Intel SGX (Software Guard Extensions)

Продукт
Разработчики: Intel
Дата последнего релиза: 2020/10/15
Отрасли: Информационные технологии
Технологии: ИБ - Предотвращения утечек информации

Содержание

Основная статья: DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации

ПО Intel SGX (Software Guard Extensions) предназначено для защиты исходного кода и данных от несанкционированного доступа и изменения. Разработчики могут размещать свои приложения в укрепленных с помощью функций процессора анклавах или защищенных областях выполнения, которые повышают безопасность даже скомпрометированных платформ. Используя прикладной уровень этой среды доверенного выполнения, разработчики могут обеспечить конфиденциальность идентификационной информации и персональных данных, безопасный просмотр информации в Интернете и защиту авторских прав, а также укрепить защиту конечных систем или применять функции повышенной безопасности для хранения секретов или защиты данных.

2020: Внедрение в платформу Ice Lake в качестве функции в области безопасности

15 сентября 2020 года Intel представила функции в области безопасности для будущей платформы Ice Lake, созданной на базе масштабируемого семейства процессоров Intel Xeon 3-го поколения. Intel расширяет функционал безопасности, внедряя во все продукты платформы Ice Lake решение Intel Software Guard Extension (Intel SGX), а также другие технологии, включая Intel Total Memory Encryption (Intel TME), Intel Platform Firmware Resilience (Intel PFR) и ускорители шифрования для повышения конфиденциальности и целостности данных.

Возможности Ice Lake позволят клиентам Intel создавать более защищенные решения и снижать риски, связанные с конфиденциальностью данных и соблюдением требований регуляторов, например, в медицинской или финансовой отраслях.

«
Безопасность данных имеет большое значение при коммерциализации решений. Возможности представленной платформы на базе масштабируемого семейства процессоров Xeon 3-го поколения помогут нашим клиентам решить важные проблемы, связанные с данными, с их конфиденциальностью и целостностью. Это очередной этап развития партнерства в рамках созданной нами экосистемы для внедрения инноваций в области безопасности, – отметила Лиза Спелман (Lisa Spelman), корпоративный вице-президент Data Platform Group и генеральный менеджер Intel Xeon and Memory Group.

»

Intel SGX – это проверенная на практике TEE-технология конфиденциальных вычислений для центров обработки данных, с наименьшей поверхностью атаки. Она позволяет разместить в изолированных областях памяти, называемых анклавами, до 1 терабайта кода или данных выполняемого приложения.

«
Microsoft Azure была первым крупным общедоступным облачным сервисом, предлагающим конфиденциальные вычисления. Наши клиенты из финансовых организаций, государственных учреждений и здравоохранения используют конфиденциальные вычисления в Azure, – сказал Марк Руссинович, технический директор Microsoft Azure. – Azure предоставляет возможность конфиденциальных вычислений для виртуальных машин, контейнеров, алгоритмов машинного обучения и многих других областей деятельности. Процессоры Intel Xeon последнего поколения, оснащенные Intel SGX, с возможностью полного шифрования памяти и криптографическим ускорителем помогут нашим клиентам открыть для себя еще больше вариантов применения конфиденциальных вычислений.
»

Такие клиенты, как Калифорнийский университет Сан-Франциско (UCSF), NEC, «Магнит» и другие организации, работающие в секторах экономики, где существует регулирование вопросов, связанных с данными, доверили Intel поддержку своей стратегии безопасности и используют технологию Intel SGX. Так, медицинские организации могут использовать вычислительную среду для сохранения конфиденциальности информации и защиты данных пациентов, например, электронных медицинских карт. В розничной торговле технологии Intel помогают ритейлерам безопасно обрабатывать информацию о поведении покупателей и защищать интеллектуальную собственность. Intel SGX открывает клиентам возможности многосторонних совместных вычислений, которые было сложно реализовать ранее из-за требований конфиденциальности, безопасности и нормативного регулирования. Бизнес уходит в облако: стратегии и подходы

Для более надежной защиты всех типов памяти в платформу Ice Lake включена функция - Intel Total Memory Encryption (Intel TME). Она позволяет шифровать всю память, к которой имеет доступ центральный процессор Intel, в том числе учетные данные клиентов, ключи шифрования, а также другую техническую и персональную информацию, размещенную на внешней шине. Intel разработала эту функцию для защиты от взлома на аппаратном уровне, например, чтения информации с замороженного в жидком азоте модуля DIMM или подключение оборудования для целевых атак. Для вычисления ключа шифрования Intel TME использует усиленный генератор случайных чисел, встроенный в процессор и не требующий программного обеспечения, а кодирование выполняется по стандарту AES XTS, созданному Национальным институтом стандартов и технологий (NIST). Это улучшает защиту памяти, без необходимости модифицировать существующее программное обеспечение.

Одна из целей Intel – сократить влияние функций безопасности на производительность системы, чтобы избавить клиентов от выбора между более надежной защитой и большей производительностью. Ice Lake обеспечивает высокую криптографическую эффективность за счет поддержки нескольких отраслевых инструкций в сочетании с алгоритмическими и программными инновациями. Intel разработала два принципиально других вычислительных метода – одновременное выполнение двух алгоритмов, которые обычно выполняются вместе, но последовательно, и параллельная обработка нескольких независимых буферов данных.

Опытные злоумышленники могут попытаться скомпрометировать или отключить встроенное ПО компьютера, чтобы перехватить данные или вывести из строя сервер. Для защиты системных микропрограмм Ice Lake использует технологию Intel Platform Firmware Resilience (Intel PFR), встроенную в платформу на базе масштабируемого семейства процессоров Intel Xeon. Она позволяет обнаружить и устранить атаки на прошивку, прежде чем они успеют скомпрометировать ее или отключить компьютер. Intel PFR использует Intel FPGA в качестве корня доверия (Root-of-Trust) для проверки критически-важных загружаемых компонентов прошивки до того, как они будут запущены. Таким образом можно усилить защиту Flash BIOS, Flash BMC, дескриптор SPI, Intel Management Engine и прошивку блока питания.

2019

SGX может использоваться для незаметного сокрытия вредоносной программы

12 февраля 2019 года стало известно, что SGX может использоваться для незаметного сокрытия вредоносной программы под видом легитимного приложения.

Разработанная компанией Intel технология Software Guard Extensions (SGX) для обеспечения безопасности программного кода сама по себе безопасной не является. Согласно исследованию специалистов Грацкого технологического университета (Австрия), SGX может использоваться для незаметного сокрытия вредоносной программы под видом легитимного приложения.

Исследователям удалось взломать SGX с помощью давно известной техники – возвратно-ориентированного программирования (ROP).

Возвратно-ориентированное программирование предполагает перезапись стека потока таким образом, чтобы приложение выполняло не свои обычные функции, а вредоносные. Этого можно добиться путем объединения частей хранящихся в памяти несвязанных инструкций с целью манипулирования операциями программного обеспечения. Это как взломать чужой автомобиль с помощью монтировки из его же багажника.

Злоумышленник может изменить в стеке адреса возврата, и после завершения рутинной операции код вернется не туда, где ему положено быть, а в небольшие секции другого кода. За этими секциями следует другая секция, а за ней еще одна, составляя своеобразное лоскутное одеяло из инструкций, указывающих программе выполнять действия, которые она выполнять не должна (например, модифицировать данные).

В своем докладе специалисты Грацкого технологического университета описали технику обхода различных технологий безопасности (в том числе ASLR) и выполнения произвольного кода, способного похищать информацию и осуществлять DoS-атаки с помощью SGX и ROP.

Создаваемая SGX закрытая зона использует для связи с внешним миром установленное приложение. Разработанная исследователями техника позволяет закрытой зоне связываться с ОС под видом обычного процесса. В результате вредоносное ПО оказывается скрытым от глаз, но может делать в окружающей его среде все что угодно[1].

Особенности. Спецификации

(Данные актуальные на февраль 2019 года)

Схема выполнения команды Intel SGX
  • Низкие требования к обучению: Знакомая модель программирования для операционных систем, интегрируемая с родительским приложением и выполняемая на главном процессоре.
  • Удаленная аттестация и подготовка: Удаленная сторона имеет возможность проверки подлинности анклавов приложений и ключей безопасности, учетных данных и другой находящейся в анклавах важной информации.
  • Минимальная возможность возникновения атак: Интерфейс центрального процессора является периметром возможных атак — все данные, память и ввод-вывод находятся вне этого периметра и шифруются.

Спецификации

Спецификации SGX

Примечания



ПРОЕКТЫ (2) ИНТЕГРАТОРЫ (2) СМ. ТАКЖЕ (14)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Инфосистемы Джет (66)
  Softline (Софтлайн) (56)
  SearchInform (СёрчИнформ) (52)
  ДиалогНаука (44)
  Информзащита (39)
  Другие (918)

  Инфосистемы Джет (5)
  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Другие (62)

  Солар (ранее Ростелеком-Солар) (8)
  SearchInform (СёрчИнформ) (4)
  А-Реал Консалтинг (3)
  Информзащита (3)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (44)

  Инфосистемы Джет (7)
  Softline (Софтлайн) (4)
  Уральский центр систем безопасности (УЦСБ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Inspect (3)
  Другие (42)

  SearchInform (СёрчИнформ) (13)
  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  Softline (Софтлайн) (4)
  МСС Международная служба сертификации (2)
  Другие (37)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  SearchInform (СёрчИнформ) (19, 56)
  InfoWatch (ИнфоВотч) (14, 49)
  Солар (ранее Ростелеком-Солар) (4, 48)
  FalconGaze (Фалконгейз) (1, 38)
  Positive Technologies (Позитив Текнолоджиз) (8, 37)
  Другие (406, 309)

  R-Vision (Р-Вижн) (1, 4)
  Солар (ранее Ростелеком-Солар) (2, 2)
  Инфосекьюрити (Infosecurity) (2, 2)
  Tele Link Soft (TLS) PTE. Ltd (1, 2)
  SETERE Group (быв. Security Technology Research -ТБИ (Технологии Безопасность Исследования)) (1, 2)
  Другие (10, 13)

  Солар (ранее Ростелеком-Солар) (2, 7)
  SearchInform (СёрчИнформ) (2, 4)
  А-Реал Консалтинг (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Makves (Маквес) (1, 2)
  Другие (5, 6)

  SearchInform (СёрчИнформ) (2, 2)
  Перспективный мониторинг (1, 1)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Colizeum Langame Software, CLS (Колизеум Лангейм Софт) (1, 1)
  Makves (Маквес) (1, 1)
  Другие (8, 8)

  SearchInform (СёрчИнформ) (2, 14)
  Перспективный мониторинг (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (1, 2)
  Crosstech Solutions Group (Кросстех Солюшнс Групп) (1, 1)
  Интеллектуальная безопасность ГК (бренд Security Vision) (1, 1)
  Другие (3, 3)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 50
  InfoWatch Traffic Monitor Enterprise (IWTM) - 46
  FalconGaze SecureTower - 38
  MaxPatrol SIEM - 33
  DeviceLock Endpoint DLP Suite - 31
  Другие 345

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  MaxPatrol SIEM - 2
  SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2
  Kickidler Система учета рабочего времени - 2
  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
  Другие 12

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4
  Solar Dozor DLP-система - 4
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Solar JSOC - 3
  SearchInform FileAuditor - 2
  Другие 10

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2
  Makves DCAP (Data-Centric Audit and Protection) - 1
  Jet CyberCamp - 1
  Cloud4Y Стахановец аренда и хостинг - 1
  Перспективный мониторинг: Ampire Киберполигон - 1
  Другие 9

  Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 14
  SearchInform FileAuditor - 4
  Перспективный мониторинг: Ampire Киберполигон - 3
  MaxPatrol SIEM - 2
  BI.Zone CESP (Cloud Email Security & Protection) - 1
  Другие 4