Угроза загрузки нештатной операционной системы

Угроза заключается в возможности подмены нарушителем загружаемой операционной системы путём несанкционированного переконфигурирования в BIOS/UEFI пути доступа к загрузчику операционной системы. Данная угроза обусловлена слабостями технологий разграничения доступа к управлению BIOS/UEFI. Реализация данной угрозы возможна при условии доступности нарушителю следующего параметра настройки BIOS/UEFI – указания источника загрузки операционной системы.

• Внутренний нарушитель с низким потенциалом

• Нарушение конфиденциальности
• Нарушение целостности
• Нарушение доступности

Угроза загрузки нештатной операционной системы (ОС) представляет собой серьезную опасность для безопасности системы, поскольку злоумышленник, загрузив нештатную ОС, может обойти установленные механизмы защиты, получить доступ к конфиденциальным данным, установить вредоносное программное обеспечение или выполнить другие несанкционированные действия.

Для минимизации данной угрозы необходимо принять следующие меры:

1. Защита на уровне BIOS/UEFI:

• Надежный пароль BIOS/UEFI: Установите сложный и уникальный пароль для BIOS/UEFI и регулярно его меняйте. Этот пароль предотвратит несанкционированное изменение параметров загрузки.
• Пароль на загрузку с внешних носителей: Запретите загрузку с внешних носителей (USB, CD/DVD) без ввода пароля BIOS/UEFI. Это предотвратит запуск нештатной ОС с внешнего носителя.
• Изменение порядка загрузки: Установите жесткий диск с установленной штатной ОС в качестве первого устройства в порядке загрузки.
• Отключение неиспользуемых функций: Отключите все неиспользуемые функции в BIOS/UEFI, такие как загрузка с сети (PXE), последовательные порты и другие потенциальные точки входа.
• Включите Secure Boot: Включите Secure Boot в BIOS/UEFI. Secure Boot проверяет цифровую подпись загрузочных файлов, чтобы убедиться, что они не были изменены и что загружается только доверенное программное обеспечение. Настройте Secure Boot для доверия только штатной ОС и ее загрузчику.
• Measured Boot и Trusted Platform Module (TPM): Используйте Measured Boot для измерения компонентов загрузки (включая BIOS/UEFI и загрузчик ОС) и сохранения этих измерений в TPM. Это позволяет удаленно проверять целостность загрузочного процесса.

2. Защита на уровне операционной системы:

• Шифрование диска: Используйте полное шифрование диска (Full Disk Encryption - FDE) с помощью таких инструментов, как BitLocker (Windows), LUKS (Linux) или FileVault (macOS). Шифрование диска предотвратит доступ к данным на диске, если злоумышленник загрузит нештатную ОС и попытается получить доступ к данным.
• Защита загрузочного сектора: Защитите загрузочный сектор жесткого диска от несанкционированных изменений.
• Усиленная аутентификация: Включите многофакторную аутентификацию (MFA) для доступа к операционной системе.

3. Аппаратные меры защиты:

• Trusted Platform Module (TPM): Используйте TPM для хранения ключей шифрования и защиты целостности системы.
• Защита от физического доступа: Ограничьте физический доступ к компьютерам и серверам. Используйте корпуса с замками или пломбами, чтобы предотвратить несанкционированный доступ к внутренним компонентам.

4. Мониторинг и аудит:

• Мониторинг загрузочного процесса: Мониторьте загрузочный процесс системы для выявления подозрительных действий.
• Анализ журналов: Анализируйте системные журналы для выявления несанкционированных попыток загрузки нештатной ОС.
• Системы обнаружения вторжений (HIDS): Использовать HIDS для мониторинга системы на предмет подозрительной активности.
• Удаленное подтверждение (Remote Attestation): Использовать технологии удаленного подтверждения для удаленной проверки целостности и безопасности загрузочного процесса.

5. Организационные меры:

• Политика безопасности: Разработайте и внедрите политику безопасности, которая определяет правила использования компьютеров и запрещает загрузку нештатных ОС.
• Обучение персонала: Обучите персонал основам безопасности, чтобы они знали, как защитить свои компьютеры от несанкционированного доступа и загрузки нештатных ОС.
• Контроль за ремонтом и обслуживанием: Доверяйте ремонт и обслуживание компьютеров только проверенным и надежным сервисным центрам. Проверяйте оборудование после ремонта.
• Соглашения о неразглашении (NDA): Заключайте соглашения о неразглашении с сервисными центрами и другими сторонними организациями, которые имеют доступ к вашему оборудованию.
• Процедура реагирования на инциденты: Разработайте и поддерживайте в актуальном состоянии план реагирования на инциденты безопасности, который определяет действия, которые необходимо предпринять в случае обнаружения загрузки нештатной ОС.

6. Другие меры:

• Виртуализация: Запускать критически важные приложения в виртуальных машинах для изоляции от основной системы.
• Белые списки приложений: Использовать белые списки приложений для ограничения запуска только доверенного программного обеспечения.
• Hardware Security Modules (HSM): Использовать HSM для хранения ключей шифрования и защиты критически важных данных.

Примеры реализации:

• Windows:
  • BitLocker для шифрования диска.
  • Secure Boot с настройкой доверия только подписанному загрузчику Windows.
  • Использовать Group Policy для ограничения загрузки с USB-накопителей.
• Linux:
  • LUKS для шифрования диска.
  • dm-verity для проверки целостности rootfs.
  • Secure Boot с доверенным загрузчиком (например, GRUB или systemd-boot).

Ключевые моменты:

• Защита от загрузки нештатной ОС требует комплексного подхода, сочетающего аппаратные, программные и организационные меры.
• Secure Boot и шифрование диска являются ключевыми элементами защиты.
• Необходимо ограничить физический доступ к компьютерам и серверам.
• Повышение осведомленности пользователей о рисках, связанных с загрузкой нештатных ОС.

Внедрение этих мер позволит значительно снизить риск загрузки нештатной ОС и защитить вашу систему от несанкционированного доступа и вредоносных действий.