Привет, Хабр! Как давно вы мониторили рынок современных аппаратно-программных комплексов защиты серверов и серверного оборудования? С тех пор как доступ западных новинок на наш рынок сократился под давлением внешних факторов, начала стремительно расти актуальность отечественных разработок в области надежной и эффективной защиты данных на уровне железа. Этот рост стимулировали законодательные инициативы, ужесточившие требования к локализации систем защиты.
Например, был принят Федеральный закон от 08.08.2024 №216-ФЗ «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ и отдельные законодательные акты Российской Федерации». Он, в частности, запрещает передачу данных из государственных в иные информсистемы, не соответствующие требованиям о защите информации, а с 1 января 2025 года вводится запрет на средства защиты информации, произведенные в недружественных государствах, либо организациями под их юрисдикцией. Основание – Указ Президента РФ от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Вот на таком законодательном фоне и появился криптозамок от Fplus – полностью отечественная разработка, уже доступная на рынке. Далее по тексту мы поговорим о том, что этот замок собой представляет и от каких угроз он защищает наших клиентов.
Немного истории…
Решения в области кибербезопасности и защиты оборудования всегда «шли в ногу» с изощренностью и технической оснащенностью злоумышленников, которые реализуют кибератаки. Цель хакеров – получить контроль над данными и потребовать выкуп за их разблокировку, нарушить целостность и доступность информационных систем или даже вывести из строя такие системы или управляемое ими оборудование.
Последнее является следствием киберфизической атаки – такого воздействия на информационную среду, которое приводит к изменениям в реальном мире. Например, воздействие извне на органы управления современного «цифрового» автомобиля могут спровоцировать аварию, а нарушение работы системы управления, скажем, электростанцией, чревато масштабной техногенной катастрофой. Вообще под угрозой последствий киберфизических атак находятся все пользователи «интернета вещей» – от покупателя робота-пылесоса до владельца крупного промышленного предприятия.
По мере роста типов кибератак усложнялись и защитные решения. Вначале они основывались на предоставлении эксклюзивных прав доступа к серверному помещению и консоли управления. Однако с течением времени рост числа преступлений злоумышленников и усложнение их моделей поведения вызвали к жизни дополнительные решения, сформировавшие промежуточный этап верификации и немедленную блокировку системы в случае попыток физического взлома оборудования и систем хранения данных.
В настоящее время все более популярным становится подход к построению стратегии кибербезопасности на основе концепции «нулевого доверия» (Zero Trust). В этом контексте любая попытка доступа проходит проверку и авторизацию вне зависимости от происхождения. Все пользователи и устройства, запрашивающие доступ к ресурсам, предварительно должны пройти проверку подлинности!
Количество хакерских атак растет с каждым годом
Критически важные отрасли, обеспечивающие стабильность государства и жизнеспособность общества – энергетика, транспорт, здравоохранение, оборона и т.д. давно включены в цифровую экосистему и часто становятся объектами кибератак. Так…, в 2021 году хакерская группа DarkSide атаковала компанию Colonial Pipeline – крупнейшего оператора трубопроводных систем в США, использовав программу-вымогатель (ransomware). В результате компания была вынуждена временно прекратить работу и заплатить выкуп.
Почти одновременно с этим были атакованы серверы бразильской компании JBS S.A. – одного из крупнейших в мире производителей мяса. При этом также использовалась программа ransomware. Злоумышленники получили доступ к ключевым серверным системам компании, что привело к остановке производства на несколько дней.
В нашей стране в 2024 году число атак на государственные структуры существенно увеличилось по сравнению с прошлым годом. Связано это как с ростом геополитической напряженности, так и с развитием методов кибервзлома. Атаки были нацелены преимущественно на четыре сектора: промышленность и энергетику, государственные органы, финансовые учреждения и телекоммуникационную сферу. Промышленный сектор оказался под наибольшим ударом, что связано с его ключевой ролью в экономике и критической зависимостью от технологий. Другие сферы, включая IT, финансы и страхование, тоже находились под постоянным давлением, хотя интенсивность атак в этих секторах была ниже.
За 2024 год аналитики компании RED Security зафиксировали почти 130 тысяч инцидентов. Эта цифра более чем в два раза превышает показатели 2023 года. Наиболее серьезной угрозой стали масштабные атаки на государственные и экономические инфраструктуры, которые приводили к финансовым потерям и нарушению работы производств.
Что касается методов взлома, в прошлом году хакеры практиковали как классические DDoS-атаки (в частности, на порталы государственных услуг и банковские организации), так и атаки с использованием вредоносного софта. В попытках повредить критическую инфраструктуру злоумышленники использовали вирусы-шифровальщики, а также трояны и ботнеты для кражи данных или блокировки работы систем. Целевые атаки носили скрытный и долгосрочный характер. Они были направлены на сбор разведывательной информации или установку доступа к системам. Основная цель таких атак – государственные структуры, исследовательские институты и компании с доступом к инновационным технологиям.
В октябре 2024 года были взломаны сайты федеральных арбитражных судов и мировых судей, а также личные кабинеты работников судов. Помимо этого, перестала функционировать система «Электронное правосудие» и ряд других служб. По мнению ряда экспертов, которые комментировали это событие в СМИ, одной из причин успеха хакеров было устаревшее оборудование и программное обеспечение зарубежного происхождения.
Надо сказать, что компрометация персональных данных неприятна не только тем, чьи данные «утекли», но и компаниям, которые их не уберегли. Недавно Госдума в трех чтениях приняла законопроект, который предусматривает наказание в виде оборотных штрафов за серьезные утечки персональных данных. Поправки внесены в статью об административных правонарушениях за нарушение требований о сборе персональных данных (13.11 КоАП). Закон вступит в силу с 1 марта 2025 года.
В прогнозах на 2025 год специалисты высказывают предположения, что число атак продолжит расти, хотя темпы роста могут замедлиться. Основной фокус может быть сделан на целевых атаках с использованием методов цифрового шпионажа, направленных на сбор конфиденциальной информации и экономическое давление на компании. Угроза также сохраняется для цепочек поставок ПО, что может стать серьезной проблемой для малого и среднего бизнеса, не имеющего достаточных ресурсов для надежной киберзащиты.
На текущий момент российская промышленность, энергетика и IT-сектор остаются наиболее уязвимыми отраслями. В условиях возрастающей угрозы усиления кибератак на первое место выходит совершенствование защитных мер и улучшение координации между частными компаниями и государственными структурами для противодействия новым методам взлома.
Как защититься?
Летом прошлого года компания Fplus анонсировала криптозамок – первое решение отечественного производства для защиты серверов от удаленного взлома и физического проникновения. Это устройство сочетает в себе аппаратные и программные компоненты, направленные на повышение уровня безопасности критически важных систем. Поговорим подробнее, что же умеет новое устройство. Итак…
…что же такое криптозамок?
В современном мире криптозамки (от греческого корня κρυπτός, что означает «скрытый», «секретный») используются в разных сферах для защиты данных и контроля доступа. В нашем случае криптозамок – это специализированная HHHL-плата, которая интегрируется в сервер, а также программный компонент, встроенный в BIOS сервера. Устройство подключается к сетевому интерфейсу на системной плате сервера и отключает внешний разъем BMC (Bayonet Neill-Concelman). После установки модуля весь трафик проходит через криптозамок и кодируется отечественными алгоритмами шифрования.
Основной задачей устройства является защита от несанкционированного доступа к контроллеру управления сервера (BMC/Baseboard Management Controller), с помощью которого происходит удаленное взаимодействие с вычислительным узлом. Для этого криптозамок шифрует все коммуникации, блокируя прямое подключение к административной оболочке, даже если уязвимости присутствуют непосредственно в ПО. Использование устройства требует аппаратного ключа, выдаваемого централизованным корпоративным сертификатом, что значительно усложняет несанкционированный доступ.
Заметим, что контроллеры BMC (например, Nuvoton WPCM450, ASPEED и другие) в основном иностранного производства, а их встроенное микропрограммное обеспечение содержит определенный пул уязвимостей, через которые злоумышленники (а иногда даже доморощенные «мамкины хакеры») могут получить доступ к системе.
Что самое интересное – криптозамок снабжен датчиком вскрытия, который фиксирует любые попытки физического вмешательства в работу сервера. Он мгновенно реагирует на попытки несанкционированного открытия корпуса и отправляет сигнал в систему безопасности. Это позволяет своевременно выявлять потенциальные угрозы, связанные с попыткой проникновения злоумышленников к внутренним компонентам вычислительного узла: например, с целью установки вредоносного оборудования или извлечения данных.
При использовании стандартных методов обеспечения безопасности посредством аппаратных модулей доверенной загрузки (АПМДЗ), которые были разработаны 20 лет назад, такие действия могут остаться незамеченными, в то время как датчик вскрытия добавляет новый уровень контроля – физический, – существенно повышая общий уровень защиты. Иначе говоря, современные технологии могут не только противостоять виртуальным угрозам, но и учитывать физические риски, которые все чаще становятся частью стратегий кибератак. Эта технология особенно важна для предприятий, работающих с критически важной информацией или инфраструктурой.
Таким образом, можно утверждать, что криптозамок Fplus – это больше, чем просто АПМДЗ. Это целая многофункциональная система для контроля над аппаратной частью сервера и защиты BMC.
Простая интеграция
Криптозамок Fplus разрабатывался с учетом нужд бизнеса всех масштабов. Он доступен не только крупным компаниям, но и среднему бизнесу. Ключевым моментом является простота внедрения криптозамка в существующие инфраструктуры без необходимости значительных изменений в рабочих процессах и системах безопасности. Преимущества криптозамка Fplus в этом контексте следующие:
Простота внедрения в уже существующие ИТ-системы. Криптозамок не требует полного перепроектирования безопасности организации, что значительно сокращает время на его интеграцию.
Поддержка различных типов аутентификации, включая аппаратные ключи и шифрование, что позволяет эффективно защищать данные без необходимости дополнительных сложных процедур для пользователей.
Совместимость с промышленными стандартами безопасности и возможность интеграции с корпоративными системами управления данными и учета, такими как системы ERP и CRM. Это упрощает внедрение решения в уже работающие процессы и обеспечивает его быструю адаптацию для бизнеса.
Криптозамок умеет проверять электронную подпись и целостность прошивки BIOS (до старта основного хоста), микрокодов компонентов оборудования, а также загрузчика и ядра ОС посредством расчета контрольных сумм (в соответствии с нормативами ГОСТ 34.11-2018). Также криптозамок может хранить загрузочные образы в доверенном хранилище (32/64 Гбайт): на них могут быть записаны утилиты для самодиагностики, например. А еще он умеет отслеживать параметры состояния сервера, включая температуру, влажность и запыленность (на базе лазерного датчика с точностью измерения до 0,1 мкм), что может помочь в диагностике работы оборудования при обслуживании вычислительных узлов.
Поддержка и сертификация
Для крупных компаний и государственных организаций особо важным моментом является наличие соответствующих сертификатов и лицензий, подтверждающих соответствие криптозамка Fplus стандартам безопасности. Так, используемый в устройстве криптомодуль получил сертификацию ФСБ (Федеральной службы безопасности), что позволяет использовать криптозамок в критически важных сферах: энергетике, финансовом секторе и государственных предприятиях.
Кроме того, криптозамок Fplus может стать обязательным инструментом для выполнения тендерных обязательств. На тендерах, особенно в сфере строительства муниципальной и коммерческой инфраструктуры, защита данных и контроль доступа имеют важное значение. Часто участники тендера обязаны предоставить отчеты, проектные документы и финансовую информацию, которые могут стать мишенью для кибератак.
Также отметим, что криптозамок соответствует нормативным требованиям Минпромторга, который активно развивает нормативную базу для обеспечения информационной безопасности в критически важных отраслях, включая строительную сферу. В частности, «Постановлению Правительства РФ № 1119» о национальных требованиях к безопасности в информационных системах, в рамках которого предусмотрены обязательства для организаций, работающих с важными инфраструктурными проектами, включая строительство.
Сферы применения криптозамка и типы атак
Как мы уже поняли, наибольший интерес криптозамок представляет для критических отраслей, таких как промышленность, энергетика, финансовый сектор и государственные учреждения. Основные угрозы, от которых защищает устройство:
Удаленный взлом административной панели сервера
Атаки с использованием вредоносного ПО для захвата контроля над сервером
Попытки физического вмешательства или замены компонентов оборудования
На момент публикации материала постановка на контроль целостности ПО и подсчет контрольных сумм файлов проводится только при загрузке оборудования, поэтому у администратора нет возможности вносить изменения в правила безопасности на работающей системе.
Одна из основных фишек криптозамка – обеспечение возможности разграничения доступа, что позволяет исключить разовые пропуска, а также уменьшить число сценариев, при которых требуется физический доступ к оборудованию у неавторизованных пользователей. Кроме того, авторизованный доступ к серверу по vLan позволяет исключить доступ к настройкам BIOS/BMC тех пользователей, которые не обладают правами администратора.
Общие сценарии применения криптозамка
Предположим, что наш криптозамок установлен на сервере, который контролирует распределительную подстанцию энергетической компании или автоматизированный цех машиностроительного завода, оснащенный станками с ЧПУ. Может быть, защищенный сервер установлен в банке и обрабатывает транзакции и данные клиентов, а, возможно, он управляет услугами телекоммуникационного оператора и обеспечивает стабильную работу мобильной связи. От этого сервера зависит нормальная жизнь, без преувеличения, миллионов людей, надежность технологических процессов и безопасность финансовых операций. От каких угроз защитит его криптозамок?
1. Предотвращение удаленного доступа к системе управления
Допустим, что злоумышленники попытаются получить доступ к контроллеру управления сервером (BMC) через уязвимость в программном обеспечении. Без криптозамка они могли бы подключиться к серверу и изменить его настройки, внести изменения в обрабатываемые данные, получить доступ к конфиденциальной информации банковских пользователей или нарушить работу сотовой сети. Кстати, взломанный сервер оператора связи может использоваться злоумышленниками для организации DDoS-атак. Однако криптозамок блокирует любые прямые подключения к BMC, обеспечивая доступ только через зашифрованный канал, защищенный аппаратным ключом. Это предотвращает взлом даже при наличии софтверных уязвимостей. А для дальнейшего взаимодействия с системой потребуется двухфакторная аутентификация администратора оборудования с использованием аппаратного СКЗИ, который есть только у авторизованных сотрудников. Таким образом, доступ для внедрения вредоносного кода будет заблокирован.
2. Реагирование на физический доступ к серверу
Предположим, злоумышленник пытается физически вскрыть сервер, чтобы напрямую подключить к нему устройство для кражи данных или внедрить вредоносное ПО. Датчик вскрытия, встроенный в криптозамок, немедленно фиксирует попытку проникновения и передает сигнал на центральный сервер управления. Далее, в зависимости от настроек, последует автоматическая блокировка работы системы, сервер может быть отключен или переведен в безопасный режим, а администратору будет отправлено уведомление и запись данных о попытке вмешательства.
3. Выявление вредоносного ПО в цепочке поставок
Многие компании используют стороннее программное обеспечение, которое может быть скомпрометировано на этапе поставки. А если на сервер загрузится обновление ПО со встроенным вредоносным кодом, он может начать некорректно управлять производственными процессами. Как следствие: это может привести к сбоям, снижению качества продукции или полной остановке оборудования на линиях. Криптозамок Fplus, оснащенный функцией валидации аппаратной и программной конфигурации сервера, сможет обнаружить несанкционированные изменения в программной структуре или установленном оборудовании, предотвращая запуск вредоносного кода. При обнаружении отклонений система оповещает администратора и блокирует запуск серверных процессов до устранения проблемы.
4. Угрозы со стороны инсайдеров
Одной из наиболее сложных в выявлении и потенциально опасных угроз для инфраструктуры компаний являются инсайдерские атаки. Инсайдер с доступом к серверу может попытаться изменить параметры системы для того, чтобы получить финансовую выгоду или отомстить за что-то. Например, перенаправить банковские платежи на другие счета. Но…, так как криптозамок обеспечивает строгую аутентификацию пользователей через аппаратные ключи, что исключает несанкционированный доступ даже для персонала компании. Любые действия, выходящие за рамки допустимых полномочий, фиксируются и передаются представителям корпоративной службы безопасности.
5. Кража персональных данных клиентов
В некоторых случаях существенный ущерб может быть нанесен не только атакуемой организации, но и широкому кругу физических лиц, которые пользуются ее услугами. Например, хакеры могут получить доступ к персональным данным клиентов банка или телеком-компаний, среди которых номера телефонов, пароли, истории звонков…. Эти данные впоследствии могут быть либо проданы в даркнете, либо использованы для мошеннических схем посредством социальной инженерии.
Что в итоге?
Итак, вот перечень угроз, от криптозамок защитит ваш сервер:
Удаленный взлом и захват управления: предотвращение доступа к серверу через уязвимости.
Физическое вмешательство: защита от попыток вскрытия корпуса и подключения неавторизованных устройств.
Интеграция вредоносного ПО: контроль целостности программного и аппаратного обеспечения.
Шпионаж и кража данных: блокировка несанкционированного доступа к критической информации о системе.
Саботаж и нарушение работы инфраструктуры: предотвращение внесения вредоносных изменений для нарушения ее работы.
Сбои в работе платежных систем и сетей связи: предотвращение изменений в алгоритмах, которые могут привести к отказу в обслуживании.
Атаки с использованием инфраструктуры: исключение использования серверов для проведения DDoS-атак.
Действия инсайдеров: минимизация риска атак со стороны сотрудников компании за счет строгой системы контроля доступа.
Энергетика: использование криптозамка на серверах энергетической компании снижает риск кибератак, направленных на нарушение стабильной работы инфраструктуры. Это позволит предотвратить несанкционированные отключения электроэнергии и атаки на цепочки поставок, которые могут повлиять на экономику и безопасность целого региона.
Промышленность: в этой сфере криптозамок обеспечивает надежную защиту промышленных серверов, критически важных для стабильной работы предприятий. Он предотвращает сбои в производстве, минимизирует риски утраты данных и исключает угрозу хищения технологий. Для крупных заводов и предприятий, работающих с инновационными разработками или государственной оборонной промышленностью, такое устройство необходимо.
Финансовый сектор: криптозамок помогает банковским и финансовым учреждениям обеспечить надежную защиту своих серверов от кибератак, утечки данных и внутренних угроз. Это устройство создает дополнительный уровень безопасности, необходимый для поддержания доверия клиентов, защиты активов и соблюдения строгих требований регуляторов в финансовой сфере.
Телеком: в коммуникационном секторе криптозамок обеспечивает надежную защиту серверов, минимизируя риски утечек данных, нарушения работы сети и использования оборудования оператора в злонамеренных целях. Это выводит уровень безопасности предоставляемых услуг на потенциально новый уровень, что особенно важно для сохранения доверия абонентов и соблюдения законодательных требований.
Перспективы развития
Компания Fplus будет и дальше совершенствовать криптозамок, включая возможность создания эталонной конфигурации оборудования. Это позволит идентифицировать любые отклонения от заданных параметров при запуске системы, предотвращая атаки, связанные с изменением аппаратной или программной структуры. На данный момент криптозамок совместим с серверами серии «Спутник», но в будущем ожидается адаптация технологии для других платформ.
Еще инженеры Fplus планируют полностью интегрировать функции TPM (Trusted Platform Module) и RoT (Root-of-Trust) в модуль криптозамка, добавить драйверы для удобного взаимодействия с операционной системой, упростить управление ключами и дать пользователям возможность самостоятельно создавать цифровые подписи для защиты программ и прошивок.
Криптозамок является важным шагом в укреплении кибербезопасности российских критических инфраструктур. Он не только минимизирует риски от наиболее распространенных атак, но и создает новые стандарты защиты, способные повысить устойчивость серверного оборудования перед современными угрозами. А с учетом эволюции методов кибератак, криптозамок может развиваться в направлении более глубокой интеграции с современными системами защиты.
В частности, криптозамок можно адаптировать к новым типам хакинга, таким как атаки на квантовых вычислениях или использование искусственного интеллекта для обхода защиты. Также в приоритете у инженеров разработка новых алгоритмов для повышения скорости работы криптозамка без ущерба для безопасности. А еще будущие версии криптозамка со временем могут стать полноценной частью общих систем безопасности предприятий, объединяя их с централизованными системами мониторинга и реагирования.
