secure Hypervisor
25 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemПРИМЕРЫ ИСПОЛЬЗОВАНИЯ – УЛУЧШЕНИЕ БЕЗОПАСНОСТИ ДЛЯ LINUX
KASPERSKY SECURITY SYSTEM
Примеры использования:
Безопасное обновление ПО и конфигурации
Разделение обязанностей между компонентами и
удаленными агентами
Сэндбокс для недоверенного ПО
Улучшение уровня кибербезопасности благодаря
внедрению контроля междоменных коммуникаций
PLCs / Устройства индустриального интернета вещей
IoT оборудование
26 Kaspersky Lab | Future of embedded and IoT security: Kaspersky Operating SystemQUESTIONS? Kaspersky OS Securing Embedded Communications
Вы также можете почитать
