Более года шла разработка функции, которая позволит создавать секретные области памяти в Linux. Эти области будут видны только процессу-владельцу и не будут показываться другим процессам, а их содержимое будет недоступно ядру. Задачей этой подсистемы является повышение защиты.

К примеру, при использовании OpenSSL в пользовательском пространстве в этой области можно хранить закрытые ключи, что уменьшает вероятность их компрометации. Отдельно стоит отметить, что для скрытых таким образом областей памяти не предполагается использование шифрования или иных методов дополнительной защиты.

linuxhint.com

При этом по умолчанию эта функция отключена. Для её запуска во время загрузки системы нужно передать особый параметр. Функциональность секретной памяти и системный вызов memfd_secret скрыты за параметром secretmem_enable, по крайней мере, на данный момент. Само собой, пока это ранняя версия функции. Однако не стоит исключать, что в сборке ядра Linux 5.13 она уже станет доступна для использования.

Компания Zyxel Networks объявила о включении межсетевых экранов серии USG FLEX в список устройств, поддерживаемых централизованной системой управления сетью Zyxel Nebula. Решение «Единая сеть Nebula», как отмечается, сэкономит ресурсы при построении и управлении территориально-распределёнными сетями.

Многие компании и организации перевели часть сотрудников на дистанционную работу из дома. Однако это создаёт ряд сложностей. В их числе называются дополнительные риски утечек информации, новые проблемы управления, мониторинга и поддержки гибкого режима работы персонала.

«Благодаря добавлению межсетевых экранов USG FLEX в список совместимых с Nebula устройств системные администраторы смогут применять политики безопасности на основе правил, выявлять и пресекать подозрительные действия и события», — отмечает Zyxel.

Схема работы системы выглядит следующим образом. Если межсетевой экран USG FLEX обнаружит угрозу на любом из подключённых к корпоративной сети клиентских устройств, он автоматически синхронизирует информацию об этой угрозе с контрольным центром Nebula (Nebula Control Center) и принудительно запустит политики безопасности на всех точках доступа в локальной сети. Атакованные клиенты будут заблокированы или отправлены в карантин на границе сети для изоляции обнаруженной угрозы и предотвращения дальнейшего ущерба.

Решение предоставляет безопасный удалённый доступ к корпоративной информационной инфраструктуре. «С помощью Nebula системный администратор может применять все политики безопасности корпоративной сети и для сотрудников, работающих из дома, отеля или кафе», — подчёркивает Zyxel.

Ресурс ServeTheHome подтвердил, что компания Lenovo использует AMD Platform Secure Boot (PSB) для привязки процессоров AMD к своему оборудованию. Это означает, что если процессор был единожды запущен в составе платформы с необходимыми настройками PSB, то его нельзя будет использовать в системах других производителей. «Отвязать» такой CPU практически невозможно.

В частности, эта функция эффективно блокирует возможность использования ЦП на другой материнской плате или, по крайней мере, на материнской плате, не принадлежащей оригинальному производителю. AMD PSB использует встроенную в процессоры SoC AMD Secure Processor для аппаратного Root-of-Trust и управления другими функциями безопасности. По умолчанию PSB не включена, но каждый OEM-производитель волен использовать её по своему усмотрению.

Процессоры также по умолчанию разблокированы и могут быть использованы в любой платформе. Если таковой окажется система с активированной PSB, то в CPU будет намертво «зашита» информация о ключе, которым подписываются прошивки, BIOS/UEFI OEM-вендора. Это позволяет создать надёжную цепочку доверенной загрузки, начиная от «железа» и заканчивая ОС, что не только защищает от вмешательства в систему, но и предотвращает, к примеру, возможность кражи процессоров.

Однако в случае обновления системы путём установки другого CPU, старый фактически превращается в электронные отходы, если только он не попадает в руки того, у кого уже есть совместимая система. Если же материнская плата выйдет из строя, то владельцу придётся покупать новую плату у того же производителя. Причём это касается не только серверов — AMD PSB позволяет «привязывать» не только EPYC, но и AMD Ryzen Pro (Renoir и Cezanne) и Threadripper Pro.

Dell первой стала использовать PSB для привязки процессоров к своему оборудованию ещё во времена AMD EPYC 7001. Lenovo последовала её примеру и тоже стала использовать PSB в готовых системах. В свою очередь, HPE заявила, что не использует привязку CPU. Другие крупные вендоры, как правило, по умолчанию также не активируют привязку процессоров, но по желанию заказчика могут её включить.

В будущем дистрибутиве Fedora 34 ожидается появление новинки, которой пока нет ни у кого. В нём будет доступна sevctl — утилита с открытым исходным кодом для управления системой шифрованияя Secure Encrypted Virtualization (SEV) в процессорах AMD EPYC. Эта утилита отображает различные детали SEV, позволяет управлять сертификатами, состоянием платформы и так далее.

Она реализует все основные возможности, доступные через API для SEV. Технология SEV, напомним, позволяет изолировать виртуальные машины, шифруя их память по алгоритму AES (128 бит) с помощью уникальных ключей, управляемых отдельной SoC AMD Secure Processor, находящейся непосредствено внутри чипов EPYC.

Технология AMD появилась ещё в первом поколении процессоров EPYC 7001 (Naples). AMD внедрила поддержку SEV в ядро Linux и соответствующие части стека виртуализации с открытым исходным кодом. В EPYC 7002 (Rome) компания увеличила число доступных ключей шифрования памяти с 15 до 509, а в EPYC 7003 (Milan) появилось расширение SEV-SNP (Secure Nested Paging), которое защищает гостевые системы от попыток вмешательства в их память со стороны гипервизора.

Сама утилита sevctl выпущена под лицензией Apache 2.0 в рамках проекта Enarx для работы со средами доверенного исполнения различных поставщиков. Исходники её размещены на GitHub. Также она доступна в репозитории. А сам релиз Fedora 34 намечен на конец апреля этого года.

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) заключила контракт с Институтом системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН): документ предусматривает формирование специализированного центра исследования безопасности операционных систем на базе ядра Linux, разработку документации и создание программно-аппаратного комплекса центра.

Одной из главных целей инициативы называется снижение возможных социально-экономических последствий от компьютерных атак на критическую информационную инфраструктуру Российской Федерации. Это будет достигаться за счёт повышения уровня защищённости отечественных программных платформ с ядром Linux.

Кроме того, сотрудники новой структуры будут способствовать повышению качества и унификации российских Linux-систем. Проектом предусмотрено совершенствование отечественных средств разработки и тестирования ПО. Центр должен способствовать повышению квалификации Linux-разработчиков, а также совершенствованию нормативного и методического обеспечения процессов безопасной разработки программного обеспечения в России.

В результате выполнения работ должна быть решена задача по формированию отечественной ветки ядра Linux и обеспечению поддержки её безопасности при постоянной синхронизации с международными открытыми проектами по разработке ядра Linux. Планируется тестирование ядра Linux, используемого для создания отечественных ОС, включающее проведение архитектурного анализа, статического анализа исходного кода ядра, системного и модульного тестирования и полносистемного динамического анализа помеченных данных.

Сумма контракта составляет 300 млн рублей — по 100 млн рублей на 2021, 2022 и 2023 гг. Работы должны быть завершены до 25 декабря 2023-го. Финансирование будет осуществляться из федерального бюджета. Более подробно с информацией о проекте можно ознакомиться в карточке контракта.

Cisco представила на ежегодной конференции Cisco Live, прошедшей в полностью цифровом формате, новую стратегию Cisco Plus, которая упрощает потребление и применение сервисов и продуктов из её портфолио.

Cisco Plus предлагает в качестве услуги (as-a-service, *aaS) по унифицированной подписке решения для сетевого взаимодействия, обеспечения безопасности, вычислений, хранения, приложений и визуализации.

В течение многих лет существовал только один способ приобрести сетевое оборудование — по предоплате. Несколько лет назад Cisco представила модель подписки на программное обеспечение, в которой покупка оборудования и программного обеспечения была разделена. Согласно ней, заказчик платит сначала за оборудование, а затем за программное обеспечение через лицензию по подписке.

Основное различие между новой облачной моделью Cisco NaaS и предыдущей моделью подписки на программное обеспечение заключается в том, что у клиента нет необходимости в приобретении, развёртывании и поддержании собственной инфраструктуры. Он будет платить только за то, что использует, а затем сможет увеличивать свои расходы по мере включения новых функций или большего использования сети.

В этом календарном году Cisco представит ограниченный выпуск NaaS-решений, объединяющих сервисы сетевого взаимодействия, безопасности и визуализации для сетей доступа, WAN и облаков.

Возможности решений Cisco Plus NaaS:

• Бесшовное и безопасное подключение к провайдерам приложений и облачных сервисов;
• Гибкие модели доставки, включая оплату по мере использования и оплату при расширении;
• Сквозная визуализация от клиента до приложения и ISP;
• Унифицированный механизм политик, контролирующий права доступа пользователей;
• Безопасность во всем, а не в виде очередной точечной надстройки;
• Аналитика реального времени на базе ИИ/МО для контроля издержек и производительности;
• Интерфейсы API для всего стека технологий;
• Партнёры получают дополнительную выгоду и ускоряют предоставление сервисов.
• Развертывание NaaS начнется с облачных *aaS-решений для архитектуры SASE (secure access service edge).

*aaS-решение Cisco Plus Hybrid Cloud будет доступно с середины 2021 г., первоначально *aaS-решения будут ограниченно доступны в Австралии, Великобритании, Германии, Канаде, Нидерландах и США. Решение Cisco Plus Hybrid Cloud включает полное портфолио Cisco для ЦОД (вычисления, сеть, хранение) плюс ПО и СХД сторонних производителей, объединяя таким образом локальное, граничное и публичное облако.

Cisco также представила расширенную архитектуру SASE (Secure Access Service Edge) и полную защиту от оконечной точки до облака. Это логическое расширение продуктов Cisco Plus, поскольку многие решения, которые могут подпадать под портфель SASE, уже предлагаются как услуги. Такие продукты, как Umbrella, Duo и ThousandEyes, основаны на подписке, а аппаратные устройства SD-WAN — нет. Cisco Plus повысит уровень манёвренности и гибкости при развёртывании SASE.

Cisco также предлагает функции, которые раскрывают новые возможности применения SASE:

• Функция предотвращения потери данных в составе сервиса Cisco Umbrella позволяет обнаруживать и блокировать передачу конфиденциальных данных нежелательным адресатам.
• Функция изоляции браузера в составе сервиса Cisco Umbrella позволяет пользователям безопасно просматривать веб-сайты, защищая оконечные устройства и корпоративные сети от эксплойтов.
• Функция выявления облачного вредоносного ПО в составе сервиса Cisco Umbrella обнаруживает и удаляет вредоносное ПО из приложений облачного хранения данных.
• Расширение решения Cisco SD-WAN Cloud Onramp. Выпуск версии SD-WAN 17.5 на основе технологии Viptela расширяет возможности подключения к облаку. Теперь интеграция Cisco включает кроме AWS и Azure, в том числе, облака Google Cloud и Megaport. Кроме того, решение Meraki MX расширяет возможности подключения SD-WAN от филиалов до ресурсов в публичных облаках, таких как AWS, Azure и Alibaba.
• Интеграция New SD-WAN и сервиса Cloud Security. Интеграция Cisco Meraki MX с Cisco Umbrella, расширяя имеющуюся интеграцию сетей и систем безопасности Cisco SD-WAN с технологиями Viptela и Umbrella, ускоряет развертывание облачных систем безопасности для распределенных локаций и упрощает туннельное подключение по протоколу IPSec (Internet Protocol Security).
• Визуализация. Облачная и интернет-аналитика ThousandEyes в составе нового предложения SASE обеспечивает организациям обзор любой сети, позволяя быстро ликвидировать инциденты.
• Беспарольная аутентификация. Duo предлагает не зависящее от инфраструктуры решение беспарольной аутентификации, обеспечивающее бесшовную регистрацию с нулевым доверием, которое будет летом доступно для открытого предварительного тестирования.

Компания Cisco сообщила о разработке независимой от инфраструктуры беспарольной аутентификации Duo: данное решение, как ожидается, обеспечит безопасный доступ к различным ресурсам, в том числе к облачным сервисам.

Отмечается, что применение традиционных паролей сопряжено с множеством проблем: их, в частности, легко скомпрометировать и ими трудно управлять. Кроме того, запросы на восстановление паролей составляют львиную долю заявок в службы техподдержки, что оборачивается потерянным временем и дополнительными финансовыми расходами.

Решение беспарольной аутентификации Duo Passwordless Authentication, бесшовно интегрированное в существующую систему аутентификации Duo, базируется на использовании ключей безопасности и биометрических данных. Последние могут сниматься при помощи датчиков, интегрированных в современные ноутбуки и смартфоны.

Новая система обладает универсальностью: она обеспечивает безопасный доступ любого пользователя с любого устройства к любому ИТ-приложению в любой среде. Говорится о совместимости с технологиями Apple FaceID, TouchID и Windows Hello. Для внедрения системы компаниям не придётся менять инфраструктуру. Используется стандарт веб-аутентификации WebAuthn, основанный на асимметричном шифровании и позволяющий безопасно хранить и верифицировать биометрию локально на  самом устройстве, без централизованной базы данных.

«Решение не зависит от инфраструктуры и открывает путь к беспарольному будущему. Оно обеспечивает бесшовную защиту любой комбинации облачных и локальных приложений предприятия, не требуя наличия множества аутентификационных продуктов и не оставляя критичных брешей в защите», — заявляет Cisco. Открытое тестирование Duo Passwordless Authentication будет начато этим летом.

Интернет-источники сообщают о том, что взлом компании Ubiquiti, специализирующейся на сетевых продуктах и устройствах для Интернета вещей (IoT), на деле был гораздо более серьёзным, нежели говорилось в официальных заявлениях. В январе, напомним, Ubiquiti оповестила клиентов о необходимости смены паролей в связи с риском утечки персональной информации.

Тогда в компании сообщили о несанкционированном доступе к одной из своих систем, работа которой поддерживается сторонним облачным провайдером. Причём Ubiquiti подчёркивала, что незаконная активность, связанная со взломом, не наблюдалась. Однако эксперт (пожелал остаться неизвестным), помогавший компании в решении проблемы, рассказал Krebs on Security, что на деле ситуация обстояла совершенно иным образом.

По его словам, атака носила катастрофический характер. Утверждается, что нападавшие получили полный доступ к базам данных Ubiquiti на платформе Amazon Web Services (AWS). Более того, злоумышленники смогли обеспечить себе доступы с правами администратора к серверам и данным компании в AWS. В результате атаки нападавшие теоретически могли получить возможность дистанционной авторизации на миллионах устройств Ubiquiti по всему миру.

Отмечается, что в рамках предоставляемых услуг AWS отвечает за безопасность серверного оборудования и базового программного обеспечения, тогда как клиент (в данном случае Ubiquiti) должен организовать защиту своих данных. Иными словами, во взломе виновата сама Ubiquiti. Компания же предпочла умолчать о последствиях взлома, дабы не портить свою репутацию и не наносить ущерба бизнесу, и устранила найденные бреши.

Компания Cisco опубликовала результаты исследования, посвящённого вопросам ускорения цифровой гибкости Accelerating Digital Agility Research и построенного на результатах опроса, проведенного компанией Censuswide в ноябре 2020 г. среди более 23 тыс. директоров по информатизации и ответственных руководителей ИТ-служб в 34 странах.

Ключевые результаты исследования (общемировые данные):

• Большинство респондентов считают, что организациям необходимы надёжно защищённый доступ к сети и эффективные средства совместной работы. 89 % респондентом назвали главным для работы организации сохранение безопасности, контроля и управления для пользовательских устройств, сетей, облаков и приложений. 86 % участников опроса отметили важность обеспечения распределённых работников бесшовным доступом к приложениям и высококачественным средствам совместной работы, 88 % настаивают на необходимости обеспечения безопасности средств удалённой работы и защиты информации клиентов и работников в распределённой рабочей среде.
• ИТ-службам необходимо оптимизировать пользовательский опыт. Более 75 % разделяют мнение по поводу того, что пользовательский опыт должен быть нацелен скорее на комфорте, чем на удовлетворенности. 89 % опрошенных считает, что для достижения наилучшего пользовательского опыта необходимо стабильное функционирование приложений, как с инфраструктурной, так и с прикладной точки зрения. При этом 86 % респондентов полагают, что инфраструктуру нужно наделить той же динамичностью, что у прикладного ПО, так как это поможет удовлетворить меняющиеся требования приложений и их разработчиков к политикам и оптимизации. Подавляющее большинство (90 %) считает, что для соответствия требованиям регулятора без замедления течения бизнеса необходимо обеспечение безопасности от приложения до инфраструктуры.
• Обеспечение маневренности, скорости, масштабируемости и безопасности стимулирует внедрение решений для гибридных облачных сред и архитектуры SASE (Secure Access Service Edge). 84 % участников придерживаются свободного выбора облачной среды — будь то локальное облако, публичное, частное или сервис SaaS. При этом 86 % считают необходимым иметь стабильную операционную модель для всех сред.
• Почти 70 % респондентов внедрили решения SASE. 61 % объяснил этот шаг необходимостью защиты облачных приложений, 56 % считает, что это позволит идти в ногу с современными тенденциями, 37 % сделали потому, что их работники остаются в распределённом режиме.
• Вне зависимости от способа размещения их решений, заказчики предпочитают облачную модель потребления. 73 % респондентов внедрили *aaS-решения, 76 % используют гибкие модели потребления. Три четверти участников опроса считают, модель *aaS лучшей для конечных пользователей и ИТ-служб, а также что это поможет им достичь операционной стабильности. 76 % респондентов полагают, что модель *aaS улучшит их результаты, а 77 % — что она позволит упростить процессы и снизить риски.
• 85 % опрошенных уверены, что критичную роль в отрасли будет играть способность привлекать и удерживать специалистов. В ближайшие 12 месяцев 49 % респондентов будут заниматься повышением квалификации своих специалистов и 46 % — готовить кадры в новых сферах.
• В 2021 году 90 % респондентов намерены продвигать внутренние инициативы, связанные с экологической устойчивостью (50 %), психологическим здоровьем работников (50 %), конфиденциальностью (47 %), разнообразием и инклюзивностью (47 %). Также большая часть респондентов (85 %) направят усилия на осуществление внешних социально-ориентированных инициатив, включая вопросы, связанные с цифровым неравенством (39 %), проблемами здравоохранения (37 %), глобальным потеплением (35 %), социальной справедливостью (34 %), правами человека (33 %), дезинформацией, или фейковыми новостями (31 %), бедностью, голодом и беспризорностью (28 %).

Приоритеты для российской ИТ-отрасли во многом схожи с мировыми. Например, в 2021-22 гг. 60 % респондентов намерены инвестировать в сетевую безопасность, 58 % участников опроса — в облачные приложения, 55 % — в технологии для совместной работы, 51 % — в облачную безопасность. 90 % респондентов на первое место поставили обеспечение безопасности, контроля и управления для пользовательских устройств, сетей, облаков и приложений, а также стабильности функционирования приложений в прикладной среде и инфраструктуре для повышения комфорта пользователей.

71 % опрошенных сообщили, что их организации уже внедрили SASE-решения для безопасного подключения распределенных сотрудников и приложений в многооблачной среде.  Половина ещё не внедривших SASE-решения, планируют сделать это, включая 64 % из них — в течение ближайшего года. В числе основных преимуществ решений для архитектуры SASE респонденты называют повсеместный доступ к ресурсам (71 %), интеграцию с облаком (65 %) и высокий уровень производительности приложений (63 %).

Около 70 % респондентов из России уже внедрили *aaS-решения. 59 % назвал их неоспоримым преимуществом поддержку устойчивости бизнеса, столько же — увеличение манёвренности, 58 % — рост продуктивности. 76 % опрошенных внедряют *aaS-решения, чтобы упростить процессы и устранить риски, 73 % — для улучшения рабочих условий для конечных пользователей, 72 % — чтобы автоматизировать приложения в публичном облаке или локально и столько же – чтобы расширить применение гибких моделей потребления.

В 2021 году 88 % респондентов сосредоточится на корпоративных социально-ориентированных направлениях. Из них 53 % отдаёт предпочтение защите конфиденциальной информации, на важность расширения разнообразия и инклюзивности трудовых коллективов указало 49 % опрошенных, сохранение психологического здоровья сотрудников — 43 % и поддержание экологической стабильности — 32 %. 77 % респондентов в наступившем году займутся решением внешних социально-ориентированных задач, включая устранение цифрового неравенства (35 %), развитие здравоохранения (35 %) и достижение социальной справедливости (35 %).

Компания «Смарт Лайн Инк» (SmartLine Inc) объявила о выпуске новой версии программного комплекса DeviceLock DLP 9.0, предназначенного для предотвращения утечек данных в корпоративных сетях.

С помощью DeviceLock DLP службы информационной безопасности могут оперативно реагировать на инциденты утечки данных. Решение осуществляет мониторинг и протоколирование доступа пользователей к периферийным устройствам, портам ввода-вывода, сетевым приложениям и протоколам. Ключевым элементом системы является легковесный исполнительный агент, устанавливаемый на каждой контролируемой рабочей станции.

Отличительной особенностью DeviceLock DLP версии 9.0 является новый опциональный компонент DeviceLock User Activity Monitor (UAM), который позволяет расширить доказательную базу при расследовании инцидентов ИБ за счёт записи действий сотрудника на рабочем месте. Также в продукте появился новый отчёт «Пользовательские досье» (User Dossiers), упрощающий аудит информационной безопасности и повышающий прозрачность потоков данных и связанных с ними действий посредством статистического обзора действий пользователей с наглядным графическим представлением. Отдельный акцент делается на реализации поддержки Elasticsearch, расширившей область сканирования и обнаружения утечек данных.

Дополнительная информация о программном комплексе, а также технические данные и сведения о стоимости продукта, представлены на сайте devicelock.com.