Журнал "Information Security/ Информационная безопасность" #3, 2024

Существует миф, что тонкий клиент – априори безопасная система, ведь ника- кая информация на нем не хранится и не обрабатывается, а значит, зло- умышленникам нет смысла пытаться туда проникнуть. Это заблуждение активно поддержи- вается глобальными вендорами, которые при описании преимуществ своих тонких клиентов обязательно добавляют пункт Secure – мол, безопасный. Но реальная безопасность тонких кли- ентов заключается в наборе используе- мых технологий и в первую очередь – в операционной системе, как правило, базирующейся на Linux. Впрочем, есть и другой подход. KasperskyOS – другой подход к безопасности KasperskyOS – это микроядерная опе- рационная система, на базе которой разрабатываются кибериммунные про- дукты. Она разработана по принципу Secure by Design, то есть безопасна уже по своей природе и не требует наложен- ных средств защиты. Это результат серьезного научного исследования, в которое "Лаборатория Касперского" вложила 15 лет работы. Одно из практических продуктов Kas- perskyOS – специализированная опера- ционная система для тонких клиентов Kaspersky Thin Client. В данный момент в России она устанавливается на плат- форме TONK TN1200. За рубежом это решение известно под названием Cen- term F620 и уже доступно с предуста- новленной ОС Kaspersky Thin Client в Малайзии, Индонезии, Швейцарии, Австрии, ОАЭ, Королевстве Саудовской Аравии и других странах. Кибериммунный тонкий клиент – это практическое подтверждение того, что можно строить системы, безопасные по дизайну. А главный вклад в киберим- мунность дает микроядерная архитекту- ра KasperskyOS. Микроядро для сокращения поверхности атаки Обычный подход, в том числе и миро- вой, при разработке операционных систем для применения в тонких клиен- тах – усечение образа монолитного ядра операционных систем Linux и Unix, раз- мер которых исчисляется гигабайтами. Поэтому для сокращения объема часть компонентов вырезается из образа, попутно образуя риски для стабильности работы. Микроядерная архитектура строится в обратном направлении – на суперком- пактное и выверенное ядро наклады- ваются только компоненты, необходи- мые для конкретного применения. Мик- роядро контролирует все компоненты вокруг себя и их взаимодействия с другом. Дело в том, что в монолитной архи- тектуре взаимодействие между компо- нентами происходит напрямую, а при микроядерном подходе все запросы про- ходят через ядро. Это дает богатейшие возможности по контролю безопасно- сти. За счет добавления только необходи- мых компонентов сокращается поверх- ность атаки. Для сравнения: ядро Linux содержит 35 млн строк кода, а в Kasper- skyOS – всего несколько десятков тысяч. Почти 90% уязвимостей, которые при- сущи монолитным ядрам, на микроядре или просто не будут существовать или будут иметь низкую степень критичности с точки зрения безопасности. Компактное ядро и проблема обновлений Размер образа ОС Kaspersky Thin Client версии 2.0, развернутого на тонком кли- енте, составляет не более 700 Мбайт, а дистрибутив (сжатый образ) для доставки из источника обновления до тонких клиентов – не более 300 Мбайт. Это достаточно маленький объем даже в сравнении с другими операционными системами для тонких клиентов. Отсюда следуют несколько важных особенно- стей. Во-первых, устройства под управле- нием Kaspersky Thin Client становятся нетребовательными к аппаратным ресур- сам. Сейчас операционная система для тонких клиентов "Лаборатории Каспер- ского" работает на аппаратной плат- форме TONK TN1200. Но компактный образ Kaspersky Thin Client позволяет им работать и на другом оборудовании, в том числе с довольно скудной аппа- ратной спецификацией. Во-вторых, решается проблема с обновлениями. Высокая периодичность обновлений на операционных системах с монолитным ядром объясняется необходимостью доставки патчей без- опасности, а это огромная нагрузка на сеть. Особенно это критично для слабых каналов в регионах, а надо отметить, тонкие клиенты часто используются в географически распределенных инфраструктурах. Благодаря кибериммунности регуляр- ные обновления для Kaspersky Thin Client в принципе не нужны. Следствием мини- мальности поверхности атаки является полное отсутствие патчей безопасности. Единственный случай, когда необходимы обновления, – если заказчик хочет полу- чить новую функциональность. Посмотрим на пример. Ретейл и банки – частые пользователи тонких клиентов. Если в каком-либо магазине или банке парк тонких клиентов не заве- дется только из-за того, что образ в несколько гигабайт не обновился за ночь, это – серьезные потери для бизне- са. В случае использования Kaspersky Thin Client такая ситуация исключена. На что распространяется кибериммунность? Используя тонкие клиенты "Лабора- тории Касперского", заказчик не просто 46 • СПЕЦПРОЕКТ Кибериммунитет для тонких клиентов сть разные взгляды на тонкие клиенты и принципы построения их архитектуры. И хотя самих тонких клиентов на российском рынке не так много, решение “Лаборатории Касперского” явно выделяется среди всех за счет заложенной в нем кибериммунности. Разберемся, что это означает на практике и какие инструменты для контроля и управления это дает для специалистов по информационной безопасности. Е Михаил Левинский, старший менеджер по продукту, “Лаборатория Касперского” Фото: Лаборатория Касперского