ХАЙТЕК

Железная защита: как хардварные решения предотвращают взлом сервера

Как устроен сервер

Стандартный сервер состоит из аппаратной части (материнской платы, процессоров, модулей памяти, устройств хранения) и программного обеспечения, которое через интерфейсы и порты управляет всеми компонентами, обеспечивая их взаимодействие.

При включении сервера первым делом происходит запуск материнской платы и центральный процессор обращается в адресное пространство к устройству с кодом BMC.

BMC (Baseboard Management Controller) — это программный код, который работает независимо от центрального процессора на отдельном аппаратном контроллере и питается от дежурного напряжения материнской платы, то есть работает всегда, вне зависимости от состояния сервера.

Следом происходит загрузка кода BIOS и запуск операционной системы, в результате чего сервер становится доступным в сети.

BIOS (Basic Input/Output System) — это набор микропрограмм, загруженных в специальный чип на материнской плате. Эти программы отвечают за запуск компьютера и все его базовые настройки.

Угроза физического взлома

Первый тип угроз, о котором хотелось бы упомянуть и о котором нередко забывают системные администраторы — это физический взлом.

По мнению руководителя департамента расследований T.Hunter Игоря Бедерова, угроза физического взлома серверов представляет собой серьезную проблему для компаний. Если безопасность не организована должным образом, даже относительно технически неподготовленный человек может получить доступ к серверам и хранящейся на них информации. Это может привести к серьезным последствиям, включая кражу информации, повреждение оборудования и потерю доверия со стороны клиентов.

«Несмотря на то, что физические атаки на серверные помещения и стойки случаются достаточно редко, они всегда являются критичными и требуют пристального внимания со стороны подразделений безопасности. По имеющимся данным, у более чем 60% компаний раз в год возникает риск несанкционированного доступа к серверному помещению или стойкам. Около 30% таких инцидентов связываются с угрозами со стороны нелояльных сотрудников. Обычно подобные инциденты приводят к краже оборудования, установке вредоносных программ или полной ликвидации данных», — отмечает эксперт.

Как хадрварные решения — а именно криптозамок — защищают от физического взлома, мы также расскажем в этой статье.

Физический взлом сервера — недооцененная угроза. Фото: downloaded from Freepik Уязвимости ВМС

Практически все основные производители серверов, систем хранения данных, тонких клиентов, ноутбуков и ПК, такие, как Lenovo, Huawei, HP и другие, применяют в своем оборудовании Baseboard Management Controller (BMC) иностранного производства — Nuvoton WPCM450, BMC ASPEED AST2400, AST2500, AST2600 и т. д. Многие BMC несут в себе скрытые уязвимости, позволяющие злоумышленникам получать дистанционный доступ к серверам.

Например, по данным Binarly Transparency Platform, серверы производства Intel и Lenovo с 2018 до 2024 годы находились в зоне риска из-за уязвимости в веб-сервере Lighttpd, которая затрагивала BMC. В результате было скомпрометировано огромное количество устройств — хакеры имели возможность обойти их защитные механизмы ASLR (address space layout randomization).

Годом ранее эксперты компании Eclypsium нашли 14 уязвимостей в BMC от крупного производителя American Megatrends International. Эти уязвимости в частности позволяли злоумышленникам действовать в обход проверки логинов/паролей с помощью HTTP Header Spoofing.

Среди существующих на рынке решений по защите BMC многие оказываются неактуальными в России, так как не имеют сертификатов ФСТЭК. Не говоря о том, что, согласно требованиям ФСТЭК, BMC-контроллеры, используемые в серверах критической информационной инфраструктуры, должны быть отключены. В большинстве случаев эти требования не соблюдаются, так как современные ИТ-системы спроектированы под удаленное управление инфраструктурой.

Недостаток аппаратных модулей доверенной загрузки

Традиционным решением для защиты серверов, систем хранения данных, тонких клиентов, ноутбуков и ПК от несанкционированного доступа являются аппаратные модули доверенной загрузки (АПМДЗ). 

Но проблема заключается в том, что АПМДЗ были разработаны более 20 лет назад и не удовлетворяют современным требованиям по безопасности. При их использовании постановка на контроль целостности ПО и подсчет контрольных сумм производится только при загрузке оборудования, а у администратора нет возможности вносить изменения в правила безопасности на работающей системе. Поскольку современные серверы зачастую работают без перезагрузки годами, фактически АПМДЗ становятся бесполезными. Они не позволяют обеспечить необходимый уровень безопасности в управлении инфраструктурой КИИ.

Криптозамок Fplus

Отличный пример подобных устройств — модуль мониторинга Fplus, созданный на основе системы криптографической защиты информации (СКЗИ) IT SM для серверов, СХД, ноутбуков и т. д.

Также комплекс средств обеспечивает достоверность информации и некорректируемую регистрацию, с использованием средств криптографической защиты информации. В модуле реализованы компоненты СКЗИ в соответствии с государственными криптографическими стандартами: хеш-функция ГОСТ 34.11-2012 и ГОСТ 34.10 для формирования ЭП согласно 63-ФЗ.

Криптозамок Fplus защищает сервер как от физического, так и от удаленного взлома

Функции криптозамка Fplus

Комплекс средств криптографической защиты выполняет все пять ключевых функций кибербезопасности сервера:

  • идентификация и аутентификация пользователей системы;
  • контроль доступа и защита каналов управления оборудованием;
  • контроль целостности передаваемой информации;
  • регистрация событий безопасности в журнале событий;
  • фиксация несанкционированного доступа к оборудованию.
Криптозамок Fplus легко установить на сервер

Преимущества криптозамка Fplus

Криптозамок Fplus обладает рядом важных технических преимуществ:

  • Благодаря небольшим габаритам модуль легко установить в оборудование, его размещение не требует дополнительных слотов.
  • Все устройства СКЗИ «IT SM» (включая «Криптозамок») сертифицированы в соответствии с требованиями регуляторов, не потребуется отдельная сертификация оборудования по требованиям к СКЗИ и СКЗИ-НР.
  • Широкий диапазон температур эксплуатации: от -40 °С до +70 °С.
  • Низкое потребление электроэнергии.
  • Демократичная цена.
Криптозамок Fplus в корпусе

Подробные сведения о функционале модуля мониторинга Fplus приведены в таблице:

Название функцииТехнические характеристикиДатчик температуры внутри корпуса сервераДиапазон измерения температуры от -40 ℃ до 125 ℃Датчик вскрытия корпуса сервераОтслеживание состояния корпуса: открыт/закрытДатчик пыли внутри корпуса сервераЛазерный датчик пыли с точностью измерения до 0,1 мкмДатчик моточасов сервераНезависимые часы реального времени для фиксации времени работы сервераКонтроль прошивки UEFI до старта основного хоста Расчет контрольных сумм разделов UEFI в соответствии с ГОСТ 34.11-2018 до старта основного хостаДоверенная флеш-карта для ISO образа Linux (Live-CD)Размер доверенного хранилища 32 или 64 GBУдаленное управление джамперами J5, J6 из модуля мониторинга для запрета локального обновления BIOSКонтроль и управление джамперами J5, J6: джампер установлен/джампер не установленДвухфакторная аутентификация на сервереДвухфакторная аутентификация администратора сервера по сертификатам, размещенным на аппаратном СКЗИ администратораКонтроль загрузчика и ядра операционной системы (ОС) основного хостаРасчет контрольных сумм загрузчика и ядра ОС в соответствии с ГОСТ 34.11-2018 до старта основного хостаИнвентаризация компонентов сервераРегламентный контроль компонентов сервера с отслеживанием изменений конфигурации (Trusted Supply Chain)Доверенное обновление программного обеспечения (ПО) BMC, UEFI и других компонентов сервераДоверенное обновление ПО компонентов сервера с проверкой электронной подписи вендора

По словам директора департамента индустриальных программно-аппаратных комплексов Fplus Ильи Левчука, сегодня на рынке нет аналогичных разработок отечественного происхождения:

Это действительно уникальное решение, которое гарантирует, что злоумышленники не смогут получить доступ к управлению серверной инфраструктурой, удаленно развернуть там вредоносные программы и превратить дорогостоящее оборудование в «кирпич». Наше устройство снимает риски, которые не в состоянии убрать даже самое продвинутое ПО. Фактически криптозамок выступает дополнительным контуром защиты и поэтому подойдет для компаний, которые предъявляют особенно высокие требования к безопасности своих информационных систем. В первую очередь операторы ЦОД и облачной инфраструктуры, финансовые корпорации и государственные структуры

Сферы применения криптозамка Fplus

Благодаря своему богатому функционалу и высокой степени надежности, подтвержденной государственными стандартами, модуль мониторинга Fplus становится незаменимым элементом системы информационной безопасности:

  • Для широкого круга компаний, которым требуется обеспечить защиту оборудования и хранящихся в нем данных от взломов.
  • Для коммерческих систем, которые хранят и обрабатывают большое количество персональных данных пользователей.
  • Для объектов КИИ и государственных информационных систем.

Чтобы подробнее узнать о модуле мониторинга Fplus и получить консультации специалистов компании, — нажмите на кнопку «Хочу железную защиту».

Хочу железную защиту

Реклама. ООО «Ф-Плюс оборудование и разработки». ОГРН 1217800199320. ИНН 7810937436

The post Железная защита: как хардварные решения предотвращают взлом сервера appeared first on Хайтек.