Кибериммунитет

Ключевой элемент безопасных умных IT-систем будущего
Кибериммунитет
В основе KasperskyOS лежит иммунный подход, позволяющий создавать IT-системы, которые могут исполнять свои функции в условиях агрессивной среды без дополнительных (наложенных) средств безопасности

Вся наша жизнь тесно связана с использованием гаджетов и девайсов, а значит, и различных умных систем. Современную экономику невозможно себе представить, например, без огромного количества компьютеров, офисных IT-сетей, промышленных машин, автоматизированных систем управления.

Сегодня большинство интеллектуальных систем проектируется без учета безопасности их использования в качестве первоочередной цели. При этом использование уязвимого программного обеспечения в киберфизических системах, которых становится все больше, создает ситуацию, в которой киберугрозы начинают все больше угрожать безопасности людей в реальном физическом мире. «Лаборатория Касперского» решила это изменить: наши специалисты создали концепцию, как разрабатывать IТ-системы с «врожденной» защищенностью.

Мы назвали это кибериммунным подходом. С помощью кибериммунности можно создавать IТ-системы, безопасные по умолчанию. Можно говорить, что информационная система обладает киберимунностью, если подавляющее большинство видов кибератак на нее неэффективно и не может повлиять на выполнение ею своих основных функций в сценариях работы, предусмотренных на этапе проектирования.

Наличие кибериммунитета обеспечит надежность и прогнозируемость работы информационных систем, минимизируя риски киберинцидентов, в том числе связанных с ними аварий. Концепция кибериммунности предполагает исключение риска целых классов кибератак — теперь они не смогут повлиять на выполнение системами своих функций.

Преимущества кибериммунных решений для IТ-инфраструктур с повышенными требованиями к защите информации (промышленность, транспорт, энергетика и др.) неразрывно связаны с технологиями в основе KasperskyOS.

  1. Контроль уязвимостей
    В составе микроядра KasperskyOS всего несколько десятков тысяч строк кода — этого достаточно для его корректной работы. При этом в ядре отсутствуют незадокументированные функции (что легко проверить), а вероятность уязвимостей в коде сведена к минимуму
  2. Проверка межпроцессных взаимодействий
    Модуль Kaspersky Security System вычисляет вердикты безопасности для любых процессов, проходящих через микроядро, и запрещает те, что не соответствуют политикам безопасности
  3. Надежность вне обстоятельств
    Архитектура MILS (Multiple Independent Levels of Security) позволяет системе быстро реагировать на события внешней среды благодаря оперативной реконфигурации системных компонентов и политик их взаимодействия (включая политики безопасности) без потери гарантий защищенности
  4. Снижение рисков
    Изоляция доменов безопасности — невозможность влияния друг на друга свойств безопасности и функциональных компонентов. Микроядро KasperskyOS по умолчанию блокирует несанкционированные действия программных компонентов (Default Deny)

Построение кибериммунных решений на базе KasperskyOS дает важные преимущества и самим разработчикам решений:

Снижение стоимости разработки и поддержки безопасных IT-решений
Большинство программных компонентов могут быть недоверенными с точки зрения ИБ, написанными разработчиками с низкой квалификацией или заимствованными из открытых источников — главное, чтобы эти компоненты выполняли свои функциональные задачи
Снижение стоимости сертификации
Принципы создания кибериммунных решений соответствуют стандартам, которые используют регуляторы, — Common Criteria, ASPICE, ISO 26262 и т.д.
Возможность индивидуализации
Архитектура FLASK в основе Kaspersky Security System позволяет задавать и гибко конфигурировать любые политики безопасности в соответствии с потребностями заказчика

Разработка кибериммунных решений

Чтобы достичь кибериммунности решений на основе KasperskyOS, необходимо следовать специальной методологии, созданной специалистами «Лаборатории Касперского».

Информационная система может считаться кибериммунной, если при ее разработке были соблюдены следующие требования:

  • сформулированы и выполняются цели безопасности и предположения безопасности;
  • домены безопасности изолированы друг от друга;
  • ведется жесткий независимый контроль межпроцессных взаимодействий;
  • вычислительная база решения является доверенной.

Для наделения системы кибериммунитетом разработчикам также необходимо учитывать следующее:

  • какие параметры должны быть гарантированно защищены;
  • в каких условиях и с какими оговорками система будет использоваться.

Материалы о кибериммунитете

KasperskyOS

Кибериммунная операционная система будущего

Из чего строится безопасность

О технологиях в составе KasperskyOS