Intel SGX (Software Guard Extensions)

Продукт
Разработчики: Intel
Дата последнего релиза: 2020/10/15
Отрасли: Информационные технологии
Технологии: ИБ - Предотвращения утечек информации

Содержание

Основная статья: DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации

ПО Intel SGX (Software Guard Extensions) предназначено для защиты исходного кода и данных от несанкционированного доступа и изменения. Разработчики могут размещать свои приложения в укрепленных с помощью функций процессора анклавах или защищенных областях выполнения, которые повышают безопасность даже скомпрометированных платформ. Используя прикладной уровень этой среды доверенного выполнения, разработчики могут обеспечить конфиденциальность идентификационной информации и персональных данных, безопасный просмотр информации в Интернете и защиту авторских прав, а также укрепить защиту конечных систем или применять функции повышенной безопасности для хранения секретов или защиты данных.

2020: Внедрение в платформу Ice Lake в качестве функции в области безопасности

15 сентября 2020 года Intel представила функции в области безопасности для будущей платформы Ice Lake, созданной на базе масштабируемого семейства процессоров Intel Xeon 3-го поколения. Intel расширяет функционал безопасности, внедряя во все продукты платформы Ice Lake решение Intel Software Guard Extension (Intel SGX), а также другие технологии, включая Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) и ускорители шифрования для повышения конфиденциальности и целостности данных.

Возможности Ice Lake позволят клиентам Intel создавать более защищенные решения и снижать риски, связанные с конфиденциальностью данных и соблюдением требований регуляторов, например, в медицинской или финансовой отраслях.

«
Безопасность данных имеет большое значение при коммерциализации решений. Возможности представленной платформы на базе масштабируемого семейства процессоров Xeon 3-го поколения помогут нашим клиентам решить важные проблемы, связанные с данными, с их конфиденциальностью и целостностью. Это очередной этап развития партнерства в рамках созданной нами экосистемы для внедрения инноваций в области безопасности, – отметила Лиза Спелман (Lisa Spelman), корпоративный вице-президент Data Platform Group и генеральный менеджер Intel Xeon and Memory Group.

»

Intel SGX – это проверенная на практике TEE-технология конфиденциальных вычислений для центров обработки данных, с наименьшей поверхностью атаки. Она позволяет разместить в изолированных областях памяти, называемых анклавами, до 1 терабайта кода или данных выполняемого приложения.

«
Microsoft Azure была первым крупным общедоступным облачным сервисом, предлагающим конфиденциальные вычисления. Наши клиенты из финансовых организаций, государственных учреждений и здравоохранения используют конфиденциальные вычисления в Azure, – сказал Марк Руссинович, технический директор Microsoft Azure. – Azure предоставляет возможность конфиденциальных вычислений для виртуальных машин, контейнеров, алгоритмов машинного обучения и многих других областей деятельности. Процессоры Intel Xeon последнего поколения, оснащенные Intel SGX, с возможностью полного шифрования памяти и криптографическим ускорителем помогут нашим клиентам открыть для себя еще больше вариантов применения конфиденциальных вычислений.
»

Такие клиенты, как Калифорнийский университет Сан-Франциско (UCSF), NEC, «Магнит» и другие организации, работающие в секторах экономики, где существует регулирование вопросов, связанных с данными, доверили Intel поддержку своей стратегии безопасности и используют технологию Intel SGX. Так, медицинские организации могут использовать вычислительную среду для сохранения конфиденциальности информации и защиты данных пациентов, например, электронных медицинских карт. В розничной торговле технологии Intel помогают ритейлерам безопасно обрабатывать информацию о поведении покупателей и защищать интеллектуальную собственность. Intel SGX открывает клиентам возможности многосторонних совместных вычислений, которые было сложно реализовать ранее из-за требований конфиденциальности, безопасности и нормативного регулирования.

Для более надежной защиты всех типов памяти в платформу Ice Lake включена функция - Intel Total Memory Encryption (Intel TME). Она позволяет шифровать всю память, к которой имеет доступ центральный процессор Intel, в том числе учетные данные клиентов, ключи шифрования, а также другую техническую и персональную информацию, размещенную на внешней шине. Intel разработала эту функцию для защиты от взлома на аппаратном уровне, например, чтения информации с замороженного в жидком азоте модуля DIMM или подключение оборудования для целевых атак. Для вычисления ключа шифрования Intel TME использует усиленный генератор случайных чисел, встроенный в процессор и не требующий программного обеспечения, а кодирование выполняется по стандарту AES XTS, созданному Национальным институтом стандартов и технологий (NIST). Это улучшает защиту памяти, без необходимости модифицировать существующее программное обеспечение.

Одна из целей Intel – сократить влияние функций безопасности на производительность системы, чтобы избавить клиентов от выбора между более надежной защитой и большей производительностью. Ice Lake обеспечивает высокую криптографическую эффективность за счет поддержки нескольких отраслевых инструкций в сочетании с алгоритмическими и программными инновациями. Intel разработала два принципиально других вычислительных метода – одновременное выполнение двух алгоритмов, которые обычно выполняются вместе, но последовательно, и параллельная обработка нескольких независимых буферов данных.

Опытные злоумышленники могут попытаться скомпрометировать или отключить встроенное ПО компьютера, чтобы перехватить данные или вывести из строя сервер. Для защиты системных микропрограмм Ice Lake использует технологию Intel Platform Firmware Resilience (Intel PFR), встроенную в платформу на базе масштабируемого семейства процессоров Intel Xeon. Она позволяет обнаружить и устранить атаки на прошивку, прежде чем они успеют скомпрометировать ее или отключить компьютер. Intel PFR использует Intel FPGA в качестве корня доверия (Root-of-Trust) для проверки критически-важных загружаемых компонентов прошивки до того, как они будут запущены. Таким образом можно усилить защиту Flash BIOS, Flash BMC, дескриптор SPI, Intel Management Engine и прошивку блока питания.

2019

SGX может использоваться для незаметного сокрытия вредоносной программы

12 февраля 2019 года стало известно, что SGX может использоваться для незаметного сокрытия вредоносной программы под видом легитимного приложения.

Разработанная компанией Intel технология Software Guard Extensions (SGX) для обеспечения безопасности программного кода сама по себе безопасной не является. Согласно исследованию специалистов Грацкого технологического университета (Австрия), SGX может использоваться для незаметного сокрытия вредоносной программы под видом легитимного приложения.

Исследователям удалось взломать SGX с помощью давно известной техники – возвратно-ориентированного программирования (ROP).

Возвратно-ориентированное программирование предполагает перезапись стека потока таким образом, чтобы приложение выполняло не свои обычные функции, а вредоносные. Этого можно добиться путем объединения частей хранящихся в памяти несвязанных инструкций с целью манипулирования операциями программного обеспечения. Это как взломать чужой автомобиль с помощью монтировки из его же багажника.

Злоумышленник может изменить в стеке адреса возврата, и после завершения рутинной операции код вернется не туда, где ему положено быть, а в небольшие секции другого кода. За этими секциями следует другая секция, а за ней еще одна, составляя своеобразное лоскутное одеяло из инструкций, указывающих программе выполнять действия, которые она выполнять не должна (например, модифицировать данные).

В своем докладе специалисты Грацкого технологического университета описали технику обхода различных технологий безопасности (в том числе ASLR) и выполнения произвольного кода, способного похищать информацию и осуществлять DoS-атаки с помощью SGX и ROP.

Создаваемая SGX закрытая зона использует для связи с внешним миром установленное приложение. Разработанная исследователями техника позволяет закрытой зоне связываться с ОС под видом обычного процесса. В результате вредоносное ПО оказывается скрытым от глаз, но может делать в окружающей его среде все что угодно[1].

Особенности. Спецификации

(Данные актуальные на февраль 2019 года)

Схема выполнения команды Intel SGX
  • Низкие требования к обучению: Знакомая модель программирования для операционных систем, интегрируемая с родительским приложением и выполняемая на главном процессоре.
  • Удаленная аттестация и подготовка: Удаленная сторона имеет возможность проверки подлинности анклавов приложений и ключей безопасности, учетных данных и другой находящейся в анклавах важной информации.
  • Минимальная возможность возникновения атак: Интерфейс центрального процессора является периметром возможных атак — все данные, память и ввод-вывод находятся вне этого периметра и шифруются.

Спецификации

Спецификации SGX

Примечания



ПРОЕКТЫ (2) ИНТЕГРАТОРЫ (2) СМ. ТАКЖЕ (14)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Инфосистемы Джет (66)
  Softline (Софтлайн) (57)
  SearchInform (СёрчИнформ) (54)
  ДиалогНаука (44)
  Информзащита (40)
  Другие (923)

  Инфосистемы Джет (5)
  Национальный аттестационный центр (НАЦ) (4)
  Солар (ранее Ростелеком-Солар) (4)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Другие (62)

  Солар (ранее Ростелеком-Солар) (8)
  SearchInform (СёрчИнформ) (4)
  А-Реал Консалтинг (3)
  Информзащита (3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Другие (44)

  Инфосистемы Джет (7)
  Softline (Софтлайн) (4)
  МСС Международная служба сертификации (3)
  Уральский центр систем безопасности (УЦСБ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Другие (42)

  SearchInform (СёрчИнформ) (15)
  Уральский центр систем безопасности (УЦСБ) (6)
  Softline (Софтлайн) (5)
  Инфосистемы Джет (4)
  Перспективный мониторинг (3)
  Другие (42)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SearchInform (СёрчИнформ) (19, 58)
  InfoWatch (ИнфоВотч) (14, 49)
  Солар (ранее Ростелеком-Солар) (4, 48)
  FalconGaze (Фалконгейз) (1, 38)
  Positive Technologies (Позитив Текнолоджиз) (8, 37)
  Другие (408, 310)

  R-Vision (Р-Вижн) (1, 4)
  Инфосекьюрити (Infosecurity) (2, 2)
  Солар (ранее Ростелеком-Солар) (2, 2)
  Makves (Маквес) (1, 2)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Другие (10, 13)

  Солар (ранее Ростелеком-Солар) (2, 7)
  SearchInform (СёрчИнформ) (2, 4)
  А-Реал Консалтинг (1, 3)
  Makves (Маквес) (1, 2)
  Softscore UG (1, 2)
  Другие (5, 6)

  SearchInform (СёрчИнформ) (2, 2)
  Инфосекьюрити (Infosecurity) (1, 1)
  Киберполигон (1, 1)
  ARinteg (АРинтег) (1, 1)
  Cloud4Y (ООО Флекс) (1, 1)
  Другие (8, 8)

  SearchInform (СёрчИнформ) (2, 16)
  Перспективный мониторинг (1, 4)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Makves (Маквес) (1, 1)
  Другие (3, 3)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 54 (52, 2)
  InfoWatch Traffic Monitor Enterprise (IWTM) - 47 (46, 1)
  FalconGaze SecureTower - 38 (38, 0)
  MaxPatrol SIEM - 33 (33, 0)
  DeviceLock Endpoint DLP Suite - 31 (31, 0)
  Другие 308

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2 (2, 0)
  Makves DCAP (Data-Centric Audit and Protection) - 2 (2, 0)
  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие 11

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4 (4, 0)
  Solar Dozor DLP-система - 4 (4, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  Solar JSOC - 3 (3, 0)
  Softscore UG: Anwork Бизнес-коммуникатор - 2 (2, 0)
  Другие 9

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 (2, 0)
  Langame Software Программный комплекс для управления компьютерным клубом - 1 (1, 0)
  CyberPeak Спектр - 1 (1, 0)
  BI.Zone Brand Protection - 1 (1, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1 (0, 1)
  Другие 7

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 16 (16, 0)
  SearchInform FileAuditor - 5 (5, 0)
  Перспективный мониторинг: Ampire Киберполигон - 4 (4, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Security Vision Next Generation SOAR (NG SOAR) - 1 (1, 0)
  Другие 3