Современная цифровая среда очень динамична. С развитием новых технологий и умных устройств ИТ-системы усложняются, а число компонентов в решениях растет, что увеличивает количество уязвимостей. Киберпреступники быстро подстраиваются под изменения, усложняя свои методы и инструменты. Последствия киберинцидентов становятся все более серьезными: атаки хакеров напрямую ведут к внеплановым остановкам производства и простоям.
Бизнес сталкивается с явной проблемой: поддержка эффективной системы безопасности требует много внимания, ресурсов и финансовых вложений. Мы в «Лаборатории Касперского» изучили и обобщили многолетний опыт в области построения защищенных систем и выбрали концепцию Secure by Design в качестве основы для разработки собственной методологии — кибериммунитета. Этот подход лежит в основе наших продуктов, которые на уровне архитектуры защищены от угроз. Один из примеров такого решения — Kaspersky Thin Client, операционная система для тонких клиентов на базе KasperskyOS.
В этой статье мы на примере Kaspersky Thin Client расскажем, что такое кибериммунное решение и как оно помогает эффективно противостоять кибератакам, при этом упрощая защиту инфраструктуры и сокращая расходы на горизонте нескольких лет эксплуатации.
Почему тонкие клиенты привлекли внимание бизнеса
С развитием информационных технологий давно сформировалась потребность в гибкой, масштабируемой среде и быстром доступе к мощным вычислительным ресурсам откуда угодно. В ответ на этот запрос еще в 2000-х годах появилась концепция облачных вычислений, — данные хранятся в центре обработки данных и доступны онлайн — и традиционную инфраструктуру с ПК и ноутбуками стали переосмыслять. Для доступа к удаленным ресурсам не нужны сложные и дорогостоящие устройства.
Так появился тонкий клиент. Это маломощный компьютер с облегченной операционной системой на котором, как правило, хранится и обрабатывается минимум информации. К нему можно подключить периферию и работать как за обычным ПК или ноутбуком. Основная задача этого устройства — подключаться к удаленной среде (это может быть удаленный рабочий стол, виртуальное приложение или, например, VDI-инфраструктура), где находятся все нужные пользователю данные и приложения.
По сравнению с ПК и ноутбуками тонкие клиенты проще в обслуживании и администрировании: они компактны, неприхотливы и, как правило, настраиваются и управляются централизованно. Организация новых рабочих мест и удаление старых требует меньше усилий от специалистов. К тому же тонкие клиенты обладают длительным жизненным циклом: тонкий клиент может прослужить в среднем 7 лет, в то время как корпоративный ноутбук стоит заменить уже через 3 года эксплуатации.
Еще одно важное преимущество тонкого клиента перед другими конечными устройствами — безопасность. Тонкие клиенты не подвержены многим киберугрозам, которые характерны для ПК и ноутбуков, из-за своих конструктивных особенностей и принципов работы:
- Большинство тонких клиентов не хранят данные локально, что минимизирует риск утечки данных через физический доступ. Даже если злоумышленник взломает или украдет тонкий клиент, ему будет довольно трудно получить доступ к информации, так как она хранится на сервере.
- Операционные системы многих тонких клиентов не позволяют устанавливать сторонние программы, что сильно уменьшает риск заражения устройства вредоносным ПО.
- Права пользователя в системе, как правило, существенно ограничены: например, он не может устанавливать стороннее ПО и менять системные настройки. Ему доступен строго определенный набор действий. Такие ограничения значительно снижают возможности злоумышленника: даже если устройство окажется в его руках, ему будет сложнее получить доступ к уязвимым данным или нанести вред системе.
Благодаря таким свойствам тонкие клиенты широко используются не только в обычных офисах, но и в сферах с высокими требованиями к информационной безопасности: в банках, аэропортах, образовательных учреждениях, на крупных промышленных предприятиях и в государственных структурах.
Безопасность со звездочкой
В силу особенностей архитектуры и удаленной обработки данных тонкий клиент воспринимается как более безопасное устройство. Однако это также комплексное решение, состоящее из программ и аппаратных компонентов от разных производителей. А любая многоуровневая система, как правило, таит в себе уязвимости. В этом убедились специалисты нашего исследовательского центра ICS CERT: они изучили ландшафт угроз для инфраструктур тонких клиентов и обнаружили несколько потенциальных точек кибератак.
Критически опасные уязвимости нашлись в сторонних компонентах с открытым исходным кодом (например, в популярных библиотеках VNC и FreeRDP), в сетевом стеке операционных систем и в приложениях сторонних вендоров. Эксплуатация таких уязвимостей может угрожать финансовой стабильности, подрывать репутацию компании и даже приводить к физическим последствиям. Например, при взломе тонких клиентов на предприятии злоумышленники могут получить доступ к системам управления и нарушить технологические процессы или остановить оборудование, что может стать причиной остановки производства, аварий и несчастных случаев. В государственном секторе подобные инциденты могут представлять угрозу национальной безопасности.
Для защиты тонких клиентов применяются антивирусы, сетевые экраны, системы контроля запуска приложений и самих устройств, шифрование данных и другие технологии. Также ИБ-специалисты практикуют профилактику вроде мониторинга уязвимостей, анализа трафика и событий на конечных устройствах.
Внедрение подобных инструментов и практик киберзащиты обеспечивает достаточный уровень информационной безопасности, однако требует серьезных финансовых вложений и человеческого ресурса. Компании нужно приобретать лицензии на дополнительные средства защиты для всех устройств, а затем тратить время специалистов на развертывание и администрирование этих средств, регулярно проверять систему на уязвимости и устанавливать патчи безопасности. Система защиты в итоге становится довольно громоздкой и сложной в управлении, тянет на себя много внимания, отвлекая от основных производственных целей.
Не у каждого бизнеса находится ресурс на поддержку эффективной, но сложной и дорогой системы безопасности. Поэтому на практике эксплуатантам тонких клиентов нередко приходится экономить на киберзащите или идти на невыгодные компромиссы.
Кибериммунные тонкие клиенты на Kaspersky Thin Client: безопасность начинается с архитектуры
Проблема сложности и высокой стоимости систем киберзащиты касается не только тонких клиентов — она остро стоит для многих современных ИТ-систем. Решение этой проблемы предлагает концепция конструктивной безопасности (англ. Secure by Design). Ее смысл — предусматривать безопасность на уровне архитектуры при проектировании системы вместо того, чтобы создавать изначально небезопасные продукты и в будущем применять дополнительные меры для их защиты.
Secure by Design — перспективная концепция. Но для практического применения в разработке программных продуктов ее нужно довести до уровня достаточно простого и экономически эффективного подхода. Поэтому мы в «Лаборатория Касперского» взяли Secure by Design за основу и создали свою методологию разработки конструктивно безопасных решений — кибериммунитет.
Кибериммунные системы изначально проектируются так, чтобы их критически важные активы были защищены даже если произойдет кибератака. В случае тонкого клиента такими активами являются, например, образы обновлений и данные, которые передаются между тонким клиентом и ключевыми узлами (например, удаленной средой или сервером управления).
Согласно кибериммунному подходу, для защиты критически важных активов нужно реализовать безопасность как прикладного кода, так и компонентов, управляющих аппаратной начинкой устройства, — операционной системы. Существуют разные подходы к решению этой задачи, включая усиление защиты существующих платформ. Мы пошли по другому пути и разработали собственную микроядерную операционную систему (ОС) — KasperskyOS. Все верно, она не основана на ядре Linux или Windows. KasperskyOS спроектирована так, чтобы минимизировать поверхность атаки и не позволить потенциальному злоумышленнику подобраться к критичным для безопасности системы компонентам через уязвимости, например, в сервисах или программах сторонних производителей.
На основе KasperskyOS мы разработали кибериммунную операционную систему для тонких клиентов — Kaspersky Thin Client. Она позволяет развернуть в организации привычную инфраструктуру тонких клиентов — надежную, масштабируемую, простую в обслуживании и администрировании — только защищенную на уровне архитектуры. Владельцам таких тонких клиентов не понадобятся дополнительные средства защиты.
Чтобы обеспечить безопасность критически важных активов, кибериммунная операционная система Kaspersky Thin Client построена на базе трех основных принципов:
В Kaspersky Thin Client также предусмотрены другие архитектурные шаблоны безопасного дизайна, включая TLS-шифрование для защиты сетевых взаимодействий и использование сертификатов для защиты от несанкционированного доступа. Подробнее о том, как устроена Kaspersky Thin Client и как реализуется кибериммунность операционной системы, можно почитать в статье от руководителя проекта.
Выгода кибериммунного тонкого клиента
По сравнению с инфраструктурой обычных тонких клиентов, оснащенной традиционной системой защиты, тонкие клиенты на Kaspersky Thin Client экономят средства бизнеса и время специалистов за счет следующих преимуществ:
- Не нужны дополнительные средства защиты
Кибериммунное решение предусматривает безопасность из коробки. Вам не нужно приобретать другие средства защиты, затем тратить время на их развертывание и администрирование. - Меньше затрат на развертывание и масштабирование
Kaspersky Thin Client предусматривает быстрые шаблонные сценарии развертывания: новое устройство интегрируется в инфраструктуру за считанные минуты. - Меньше ресурсов на управление и патчинг
Кибериммунная ОС снижает потребность в частых и срочных обновлениях безопасности. Также Kaspersky Thin Client может централизованно управляться через консоль Kaspersky Security Center вместе с другими продуктами «Лаборатории Касперского». За счет этого формируется единая экосистема решений, которая усиливает защиту периметра организации и упрощает администрирование системы безопасности. - Сокращение времени и усилий на обучение сотрудников
Интерфейс консоли управления интуитивно понятен для администратора, а интерфейс тонкого клиента прост для пользователя.
По нашим оценкам, общая стоимость владения тонким клиентом на Kaspersky Thin Client по сравнению аналогичными устройствами на Linux ниже в следующем соотношении:
Кибериммунный подход обеспечивает высокий уровень защиты и надежную работу ИТ-инфраструктуры, минимизируя риски инцидентов безопасности и связанных с ними перебоев в работе бизнеса. Кибериммунные решения помогают бизнесу защититься от атак хакеров, затрачивая меньше средств и ресурсов на владение и управление системой безопасности.
