ИБ. ФСТЭК и уязвимость Intel ME
ИБ сообщество почти не обратило
внимания на недавнее информационное сообщение ФСТЭК России об уязвимости Intel
Management Engine. А между тем значение оно имеет существенное значение для
защиты ГИС и ИСПДн (compliance).
Во-первых, для всех ИС,
подключенных к сети Интернет, а таких подавляющее большинство, требуется
применение средств обнаружения вторжений уровня сети и узла. Даже для ГИС К3 и ИСПДн УЗ 3-4.
Во-вторых, для всех ИС,
подключенных к сети Интернет, требуется применение межсетевого экрана типа “А”.
Формально получается, что МЭ, сертифицированные по старым требованиям (которые
разрешили использовать до модернизации ИС или переаттестации) уже не подходят.
Только МЭ типа “А” сертифицированныепо новым требованиям
В-третьих, требуется в обязательном порядке
обновить микропроцессорное ПО. Но сейчас такое обновление от Intel ещё
отсутствует. А если судить по времени реакции конечных вендоров на предыдущуюуязвимость Intel ME, то
это может затянуться ещё на + 6 месяцев. Кроме того, такие обновления необходимо
устанавливать локально. Что ещё больше увеличит время установки обновления.
На время отсутствия обновления
необходимо принять компенсирующие меры, в том числе:
·
Обеспечить защиту физического доступа к ТС
·
Отключить Intel ATM, а это достаточно сложная процедура и не всё будет работать
корректно
·
Опечатывание USB и других средств ввода-вывода
·
Настройка изолированной среды на средствах
зыщиты от НСД, что довольно трудоемкая и мешающая обычной работе процедура.
С другой стороны, по этой
уязвимости много вопросов:
·
В БДУ ФСТЭК России нет информации о затронутых
систем, платформ, нет описания, нет степени критичности, нет вектора атаки или
другой подробной информации об уязвимости
·
В качестве источника информации об уязвимости приведена
ссылка на Хабр, который не является специализированным ресурсом для публикации и
долговременного хранения информации об уязвимостях. В любой момент администраторы
ресурса могут скрыть статью, убрать в песочницу и т.п.
·
В статье на Хабре также фактически отсутствуют какие
то подробности об уязвимости и приводится приглашение на вебинар и анонс того
что подробности об уязвимости будут раскрыты на Black Hat Europe.
·
На вебинаре по Intel ME также
не было никакой информации об указанной уязвимости, за исключением нескольких
подсказок и намеков секции вопросов и ответов.
·
Остается только наедятся на Black Hat. Но ведь доклад там может
и не состоятся: отзовут визу, докладчика не выпустят из-за доступа к ГТ, либо
из-за неоплаченных штрафов, а ещё докладчик может заболеть.
·
Не подставляется ли ФСТЭК России, публикуя такое
серьезное информационное сообщение, не имеющее под собой никаких фактических
оснований?
Из того что пока мне удалось
узнать об уязвимости (но это не точно): процессоры Skylake (а такие
в продаже в РФ с конца 2015 года), используется технология аппаратной отладки (JTAG)
через локальное подключение к USB
порту по технологии Intel Direct Connect Interface (DCI)…..
Комментарии