Документы eng
... / Продукты на базе KasperskyOS / Kaspersky IoT Secure Gateway
Kaspersky IoT Secure Gateway

В настоящее время на рынке представлен целый ряд гейтвеев и роутеров, которые позиционируются как «безопасные» или «доверенные». Эти устройства предоставляют широкие технологические возможности для защиты от киберугроз: антивирусные сканнеры, проверку сетевого трафика, файерволы и т.д. Однако все эти технологии нацелены на защиту устройств, которые подключены к гейтвею, и не обеспечивают защиту самого гейтвея. Однако в том случае, если он будет скомпрометирован, все используемые в нём защитные технологии могут быть отключены.

Цели

Для защиты гейтвеев «Лаборатория Касперского» рекомендует решение Kaspersky Secure Gateway, которое позволяет реализовать качественно новый подход к обеспечению безопасности инфраструктуры интернета вещей и устройств умного дома, используя имеющееся аппаратное обеспечение и стандартную прошивку. Предлагаемые технологии защиты инфраструктуры являются инновационными, доверенными и гарантируют безопасное поведение самого гейтвея или роутера.

Наше решение разработано таким образом, что модули и технологии безопасности встраиваются в прошивку устройства для защиты его аппаратной части. При этом имеется возможность настройки.

Kaspersky Secure Gateway дает возможность применить наиболее эффективные технологии и опции по обеспечению безопасности, перечисленные ниже, а также любые другие технологии и опции, которые могут понадобиться в вашем проекте.

Преимущества

Исходно безопасная система

 

Корень доверия

 

Многоуровневая модель безопасности

 

Усиленная защита устройств

 

Модульная архитектура

 

Особенности

Корень доверия (Root of trust)

Этот подход базируется на цепочке доверия (chain of trust). Начальная точка доверия выбирается в зависимости от требуемых гарантий, и в самых сложных случаях устанавливается на уровне аппаратной части.

KasperskyOS

KasperskyOS – это безопасная операционная система для встроенных подключенных устройств с особыми требованиями к информационной безопасности. KasperskyOS создает среду, в которой уязвимости и ошибки кода больше не представляют угрозы. Вы можете узнать больше о KasperskyOS здесь.

Kaspersky Security System

Kaspersky Security System (KSS) – это движок, выполняющий вычисление вердиктов политик безопасности. Он может использоваться совместно с KasperskyOS (также может встраиваться в прошивки на базе Linux) в качестве системы, осуществляющей выполнение вердиктов KSS. Вы можете узнать больше о KSS здесь.

Репутационный сервис Kaspersky Security Network (reputation service)

Kaspersky Security Network (KSN) – это комплексная распределённая инфраструктура, которая предназначена для обработки потоков данных, имеющих отношение к кибербезопасности, от миллионов пользователей по всему миру, давших свое согласие на передачу такой информации.

Облачная система KSN доставляет эти ценные сведения каждому партнёру, имеющему выход в интернет. Применение KSN позволяет обеспечить высочайший уровень защиты и максимальную скорость реакции на угрозы при минимальном уровне ложноположительных срабатываний.

Безопасная загрузка (Secure boot)

Безопасная загрузка позволяет устройствам интернета вещей посредством криптографических методов подтверждать целостность и подлинность образа прошивки до его загрузки.

Безопасная загрузка может использовать безопасное хранилище ключей, реализуемое с поддержкой аппаратного обеспечения, чтобы определить, не был ли повреждён или подменён образ прошивки.

Безопасная загрузка стартует на устройстве до загрузки ОС и начинает проверку цифровой подписи образа прошивки. Если подпись верна (т.е. выдана доверенным источником, а прошивка не изменена), Безопасная загрузка переходит к расшифровке образа прошивки. Если расшифровка прошла успешно (т.е. образ был зашифрован с использованием доверенной пары ключей), то образ прошивки будет загружен. Если же хотя бы один из шагов не выполняется, Безопасная загрузка попытается загрузить предыдущий образ прошивки либо переключиться на режим обслуживания. Таким образом, если прошивка была подменена, изменена, заражена или повреждена, то она не сможет загрузиться, так как не будет иметь подписи и/или не будет зашифрована с помощью соответствующих авторизованных ключей.

Безопасное обновление (Secure Update)

Технология Безопасного обновления работает вместе с Безопасной загрузкой и позволяет обновлять прошивку только с использованием правильно подписанных и зашифрованных образов из доверенных источников. Безопасное обновление работает следующим образом:

  1. С консоли управления поступает команда на скачивание.
  2. Загрузчик обновления получает образ обновления.
  3. Загрузчик сохраняет образ во временное хранилище обновлений и запечатывает его.
  4. Данные из хранилища передаются на проверку специальному контроллеру.
  5. Этот контроллер выполняет проверку образа и авторизует его в случае успеха.
  6. Авторизованный образ поступает в апдейтер.

Безопасный аудит (Secure Audit)

Безопасный аудит – это функция KasperskyOS, которая распознаёт, записывает и сохраняет журнал аудита, предоставляя гарантии того, что записи журнала не будут подменены. Безопасный аудит может использовать технологию блокчейн для распределенного и безопасного управления журналом.

Ключевые свойства:

  • Аудируемые события определяются независимо на пользовательском и системном уровне и регулируются политиками под управлением KSS.
  • Источник аудируемых событий, признанный KasperskyOS надёжным, добавляется в записи журнала аудита.
  • Безопасный аудит располагает гибкой и масштабируемой архитектурой хранилища журнала аудита.
  • Предусмотрена схема обнаружения подмены журнала аудита.
  • Безопасный аудит соответствует требованиям ISO/IEC 15408-2.

Защита на базе машинного обучения (Machine Learning-based protection)

Чтобы обеспечить надёжную защиту пользовательских сетей, мы разработали защитный механизм на базе машинного обучения (МО), который может применяться в гейтвеях и роутерах. МО используется для идентификации всех устройств в сети путем активного и пассивного анализа их поведения, составления профиля каждого устройства и детектирования аномальной или непредусмотренной активности. Например, МО может определить, когда устройство заражено зловредом либо управляется злоумышленником и пытается отправлять необычные данные или обычные данные в необычном направлении. Также технологии МО позволяют определить вредоносную активность и скрытую передачу данных в обычном трафике.

Технологии защиты на базе МО используют не только системные ресурсы гейтвея, но и облако Kaspersky Security Network для быстрого обучения и оперативного принятия решений на основе данных, полученных от других устройств и сервисов, использующих продукты «Лаборатории Касперского».

Обнаружение активов на базе МО (ML asset discovery)

Технология обнаружения активов с использованием МО позволяет автоматически обнаруживать, категоризировать и систематизировать все активы в защищённой сети. Используя специальную технологию распознавания по идентификационным меткам (fingerprints), наше решение идентифицирует тип устройства, название производителя, модель и даже версию прошивки, анализируя при этом лишь определенные элементы (метаданные) произведённого устройством сетевого трафика.

Анализ поведения устройств на базе МО (ML device behavior analysis)

Когда активы в сети обнаружены и категоризированы, для них создаются особые профили. Профиль описывает нормальное поведение устройства с данной прошивкой в данной пользовательской сети.

Детектирование аномалий на базе МО (ML Anomaly Detection)

Использование технологий обнаружения активов и создания профилей устройств на базе МО позволяет выявить любую аномалию в устройствах интернета вещей, в том числе индустриального. Технология детектирования аномалий на базе МО регистрирует активность зловредов и ботнетов, участие устройств в DDoS-атаках, эксплуатацию прошивки, майнинг, хакерский перехват управления устройствами и т.д.

Контроль приложений (Application Control)

Перед исполнением нового бинарного файла Контроль приложений высчитывает его хэш-сумму и обращается к Kaspersky Security Network для получения репутационного уровня доверия и рекомендаций по безопасности для этого приложения. В тех случаях, когда хэш-сумма приложения совпадает с хэш-суммой заражённого кода в базе данных KSN, Контроль приложений блокирует запуск этого приложения на устройстве. Данная технология позволяет избежать заражения устройств интернета вещей такими зловредами, как Mirai и Bashlite.

Сканер устройств интернета вещей (IoT device scanner)

Сканер устройств интернета вещей – это технология, предназначенная для обнаружения всех устройств интернета вещей (IP-камер, телевизоров, медиа и др.) в сети пользователя. После обнаружения устройств решение проверяет их на наличие уязвимостей, которые могут эксплуатировать хакеры. Если уязвимости найдены, сканер предлагает рекомендации по их устранению и повышению уровня безопасности.

Веб-фильтрация / родительский контроль (Web-filter/Parental control)

В зависимости от предназначения устройства, технологии веб-фильтрации (для организаций и индустриальных устройств) или родительского контроля (для пользовательских устройств) могут быть добавлены в прошивку Kaspersky Secure Gateway SDK.

Веб-фильтрация

Веб-фильтрация от «Лаборатории Касперского» – это технология, которая обеспечивает защиту от фишинга, заражённых веб-сайтов и нежелательного контента.

Веб-фильтрация классифицирует сайты по ряду категорий, что позволяет:

  • защитить пользователей и сеть, блокируя фишинг и вредоносные веб-сайты;
  • контролировать просмотр веб-страниц и сократить объём корпоративного трафика;
  • повысить продуктивность сотрудников, ограничив их доступ к не связанным с работой веб-сайтам, таким как социальные сети и сайты онлайн-игр;
  • использовать функционал родительского контроля, блокируя доступ детей к нежелательному контенту.

Родительский контроль

Родительский контроль даёт возможность отслеживать активность ребенка онлайн, защитить его от нежелательных контактов, блокировать доступ к нежелательному контенту и играм, управлять скачиванием приложений, контролировать общение в социальных сетях и предотвратить попадание личных данных в чужие руки.

Технические требования

  • На данный момент технологии Kaspersky Secure Gateway реализованы в ОС на базе ядра Linux, работающих на архитектурах ARM, MIPS и x86.

Патенты

US 7386885 B1, US 7730535 B1, US 8370918 B1, EP 2575318 A1, US 8522008 B2, US 20130333018 A1, US 8381282 B1, EP 2575317 A1, US 8370922 B1, EP 2575319 A1, US 9015797 B1, DE 202014104595 U1.

Материалы