Обзор средств доверенной загрузки

Средства доверенной загрузки предназначены для защиты устройств на этапе загрузки операционной системы.

По умолчанию загрузка операционной системы происходит с жесткого диска, установленного в устройство. Однако такой способ открывает множество возможностей для хакерских атак. Избежать потенциальной «встречи» со злоумышленниками можно, используя средства доверенной загрузки. СДЗ – это программно-технические средства, обеспечивающие высокий уровень безопасности еще на этапе загрузки операционной системы. Средства доверенной загрузки контролируют целостность программного обеспечения и аппаратной конфигурации компьютера. Помимо этого, многие СДЗ умеют выполнять роль средства идентификации и аутентификации.

На российском рынке представлено множество решений этого класса. При этом у каждого отдельного СДЗ есть определенный набор возможностей, заявляемый производителей как «единственно необходимый». Обзор рынка средств доверенной загрузки подготовлен порталом Cyber Media с привлечением компании «ОКБ САПР».

Как работают СДЗ?

Средства доверенной загрузки почти всегда представляют собой некое устройство, обеспечивающее доверенную загрузку операционной системы. СДЗ отлично проявляют себя в системах банковского обслуживания, ведь чаще всего жертвами злоумышленников становятся случайные клиенты банков.

У мошенников есть множество способов проникновения в корпоративную сеть, и один из них – использование вредоносного ПО, функционирующего еще до загрузки операционной системы. Говоря простыми словами, злоумышленник может «заставить» компьютер загружать ОС не из стандартного каталога, а с другого раздела с некоторыми вредоносными модификациями. Для защиты от таких атак существуют модули доверенной загрузки, основная цель которых – проверка корректности загружаемых данных с теми данными, какие должны быть в идеальных условиях.

Мы проанализировали четыре российских продукта этого класса:

• «Аккорд-АМДЗ»;
• ПАК «Соболь»;
• Dallas Lock;
• ViPNet SafeBoot.

Данные по каждому из продуктов были взяты из открытых источников.

«Аккорд-АМДЗ»

Средство доверенной загрузки уровня платы расширения «Аккорд-АМДЗ» – разработка компании «ОКБ САПР». «Аккорд-АМДЗ» – это аппаратный модуль доверенной загрузки для IBM-совместимых ПК серверов и рабочих станций корпоративной сети. Продукт «ОКБ САПР» соответствует концепции резидентного компонента безопасности. Это автономное примитивное устройство с защищенной памятью, которое способно влиять на архитектуру старта устройства.

«Аккорд-АМДЗ» – это защитный комплекс, включающий в себя специализированный контроллер с предустановленной резидентной операционной средой. Помимо этого, СДЗ распространяется вместе с функциональным программным обеспечением. Оба этих составляющих еще на этапе изготовления становятся частью единого резидентного ПО, размещенного в энергонезависимой флеш-памяти контроллера.

«Аккорд-АМДЗ» создает доверенную среду для работы программ, обеспечивающих защиту на всех шагах: от s1 до s6, обозначенных на схеме ниже.

Помимо этого, «Аккорд-АМДЗ» обеспечивает:

• защиту ресурсов СВТ от лиц, не допущенных к работе на ней;
• аутентификацию пользователей с защитой от раскрытия пароля до загрузки ОС;
• блокировку загрузки с внешних носителей;
• контроль целостности технических, программных средств и объектов файловых систем, размещенных на динамических дисках;
• доверенную загрузку системного и прикладного ПО;
• регистрацию контролируемых событий в системном журнале, размещенном в энергонезависимой памяти контроллера;
• возможность физической коммутации управляющих сигналов периферийных устройств;
• администрирование встроенного ПО комплекса;
• регистрацию, сбор, хранение и выдачу данных о событиях, происходящих в СВТ в части системы защиты от несанкционированного доступа.

У «Аккорд-АМДЗ» есть сертификаты образцов ФСТЭК. Также это СДЗ входит в реестр отечественного ПО.

ПАК «Соболь»

«Соболь» – аппаратно-программный модуль доверенной загрузки, функционирующий в среде UEFI. Электронный замок «Соболь» предназначен для защиты персональных компьютеров, специализированных устройств и серверов в их классическом понимании. Продукт компании «Код Безопасности» позволяет вести контроль неизменности файловых систем: NTFS, FAT16, FAT32, EXT2, EXT3, EXT4 в операционных системах Linux и Windows.

ПАК «Соболь» по заявлениям компании-разработчика создан для решения четырех ключевых задач:

• Контроль целостности компонентов ИС;
• Запрет загрузки ОС с внешних носителей;
• Защита конфиденциальной информации и гостайны в соответствии с требованиями нормативных документов;
• Защита информации от несанкционированного доступа.

Принцип работы аппаратно-программного модуля доверенной загрузки довольно стандартен для класса СДЗ.

Среди интересных преимуществ ПАК «Соболь» можно отметить наличие «сторожевого таймера». С его помощью СДЗ блокирует доступ к компьютеру, если управление при его включении не передано ПАК «Соболь». Вся информация о попытках входа в систему записывается устройством в журнал, который хранится в энергонезависимой памяти. Журнал фиксирует не только сам факт входа в систему, но и имя пользователя, предъявление незарегистрированных идентификаторов, неправильные вводы пароля, а также дату и время регистрации этих событий. Таким образом «Соболь» позволяет компании применить дополнительные меры защиты информации при обнаружении несанкционированных попыток входа в систему.

ПАК «Соболь» входит в реестр отечественного ПО. Также продукт имеет сертификаты соответствия требованиям ФСТЭК и ФСБ.

Dallas Lock

Несмотря на американский мотив названия, Dallas Lock – разработка российской компании «Конфидент». Это средство доверенной загрузки представляет собой плату расширения для защиты информации. По заявлению «Конфидент», продукт может защищать сведения вплоть до уровня «совершенно секретно». Как и другие решения этого типа Dallas Lock ведет журнал и проверяет целостность программно-аппаратной среды до загрузки операционной системы.

Dallas Lock обладает несколькими преимуществами:

• Администрировать средство доверенной загрузки можно без использования ресурсов загружаемой штатной ОC;
• Dallas Lock позволяет разграничивать доступ к управлению СДЗ;
• СДЗ поддерживает безопасный режим загрузки UEFI;
• Продукт имеет собственные часы с независимым источником питания;
• Dallas Lock хранит ключи и служебную информацию в энергонезависимой памяти платы СДЗ;
• Доступ к СДЗ ограничен после загрузки штатной операционной системы;
• Решение позволяет использовать двухфакторную аппаратную аутентификацию с популярными USB-ключами и электронными ключами.

СДЗ Dallas Lock входит в реестр отечественного ПО, а также обладает сертификатами ФСТЭК и Минобороны России.

ViPNet SafeBoot

ViPNet SafeBoot разработан российской компанией «ИнфоТеКС». Высокотехнологичный программный модуль доверенной загрузки (ПМДЗ) устанавливается в UEFI BIOS. Этот продукт классифицируется как СДЗ уровня базовой системы ввода-вывода. ViPNet SafeBoot предназначен для защиты персональных компьютеров, мобильных устройств и серверов. Это решение, как и другие, защищает от угрозы несанкционированного доступа на этапе загрузки операционной системы.

VipNet SafeBoot обладает несколькими возможностями, среди которых:

• Авторизация в AD/LDAP;
• Поддержка SSO для входа в ОС;
• Защита от вредоносного ПО в BIOS;
• Ведение журнала событий безопасности;
• Наличие шаблонов администрирования, позволяющих быстро настроить СДЗ.
• Защита от обхода и самотестирование;
• Запрет загрузки с нештатных и внешних носителей;
• Поддержка двухфакторной аутентификации.

Также компания «ИнфоТеКС» среди преимуществ собственного продукта отмечает неизвлекаемость ПМДЗ, в отличие от других решений этого класса.

VipNet SafeBoot входит в реестр отечественного ПО, также продукт сертифицирован ФСТЭК России, а значит удовлетворяет требования регуляторов.VipNet SafeBoot может быть использовать для построения ИСПДн до У31, а также ГИС, АСУ ТП и КИИ до 1 класса защищенности.

Итоги

Рассмотренные решения схожи между собой из-за наличия сертификатов ФСТЭК, получить который можно, удовлетворив современные требования регулятора. Использование любого продукта из этого обзора позволит вывести уровень информационной безопасности компании на новый уровень.

При этом СДЗ не только позволяют контролировать загрузку операционной системы, но обладают рядом других возможностей. Так, «Аккорд-АМДЗ» предлагает продвинутую систему аутентификацию с защитой от раскрытия пароля до загрузки ОС, а ПАК «Соболь» готов предоставить клиентам всю информацию о возможных попытках компрометирования защищаемых устройств. Впрочем, у Dallas Lock и VipNet SafeBoot есть такой же набор возможностей.

При этом у рассмотренных СДЗ есть некоторые различия. Так, в Dallas Lock не предусмотрен контроль целостности транзакций в журналах файловых систем, однако есть защита вскрытия корпуса ПЭВМ, чем не могут похвастаться другие СДЗ в этом обзоре. А в VipNet SafeBoot отсутствует возможность удаленного управления вместе с энергонезависимой памятью и сторожевым таймером, что обусловлено типом продукта.

Что касается стоимости этих решений, то здесь также есть некоторые нюансы. Компания «ИнфоТеКС» публично разместила прайс-лист, где можно отметить, что VipNet SafeBoot стоит от 4163 рублей. Dallas Lock, в свою очередь обойдется как минимум в 10400 рублей, а цена ПАК «Соболь» начинается от 10290 рублей. «ОКБ САПР» предлагает в индивидуальном порядке запрашивать цену для «Аккорд-АМДЗ».