Вспомните, как бурлил интернет, обсуждая микроархитектурные уязвимости вроде Meltdown и Spectre, найденные практически во всех современных процессорах? Это было что-то совершенно новое, потребовавшее аппаратных и программных митигаций на самом низком уровне. Злоумышленник из будущего обладает технологиями и подходами к взлому, которые нам еще не известны. Поэтому, необходимы меры, предпринятые заранее, на стадии разработки, которые смогут снизить вероятность успеха этих будущих атак.
Разработчики программного обеспечения давно используют различные методики для повышения безопасности продуктов. В России существуют государственные стандарты, такие как ГОСТ Р 56939-2016 и ГОСТ Р 58412-2019, которые регламентируют подходы к созданию защищенного ПО. Они основаны на международных практиках и включают методологии Microsoft SDL и OWASP. Эти подходы предполагают моделирование угроз, анализ кода на уязвимости, тестирование на проникновение и меры по защите пользовательских данных.
Несмотря на высокий уровень этих стандартов, они не способны устранить все риски. Разработчики активно используют библиотеки и компоненты с открытым исходным кодом, что усложняет контроль безопасности. Даже при строгом соблюдении всех требований вероятность атак остается высокой, особенно если в ПО появляются неизвестные уязвимости. В критически важных сферах, таких как промышленность и государственное управление, эти методы обязательны, но в других отраслях они применяются не всегда . Это создает дополнительные риски, так как даже одно слабое звено в системе может стать точкой входа для кибератак.
Традиционные методы защиты основываются на выявлении уязвимостей и их последующем устранении. Однако такой подход не учитывает фундаментальную проблему — многие системы изначально уязвимы на уровне своей архитектуры. Это и стало причиной создания в «Лаборатории Касперского» концепции кибериммунитета — собственной реализации подхода Secure by Design или конструктивной безопасности. В отличие от классических решений, где безопасность обеспечивается внешними средствами, кибериммунитет предполагает защиту, заложенную на этапе проектирования системы. В такой модели каждая часть программного обеспечения изолирована, что предотвращает распространение атак. Даже если один из компонентов скомпрометирован, он не сможет нанести ущерб всей системе.
Распространенные операционные системы общего назначения предоставляют недостаточно гибкие механизмы, для вынесения митигации угроз на уровень архитектуры ПО, состоящего из взаимодействующих изолированных компонентов. Например, системы GNU/Linux предоставляют механизмы контейнеризации (seccomp, namespaces, cgroups), средства контроля доступа (Unix DAC, POSIX ACL, SELinux), механизмы повышения привилегий (Policy Kit), средства общесистемной коммуникации (dbus). Разработчик же должен суметь выразить при помощи этих инструментов нетривиальные конфигурации компонентов, перевести высокоуровневую политику в набор конфигураций для отдельных механизмов контроля доступа. Базовая модель угроз таких операционных систем предполагает, что пользователь будет запускать различное ПО, полученное из третьих источников, от своего имени. Именно поэтому так популярны решения вроде Docker, а Google имплементирует свои собственные механизмы песочниц и гранулярного разделения доступа в Google Chrome, Chrome OS и Android.
В KasperskyOS уже есть все необходимое для реализации архитектур, в которых сложное ПО строится из контролируемо взаимодействующих изолированных компонентов. Митигация угроз уровня архитектуры достигается в ней за счет декомпозиции системы на изолированные домены безопасности, организации контролируемых каналов коммуникации между ними и минимизации привилегий каждого выделенного домена.
Все процессы в KasperskyOS типизированы, т.е. каждый процесс относится к определенному классу, или домену безопасности. Привилегии доменов безопасности гибко конфигурируются политикой решения, описываемой на специальном языке. При этом в KasperskyOS отсутствует понятие пользователя root, а все привилегированные процессы исполняются в условиях ограничений, заданных политиками. Это снижает вероятность атак и упрощает управление безопасностью.
Переход на конструктивную безопасность требует изменений не только в технологиях, но и в мышлении бизнеса. Пока наибольший интерес к таким подходам проявляют сферы, где ошибка может привести к катастрофическим последствиям. Авиационная и автомобильная промышленность, энергетика, медицина и государственный сектор активно переходят на новые принципы разработки. Однако в других отраслях по-прежнему преобладает консерватизм. Многие компании считают, что их текущих мер безопасности достаточно, и не видят необходимости в переходе на новые подходы. Это создает риск, что при появлении новых типов атак их инфраструктура окажется уязвимой. Ярким примером являются уязвимости Meltdown и Spectre, обнаруженные в процессорах. Они показали, что злоумышленники могут эксплуатировать такие уязвимости на самом низком уровне системы. В подобных ситуациях традиционные методы защиты оказываются бессильны, так как угроза возникает в самой архитектуре аппаратных компонентов.
Внедрение новых практик может показаться затратным, однако в долгосрочной перспективе это снижает общую стоимость владения. К примеру, традиционные системы требуют постоянных обновлений и исправления уязвимостей, тогда как кибериммунные решения не нуждаются в столь частых патчах, поскольку большинство атак на них просто не работают.
Примером экономической эффективности кибериммунного подхода является специальная версия KasperskyOS для тонких клиентов — Kaspersky Thin Client (KTC). Совокупная стоимость владения такими устройствами меньше, чем у традиционных тонких клиентов. Экономия складывается из следующих факторов:
Еще один пример — кибериммунный автомобильный шлюз на базе KasperskyOS — Kaspersky Automotive Secure Gateway (KASG). Он способен существенно сократить расходы автопроизводителей на обслуживание и отзывные кампании за счет использования безопасных обновлений по воздуху и удаленной диагностики. Кроме того, использование KASG позволяет снизить затраты на обеспечение кибербезопасности в процессе разработки.
На пути к внедрению конструктивной безопасности существуют и другие препятствия. Одним из них является недостаток инструментов, позволяющих разработчикам моделировать угрозы на довольно детальном уровне, анализировать, какие компоненты требуют большего внимания с точки зрения проверки инструментами статического и динамического анализа и фаззинг-тестирования. Нужны также средства анализа целостности данных, передаваемых между компонентами и из-за границы системы. Не менее важный вопрос, за счет каких механизмов нижележащей ОС будут имплементированы архитектурные митигации. Удобных и немонструозных инструментов в этой области также немного. Именно поэтому «Лаборатория Касперского» создала KasperskyOS и развивает инструменты для безопасной разработки.
В условиях, когда киберугрозы становятся сложнее, а традиционные средства защиты менее эффективны, необходимы новые подходы к безопасности. Переход к конструктивно безопасным или кибериммунным системам становится не просто трендом, а необходимостью. Однако этот процесс требует не только новых технологий, но и изменения менталитета разработчиков и бизнеса. Компании, которые первыми внедрят новые принципы безопасности, получат стратегическое преимущество, так как смогут минимизировать риски и снизить затраты на защиту данных.
Вспомните, как бурлил интернет, обсуждая микроархитектурные уязвимости вроде Meltdown и Spectre, найденные практически во всех современных процессорах? Это было что-то совершенно новое, потребовавшее аппаратных и программных митигаций на самом низком уровне. Злоумышленник из будущего обладает технологиями и подходами к взлому, которые нам еще не известны. Поэтому, необходимы меры, предпринятые заранее, на стадии разработки, которые смогут снизить вероятность успеха этих будущих атак.
Разработчики программного обеспечения давно используют различные методики для повышения безопасности продуктов. В России существуют государственные стандарты, такие как ГОСТ Р 56939-2016 и ГОСТ Р 58412-2019, которые регламентируют подходы к созданию защищенного ПО. Они основаны на международных практиках и включают методологии Microsoft SDL и OWASP. Эти подходы предполагают моделирование угроз, анализ кода на уязвимости, тестирование на проникновение и меры по защите пользовательских данных.
Несмотря на высокий уровень этих стандартов, они не способны устранить все риски. Разработчики активно используют библиотеки и компоненты с открытым исходным кодом, что усложняет контроль безопасности. Даже при строгом соблюдении всех требований вероятность атак остается высокой, особенно если в ПО появляются неизвестные уязвимости. В критически важных сферах, таких как промышленность и государственное управление, эти методы обязательны, но в других отраслях они применяются не всегда . Это создает дополнительные риски, так как даже одно слабое звено в системе может стать точкой входа для кибератак.
Традиционные методы защиты основываются на выявлении уязвимостей и их последующем устранении. Однако такой подход не учитывает фундаментальную проблему — многие системы изначально уязвимы на уровне своей архитектуры. Это и стало причиной создания в «Лаборатории Касперского» концепции кибериммунитета — собственной реализации подхода Secure by Design или конструктивной безопасности. В отличие от классических решений, где безопасность обеспечивается внешними средствами, кибериммунитет предполагает защиту, заложенную на этапе проектирования системы. В такой модели каждая часть программного обеспечения изолирована, что предотвращает распространение атак. Даже если один из компонентов скомпрометирован, он не сможет нанести ущерб всей системе.
Распространенные операционные системы общего назначения предоставляют недостаточно гибкие механизмы, для вынесения митигации угроз на уровень архитектуры ПО, состоящего из взаимодействующих изолированных компонентов. Например, системы GNU/Linux предоставляют механизмы контейнеризации (seccomp, namespaces, cgroups), средства контроля доступа (Unix DAC, POSIX ACL, SELinux), механизмы повышения привилегий (Policy Kit), средства общесистемной коммуникации (dbus). Разработчик же должен суметь выразить при помощи этих инструментов нетривиальные конфигурации компонентов, перевести высокоуровневую политику в набор конфигураций для отдельных механизмов контроля доступа. Базовая модель угроз таких операционных систем предполагает, что пользователь будет запускать различное ПО, полученное из третьих источников, от своего имени. Именно поэтому так популярны решения вроде Docker, а Google имплементирует свои собственные механизмы песочниц и гранулярного разделения доступа в Google Chrome, Chrome OS и Android.
В KasperskyOS уже есть все необходимое для реализации архитектур, в которых сложное ПО строится из контролируемо взаимодействующих изолированных компонентов. Митигация угроз уровня архитектуры достигается в ней за счет декомпозиции системы на изолированные домены безопасности, организации контролируемых каналов коммуникации между ними и минимизации привилегий каждого выделенного домена.
Все процессы в KasperskyOS типизированы, т.е. каждый процесс относится к определенному классу, или домену безопасности. Привилегии доменов безопасности гибко конфигурируются политикой решения, описываемой на специальном языке. При этом в KasperskyOS отсутствует понятие пользователя root, а все привилегированные процессы исполняются в условиях ограничений, заданных политиками. Это снижает вероятность атак и упрощает управление безопасностью.
Переход на конструктивную безопасность требует изменений не только в технологиях, но и в мышлении бизнеса. Пока наибольший интерес к таким подходам проявляют сферы, где ошибка может привести к катастрофическим последствиям. Авиационная и автомобильная промышленность, энергетика, медицина и государственный сектор активно переходят на новые принципы разработки. Однако в других отраслях по-прежнему преобладает консерватизм. Многие компании считают, что их текущих мер безопасности достаточно, и не видят необходимости в переходе на новые подходы. Это создает риск, что при появлении новых типов атак их инфраструктура окажется уязвимой. Ярким примером являются уязвимости Meltdown и Spectre, обнаруженные в процессорах. Они показали, что злоумышленники могут эксплуатировать такие уязвимости на самом низком уровне системы. В подобных ситуациях традиционные методы защиты оказываются бессильны, так как угроза возникает в самой архитектуре аппаратных компонентов.
Внедрение новых практик может показаться затратным, однако в долгосрочной перспективе это снижает общую стоимость владения. К примеру, традиционные системы требуют постоянных обновлений и исправления уязвимостей, тогда как кибериммунные решения не нуждаются в столь частых патчах, поскольку большинство атак на них просто не работают.
Примером экономической эффективности кибериммунного подхода является специальная версия KasperskyOS для тонких клиентов — Kaspersky Thin Client (KTC). Совокупная стоимость владения такими устройствами меньше, чем у традиционных тонких клиентов. Экономия складывается из следующих факторов:
Еще один пример — кибериммунный автомобильный шлюз на базе KasperskyOS — Kaspersky Automotive Secure Gateway (KASG). Он способен существенно сократить расходы автопроизводителей на обслуживание и отзывные кампании за счет использования безопасных обновлений по воздуху и удаленной диагностики. Кроме того, использование KASG позволяет снизить затраты на обеспечение кибербезопасности в процессе разработки.
На пути к внедрению конструктивной безопасности существуют и другие препятствия. Одним из них является недостаток инструментов, позволяющих разработчикам моделировать угрозы на довольно детальном уровне, анализировать, какие компоненты требуют большего внимания с точки зрения проверки инструментами статического и динамического анализа и фаззинг-тестирования. Нужны также средства анализа целостности данных, передаваемых между компонентами и из-за границы системы. Не менее важный вопрос, за счет каких механизмов нижележащей ОС будут имплементированы архитектурные митигации. Удобных и немонструозных инструментов в этой области также немного. Именно поэтому «Лаборатория Касперского» создала KasperskyOS и развивает инструменты для безопасной разработки.
В условиях, когда киберугрозы становятся сложнее, а традиционные средства защиты менее эффективны, необходимы новые подходы к безопасности. Переход к конструктивно безопасным или кибериммунным системам становится не просто трендом, а необходимостью. Однако этот процесс требует не только новых технологий, но и изменения менталитета разработчиков и бизнеса. Компании, которые первыми внедрят новые принципы безопасности, получат стратегическое преимущество, так как смогут минимизировать риски и снизить затраты на защиту данных.
