Kaspersky embedded systems security что это

Обновлено: 07.07.2024

Режим «Запрет по умолчанию» не позволяет запускать без одобрения администратора любые исполняемые файлы, драйверы и библиотеки, помимо базового ПО и средств защиты, на любых банкоматах или в POS-системах.

Функция «Контроль устройств» отслеживает попытки физического подключения USB-устройств к системе и не позволяет подключить неавторизованные устройства к банкомату или терминалу. Таким образом блокируется одна из главных уязвимостей, которую киберпреступники регулярно используют как точку входа в систему.

• Поддержка всех версий Windows Embedded: от Windows XP до Windows 10 IoT

Официальная поддержка Windows XP Embedded была прекращена 12 января 2016 года. Windows Embedded for Point of Service не поддерживается с 12 апреля 2016 года. Для семейства Windows XP больше недоступны обновления безопасности и техническое сопровождение. Решение Kaspersky Embedded System Security (для банкоматов и точек мгновенной оплаты) полностью поддерживает работу с семейством Windows XP.

• Архитектура, рассчитанная на работу со встроенными системами

Данное решение полноценную защиту на низкопроизводительных аппаратных платформах, котороми оборудованы большинство банкоматов и касс. Системные требования программы минимальны – от 256 МБ оперативной памяти и 50 МБ места на диске. В режиме «по требованию» антивирусный модуль устанавливается отдельно и запускается только во время ручных или плановых проверок.

• Интеграция с Kaspersky Security Network

Согласно требованиям PCI DSS, все системы, через которые принимаются кредитные и дебетовые карты, должны быть снабжены регулярно обновляемой антивирусной программой. Kaspersky Security эффективно защищает от вредоносного ПО, а также обеспечивает регулярное обновление – автоматически или вручную – базы вредоносных сигнатур. Поскольку свыше половины всего вредоносного ПО, обнаруженного в системах банкоматов и POS, было запущено посредством эксплойтов «нулевого дня», «Лаборатория Касперского» рекомендует также пользоваться для защиты аналитическими данными облачной сети Kaspersky Security Network: это позволит предотвратить атаки на основе эксплойтов, снизить возможный вред и минимизировать время реагирования.

Россия, г. Москва

Адрес: 127015, г. Москва, ул. Вятская, д. 49, стр. 1, этаж 3, ком. 318

Kaspersky Embedded Systems Security — решение для защиты банкоматов, платежных терминалов и других встроенных систем.

Выпуск обновленной версии с обеспечением целостности файлов и защиты памяти процесса

27 июля «Лаборатория Касперского» представила обновленную версию решения Kaspersky Embedded Systems Security для защиты банкоматов, POS-терминалов и терминалов самообслуживания. Новые функции помогут компаниям соблюдать требования регулирующих органов и отражать наиболее сложные атаки, в том числе с участием инсайдеров.

В связи с усложнением атак на финансовые организации в целом и на банкоматы в отдельности «Лаборатория Касперского» расширила возможности Kaspersky Embedded Systems Security. Так, в ответ на распространение бесфайловых зловредов, которые «живут» в памяти устройства и полностью удаляются при его перезагрузке, в обновленном решении появилась функция защиты памяти процесса. Благодаря этому специалисты по информационной безопасности смогут исключить запуск в памяти операционной системы банкомата или POS-терминала вредоносного ПО, в том числе вирусов-шифровальщиков.

Помимо этого, в Kaspersky Embedded Systems Security появилась функция мониторинга целостности файлов, которая отслеживает изменения в них, помогая своевременно распознавать уязвимости или заражения. Возможность анализа журналов событий Windows позволяет выявлять аномальную активность. А интеграция решения с SIEM-системами способствует агрегации всех данных о событиях в ИТ-инфраструктуре в рамках единого корпоративного центра управления информационной безопасностью.

В целом же, по словам разработчиков, все нововведения в совокупности с уже существующими функциями Kaspersky Embedded Systems Security делают инфраструктуру более прозрачной — любые попытки вмешательства в работу устройств будут оперативно выявлены. Этому, в частности, будут способствовать и функция «Запрет по умолчанию», разрешающая исполнение лишь заранее авторизованных процессов, и контроль запуска программ, и мониторинг подключаемых устройств, и централизованное управление сетевым экраном.

Обнаружена опасная уязвимость, позволяющая хакерам получить все деньги из банкомата

В июле 2017 года компания Positive Technologies сообщила, что ее эксперт Георгий Зайцев обнаружил уязвимость в компоненте Application Control, входящем в состав специализированной защиты для встроенных систем Kaspersky Embedded Systems Security версий 1.1 и 1.2.

Ошибка была найдена в ходе аудита защищенности банкомата, на котором был установлен этот программный продукт. Эксплуатация обнаруженной уязвимости потенциально позволяла злоумышленнику в конечном счете осуществить установку неизвестного ПО на банкомат, а затем ― развить атаку вплоть до снятия всех денег из устройства, говорят в Positive Technologies.

В «Лаборатории Касперского» благодарны Positive Technologies за то, что она сообщила разработчику об обнаруженных уязвимостях.

В частности, злоумышленник имел возможность загрузить сервис Kaspersky Embedded Systems Security до такого состояния, что он оказывался не в состоянии в отведенное время обрабатывать запросы на проверку запуска файлов. Это, в свою очередь, позволяло атакующему запускать любые приложения не из белого списка. Таким образом злоумышленник получал возможность запускать на банкомате .exe-файлы (например, с флешки или по сети) для повышения своих привилегий в системе, ее заражения или просто для снятия всех имеющихся в устройстве денег.

Поскольку Kaspersky Embedded Systems Security позволяет сохранять результаты, для того чтобы избежать пересчета хеш-суммы при последующих запусках, этот метод сработает только при первом запуске файла, говорят в компании.

В Positive Technologies сообщили также, что «Лаборатория Касперского» уже выпустила патч для устранения найденной уязвимости в версиях решения 1.1 и 1.2. В этом же патче была исправлена еще одна найденная экспертами Positive Technologies уязвимость, позволяющая отключать функциональность Application Control путем отправки специального запроса к драйверу klif.sys. В новой версии Kaspersky Embedded Systems Security 2.0 данные уязвимости отсутствуют.

В «Лаборатории Касперского» заявили TAdviser, что уязвимости, о которых сообщает Positive Technologies, не позволяли напрямую снимать деньги из банкоматов. Для того, чтобы атака привела к негативным последствиям, должны были бы сработать сразу несколько факторов: так, прежде чем использовать уязвимости, атакующий должен был бы найти способ заразить систему, обойдя защитные компоненты решения, и запустить внутри ОС вредоносное ПО, объяснили в компании.

Последний пакет обновлений, выпущенный 23 июня 2017 г., защищает пользователей Kaspersky Embedded Systems Security от тех уязвимостей, о которых сообщает Positive Technologies, добавили в «Лаборатории Касперского».

В компании не уточнили TAdviser, в каком количестве банкоматов и каких именно банков установлено решение Kaspersky Embedded Systems Security. В Positive Technology тоже не рассказали, на банкомате какого банка с этим ПО проводился аудит.

По информации из открытых источников, Kaspersky Embedded Systems Security используют, например, банкоматы банка «Кубань Кредит». В конце 2017 года запрос предложений на поставку этого ПО на закрытой площадке также проводил еще один банк, название которого не указано. В последнем случае банку требовались 3,5 тыс. лицензий Kaspersky Embedded Systems Security для защиты банкоматов.

2016: Премьера решения

В мае 2016 года «Лаборатория Касперского» выпустила решение для защиты банкоматов, POS-терминалов и терминалов самообслуживания – Kaspersky Embedded Systems Security.

В решении «Лаборатории Касперского» реализованы технологии, позволяющие бороться с наиболее распространенными способами атак на эти виды устройств. Благодаря режиму «Запрет по умолчанию» в системе исполняются только те файлы, драйверы и библиотеки, которые явно разрешены администратором. Это дает возможность защитить банкоматы и платежные терминалы от сложных целенаправленных угроз, таких как Tyupkin и Skimer, на уровне конечных устройств.

С помощью режима «Контроль устройств» — блокируются попытки физического подключения неавторизованных USB-накопителей к этим видам машин. Таким образом закрывается одна из главных уязвимостей, регулярно используемых киберпреступниками для получения доступа к системе.

Продукт полностью совместим со всеми актуальными версиями Windows, а также Windows XP Embedded, Windows Embedded 8.0 Standard, а также с Windows 10 IoT. Системные требования минимальны — от 256 Мб оперативной памяти и 50 Мб места на диске.

Решением можно управлять через единую централизованную консоль администрирования Kaspersky Security Center. Продукт интегрирован с облачным сервисом Kaspersky Security Network (KSN), что позволяет получать аналитические данные об угрозах в режиме реального времени и предотвращать атаки эксплойтов нулевого дня. Также он выполняет требования стандарта безопасности данных индустрии платежных карт (PCI DSS), согласно которому системы, работающие с банковскими картами, должны быть снабжены регулярно обновляемым антивирусом.

Продукт отличается от Endpoint Security прежде всего тем, что антивирусный модуль является опциональным (можно не устанавливать), а основной функционал - это "белые списки" и запрет по-умолчанию (Default Deny). Продукт разработан в соотвествие с требованиями PCI DSS, малотребователен к ресурсам и поддерживает основные операционные системы, используемые во встраиваемых устройствах:

Основные преимущества

Низкие требования к аппаратным ресурсам

Архитектура решения позволяет ему эффективно работать даже на низкопроизводительном оборудовании: Kaspersky Embedded Systems Security обеспечивает надежную защиту, не перегружая систему.

Оптимизация для работы с Windows ® XP

Около 90% банкоматов по-прежнему используют ОС семейства Windows XP, поддержка которого прекращена производителем. Решение Kaspersky Embedded Systems Security оптимизировано для полнофункциональной работы на платформе Windows XP, так же, как и на ОС Windows 7, Windows 2009 и Windows 10 IoT.

Поддержка безопасных изолированных сетей

Базу сигнатур вредоносного ПО можно обновлять как автоматически (через интернет), так и вручную — эта возможность предусмотрена для безопасных изолированных сетей, которые зачастую применяются для банкоматов и POS- систем. При использовании сценария «Запрет по умолчанию» обновления не требуются.

Интеграция с облачной сетью безопасности

Использование аналитических данных об угрозах, получаемых в режиме реального времени от облачной сети безопасности Kaspersky Security Network, обеспечивает максимальную эффективность технологий «Лаборатории Касперского». Благодаря этой интеграции решение защищает корпоративные системы даже от новейших угроз, включая эксплойты нулевого дня.

Централизованное управление

Политики безопасности, задачи обновления сигнатур и проверки на вирусы, а также мониторинг результатов — всем этим легко управлять через единую централизованную консоль администрирования Kaspersky Security Center. Всеми средствами защиты можно управлять через любую локальную консоль: это особенно важно при использовании изолированных, разделенных сегментов сети, в которые обычно объединяются банкоматы и POS-терминалы.

Сценарий «Запрет по умолчанию»

Последние годы растет количество вредоносного ПО, созданного специально для атак на банкоматы и POS-терминалы (примеры таких атак — Tyupkin, Skimer, Carbanak). Большинство традиционных антивирусных решений не обеспечивают полной защиты от таких сложных целенаправленных угроз. При использовании сценария «Запрет по умолчанию» в системе исполняются только те файлы, драйверы и библиотеки, которые явно разрешены администратором. Это позволяет защититься от комплексных атак на встроенные системы.

Контроль устройств

Функция контроля устройств, реализованная в решении, позволяет контролировать доступ к системе USB-носителей. Закрытие доступа неавторизованным устройствам блокирует для киберпреступников один из основных путей проникновения во встроенные системы.

Поддержка популярных версий Windows: от Windows XP до Windows 10

Решение Kaspersky Embedded Systems Security полностью поддерживает работу с семейством Windows XP (в том числе с Windows XP Embedded и Windows Embedded for Point of Service), несмотря на то, что его официальная поддержка прекращена и для него недоступны обновления безопасности и техническое сопровождение со стороны Microsoft.

Архитектура, рассчитанная на работу с Windows Embedded

Решение «Лаборатории Касперского» рассчитано на полноценную работу на низкопроизводительных аппаратных платформах, которыми оборудованы большинство банкоматов и POS-систем. Системные требования к оборудованию минимальны. При использовании режима проверки по требованию решение обращается к аппаратным ресурсам только во время проверок на вирусы.

Надежная защита от вредоносного ПО

Согласно требованиям PCI DSS, все системы, которые работают с банковскими картами, должны быть снабжены регулярно обновляемым антивирусом. Kaspersky Embedded Systems Security полностью соответствует этим требованиям.

Системные требования

Общие требования:

x86-совместимые системы в однопроцессорной и многопроцессорной конфигурации.

Объем дискового пространства:

• при установке компонента Контроль запуска программ — 50 МБ;
• при установке всех программных компонентов — 500 МБ.

Объем оперативной памяти:

от 256 МБ (при установке компонента Контроль запуска программ на устройстве под управлением 32-разрядных операционных систем Microsoft Windows XP Embedded / Windows XP / Windows Embedded POSReady 2009) до 2 Гб.

Программные требования к операционной системе:

Для установки и работы решения на устройстве под управлением Windows XP требуется наличие Microsoft Windows Installer 3.1.

32-разрядные ОС Microsoft Windows:

• Windows XP Embedded
• Windows XP
• Windows Embedded POSReady 2009
• Windows Embedded Standard 7
• Windows Embedded POSReady 7
• Windows 7
• Windows Embedded 8.1 Industry Pro
• Windows Embedded 8.0 Standard.
• Windows 8
• Windows 8.1
• Windows 10 Enterprise

Защита обеспечивается с помощью гибких инструментов настройки и использования режима «Запрет по умолчанию». Антивирус является дополнительной опцией и может быть установлен только там, где он необходим. При использовании только режима «Запрещено по умолчанию», решение не требовательно к системным ресурсам.

Функциональные возможности

Системные требования

Система должна отвечать перечисленным ниже аппаратным и программным требованиям:

Для установки KESS использовался банкомат NCR-5877 Personas CEN-L с операционной системой Windows XP SP3.

KESS предлагает несколько способов установки:
- С помощью мастера установки;
- Из командной строки;
- Через KSC;
- Через групповые политики Active Directory®.

В нашем тестировании мы использовали 3-ий вариант.
Для этого необходимо создать задачу удалённой установки программы в KSC и выбрать инсталляционный пакет:

Далее, необходимо указать параметры установки и выбрать компьютер или группу для которой будет выполнена установка:

На следующем шаге необходимо добавить учётную запись, имеющую права для установки программ на данном устройстве:

После введенных данных запускается установка, при этом, в консоли администрирования будет отображаться процесс установки :

Интерфейс KESS информативный и понятный. В первоначальном окне отображается информация о состоянии: защиты, контроля устройств и приложений, обновлении и сети. В левой части данной консоли управления располагаются вкладки выполнения настроек.

Тест производительности системы без KESS показывает загрузку ЦПУ на уровне 3-6% и 468 МБ использованной оперативной памяти.

После установки KESS (включая все компоненты защиты: контроль приложений и устройств, антивирусная защита) на банкомат загрузка ЦПУ колебалась в пределах 5%-10%, загрузка оперативной памяти выросла и составила 638МБ.

Работа с продуктом Kaspersky Embedded Systems Security

В ходе тестирования мы рассмотрим работу с клиентской частью KESS и возможности управления через сервер удалённого администрирования KSC.

После установки необходимо создать правила контроля запуска программ. Данная задача позволяет автоматически сформировать список разрешающих правил контроля запуска программ на основе указанных типов файлов из указанных папок. В дальнейшем KESS будет разрешать запуск программ, для которых были автоматически сформированы разрешающие правила. Для этого в мастере создания задачи необходимо выполнить «Генерацию правил контроля запуска программ».

Указываем область сканирования, и формат исполняемых файлов (*.exe, *.dll, *.msi, скрипты):

При формировании разрешающих правил существует возможность использовать цифровой сертификат и его заголовок с отпечатком. При использовании данной функции наиболее строго ограничивается срабатывание разрешающих правил запуска программ по цифровому сертификату, так как отпечаток является уникальным идентификатором цифрового сертификата.

По завершении задачи автоматически сформированные списки разрешающих правил будут сохранены в указанной общей сетевой папке в файлах формата XML. Этот файл можно будет использовать в дальнейшем для распространения уже в качестве готовых правил приложений на другие аналогичные устройства.

Теперь запуск исполняемого файла, не входящий в список доверенных будет заблокирован. В процессе тестирования нами использовался файл «Putty.exe». Данное приложение является неизвестным и запуск запрещён настройками, о чём свидетельствует запись с подробным описанием. Аналогичная запись появится и в журнале на сервере администрирования.

В KSC, во вкладке Политики, выполняется остальная настройка всех параметров защиты KESS:

Оповещения о событиях

В данном разделе, осуществляется настройка оповещения обо всех произошедших событиях. Они отсортированы по степени угрозы. На каждый тип события возможно сформировать уведомление и способ его получения: sms, e-mail, запуск исполняемого файла, по SNMP. Также отключить любые уведомления на клиентских устройствах.

Доверенная зона

В разделе Параметры программы, настраивается Доверенная зона (позволяет сформировать список исключений из области защиты или проверки, который KESS будет применять в задачах проверки по требованию и постоянной защиты файлов).

В случае обнаружения вредоносного объекта, KESS немедленно заблокирует доступ к данному файлу:

Контроль устройств

В разделе Контроль компьютера осуществляется настройка правил контроля устройств. По умолчанию, все USB устройства заблокированы, и при попытке подключить съемное устройство, KESS заблокирует работу с ним. На сервере администрирования появится соответствующие запись в журнале и уведомление.

Для получения доступа к съемным носителям, необходимо добавлять их в список доверенных устройств, идентификация происходит по серийному номеру носителя или устройства:

После разрешения работы с данным устройством, оно станет доступно для работы:

Управление сетевым экраном

В разделе Защита сети осуществляется Управление сетевым экраном. Данная задача контролирует фильтрацию входящего и исходящего трафика с помощью разрешающих правил, которые форсировано сообщаются сетевому экрану Windows при выполнении задачи.

Права доступа

В этом разделе осуществляется настройка следующих параметров доступа к функциям программы:
- Параметры доступа пользователей и группы пользователей к управлению Kaspersky Embedded Systems Security;
- Параметры доступа пользователей и группы пользователей к управлению службой Kaspersky Security Service.

Данные настройки позволяют гибко настраивать разграничения доступа к KESS и KSC по учётным записям и возможности внесения изменений в настройки ПО. При закрытии доступа на локальное внесение изменений в работу KESS.

Рабочая область Kaspersky Security Center

Последние годы растет количество вредоносного ПО, созданного специально для атак на банкоматы и POS-терминалы (примеры таких атак — Tyupkin, Skimer, Carbanak).

Защитить встроенные системы особенно трудно: обычно они распределены географически, сложны в управлении и редко обновляются. Банкоматы и POS-системы привлекают киберпреступников тем, что они непосредственно связаны с финансовыми транзакциями, выдачей наличных денег и считыванием данных банковских карт. Таким устройствам требуется направленная защита высочайшего уровня.

Большинство традиционных антивирусных решений не обеспечивают полной защиты от таких сложных целенаправленных угроз. Требуется новый подход: для критически важных встроенных систем нужно применять технологии контроля устройств и запрета по умолчанию, которые уже подтвердили свою эффективность в других защитных решениях.

KESS позволяет использовать сценарий «Запрет по умолчанию» - когда в системе исполняются только те файлы, драйверы и библиотеки, которые явно разрешены администратором. Это позволяет защититься от комплексных атак на встроенные системы.

Архитектура решения позволяет ему эффективно работать даже на низкопроизводительном оборудовании - KESS обеспечивает надежную защиту, не перегружая систему.

Политики безопасности, задачи обновления сигнатур и проверки на вирусы, а также мониторинг результатов — всем этим легко управлять через единую централизованную консоль администрирования KSC. Всеми средствами защиты можно управлять через любую локальную консоль: это необходимо при использовании изолированных, разделенных сегментов сети, в которые обычно объединяются банкоматы и POS-терминалы.

© Все права защищены 2003-2021 г.
ООО "АРинтег"
Политика обработки персональных данных
Антикоррупционная политика ООО "АРинтег"

Читайте также:

  
• Что стало с компьютерной
  
• Как сделать скрин в одноклассниках с компьютера
  
• Какая из информационных услуг компьютерных сетей является исторически первой
  
• Как часто обновляется кэш сайта
  
• Как включить hdmi на телевизоре vestel