пятница, 10 ноября 2017 г.

ИБ. ФСТЭК и уязвимость Intel ME

ИБ сообщество почти не обратило внимания на недавнее информационное сообщение ФСТЭК России об уязвимости Intel Management Engine. А между тем значение оно имеет существенное значение для защиты ГИС и ИСПДн (compliance).

Во-первых, для всех ИС, подключенных к сети Интернет, а таких подавляющее большинство, требуется применение средств обнаружения вторжений уровня сети и узла. Даже для ГИС К3 и ИСПДн УЗ 3-4.
Во-вторых, для всех ИС, подключенных к сети Интернет, требуется применение межсетевого экрана типа “А”. Формально получается, что МЭ, сертифицированные по старым требованиям (которые разрешили использовать до модернизации ИС или переаттестации) уже не подходят. Только МЭ типа А сертифицированныепо новым требованиям

 В-третьих, требуется в обязательном порядке обновить микропроцессорное ПО. Но сейчас такое обновление от Intel ещё отсутствует. А если судить по времени реакции конечных вендоров на предыдущуюуязвимость Intel ME, то это может затянуться ещё на + 6 месяцев. Кроме того, такие обновления необходимо устанавливать локально. Что ещё больше увеличит время установки обновления.
На время отсутствия обновления необходимо принять компенсирующие меры, в том числе:
·         Обеспечить защиту физического доступа к ТС
·         Отключить Intel ATM, а это достаточно сложная процедура и не всё будет работать корректно
·         Опечатывание USB и других средств ввода-вывода
·         Настройка изолированной среды на средствах зыщиты от НСД, что довольно трудоемкая и мешающая обычной работе процедура.


С другой стороны, по этой уязвимости много вопросов:
·         В БДУ ФСТЭК России нет информации о затронутых систем, платформ, нет описания, нет степени критичности, нет вектора атаки или другой подробной информации об уязвимости
·         В качестве источника информации об уязвимости приведена ссылка на Хабр, который не является специализированным ресурсом для публикации и долговременного хранения информации об уязвимостях. В любой момент администраторы ресурса могут скрыть статью, убрать в песочницу и т.п.
·         В статье на Хабре также фактически отсутствуют какие то подробности об уязвимости и приводится приглашение на вебинар и анонс того что подробности об уязвимости будут раскрыты на Black Hat Europe.
·         На вебинаре по Intel ME также не было никакой информации об указанной уязвимости, за исключением нескольких подсказок и намеков секции вопросов и ответов.
·         Остается только наедятся на Black Hat. Но ведь доклад там может и не состоятся: отзовут визу, докладчика не выпустят из-за доступа к ГТ, либо из-за неоплаченных штрафов, а ещё докладчик может заболеть.
·         Не подставляется ли ФСТЭК России, публикуя такое серьезное информационное сообщение, не имеющее под собой никаких фактических оснований?  


Из того что пока мне удалось узнать об уязвимости (но это не точно): процессоры Skylake (а такие в продаже в РФ с конца 2015 года), используется технология аппаратной отладки (JTAG) через локальное подключение к USB порту по технологии Intel Direct Connect Interface (DCI)…..

2 комментария:

Роман комментирует...

Сергей, я, видимо, что-то упустил. А с каких пор для ГИС3 и ИСПДн3/4 нужны СОВ?

Сергей Борисов комментирует...

Читайте последний абзац Информационного сообщения ФСТЭК России, которому и посвящена данная статья