Interested Article - KasperskyOS

KasperskyOS — проприетарная частично POSIX -совместимая микроядерная операционная система . Она предназначена для разработки ИТ-продуктов для отраслей с повышенными требованиями к кибербезопасности, надежности и предсказуемости работы.

Цель KasperskyOS — обеспечить защиту ИТ-систем от вредоносного кода и эксплуатации уязвимостей, а также снизить риски, связанные с ошибками в коде, случайными или намеренными повреждающими действиями.

Разработку KasperskyOS ведёт « Лаборатория Касперского ». Операционная система не является модификацией какой-либо из существующих ОС; в её основе — микроядро собственной разработки, написанное с нуля, без использования сторонних библиотек и кода.

Особенности

Безопасность

В основе KasperskyOS лежит комбинация различных архитектурных подходов к безопасности, включая и FLASK , а также собственные технологии «Лаборатории Касперского».

В соответствии с архитектурным подходом MILS (Multiple Independent Levels of Security) безопасная ИТ-система состоит из изолированных доменов безопасности и ядра разделения, контролирующего взаимодействия доменов друг с другом.

Все межпроцессные взаимодействия происходят только через монитор безопасности (Kaspersky Security System) и через типизированные интерфейсы. Изолированные программные компоненты могут содержать уязвимости или вредоносный код, но система в любом случае остается безопасной.

В соответствии с архитектурой FLASK система безопасности KasperskyOS разделена на две части: точку применения политик (микроядро) и точку принятия решений по политикам (монитор безопасности). Отделение логики принятия решений безопасности от их применения упрощает анализ системы, и влечет за собой непротиворечивость политик безопасности.

Микроядерная архитектура

Основой KasperskyOS служит микроядро, написанное на языке C (стандарт С99) . Оно содержит всего около 100 тысяч строк кода. Это принципиально снижает число потенциальных уязвимостей и упрощает формальную верификацию. Для сравнения: в открытом монолитном ядре Linux около 21 млн строк.

Микроядро отвечает за необходимый минимум низкоуровневых механизмов, которые могут выполняться только в привилегированном режиме:

планирование процессов и потоков ;
управление виртуальной памятью ;
управление доступом к портам ввода-вывода;
управление прямым доступом к памяти ;
синхронизация на основе фьютекса;
доставка и управление аппаратными прерываниями ;
получение и установка реального времени;
управление дескрипторами ;
взаимодействие с подсистемой безопасности (Kaspersky Security System).

Основные принципы безопасности KasperskyOS

Драйверы, файловые системы, сетевые стеки и другие модули работают в пространстве пользователя в виде отдельных процессов и взаимодействуют с ядром с помощью системных вызовов .

В микроядре KasperskyOS предусмотрено только три системных вызова, что значительно уменьшает поверхность атаки на него.

Микроядерная архитектура KasperskyOS обеспечивает изоляцию компонентов ИТ-системы. Единственный вид межпроцессных взаимодействий, предоставляемый ядром, — синхронный обмен IPC-сообщениями («запросом» и «ответом»). Каждое сообщение передается монитору безопасности Kaspersky Security System для проверки на соответствие заданной политике безопасности. Микроядро KasperskyOS доставит сообщение, только если это взаимодействие напрямую разрешено политикой.

Монитор безопасности

Подсистема Кaspersky Security System — это монитор безопасности, который контролирует все взаимодействия между компонентами, и единственная точка принятия решений безопасности. Микроядро KasperskyOS доставляет сообщение, только если Kaspersky Security System разрешает его доставку, основываясь на заданном наборе политик безопасности. В случае отрицательного вердикта передача блокируется и могут быть предприняты шаги по восстановлению штатной работы системы.

Для конструирования политик разработан специальный язык описания политик — Policy Specification Language (PSL). Синтаксис PSL позволяет комбинировать в одной политике несколько моделей безопасности, включая конечные и временные автоматы , TE (Type Enforcement), модели ролевого доступа (RBAC) и др. Также можно разрабатывать собственные классы политик. При этом язык PSL достаточно выразительный — описание строится в терминах самой задачи.

PSL избавляет разработчика от необходимости писать реализацию политики безопасности или самостоятельно конфигурировать KSS. Код монитора, оптимизированный под выбранную задачу, генерируется из PSL-описания специальным компилятором.

Аппаратная совместимость

KasperskyOS поддерживает архитектуры x86, x86_64, ARMv5, ARMv7, ARMv8 и MIPS32.

Протестированные аппаратные платформы: Intel Generic и Atom CPUs, NXP i.MX6 (Solo, Duo и Quad), NXP i.MX27, TI Sitara AM335x, TI Sitara AM43xx, HiSilicon Kirin620, MIPS24k.

Версия KasperskyOS Community Edition позволяет разрабатывать учебные приложения для запуска на эмуляторе QEMU (x86_64) или на Raspberry Pi 4 Model B .

История создания

Разработка началась 11 ноября 2002 года, что отражено в рабочем названии «11.11» . Впервые операционная система была анонсирована в октябре 2012 года в блоге Евгения Касперского . В декабре 2013 стало известно о бета-тестировании системы компаниями-партнёрами .

Во-первых, наша система — узкоспециализированная, она разрабатывается для решения конкретной задачи, и не предназначена для игры в Half-Life , редактирования видео или общения в соцсетях. Во-вторых, мы работаем над методом написания ПО, которое в принципе (by design) не будет способно выполнять незаявленную в нем функциональность… это вещь доказываемая и проверяемая. 16.10.2012

В ходе работ над защищённой ОС появился модуль Kaspersky Security System, который может быть также встроен в или Linux . В феврале 2015 года было объявлено о партнёрстве с компанией ), производителем PikeOS .

18 августа 2016 года было объявлено о завершении работы над операционной системой и стало известно о первом партнёре, на чьём оборудовании будет установлена KasperskyOS — это маршрутизаторы (коммутаторы уровня L3) компании Kraftway .

15 февраля 2017 года система была официально выпущена .

В 2019 году «Лаборатория Касперского» разрабатывает защищенную мобильную ОС на базе существующей KasperskyOS.

В апреле 2021 года был представлен первый коммерческий продукт на базе KasperskyOS — шлюз для промышленного интернета вещей Kaspersky IoT Secure Gateway 100 . Шлюз был разработан совместно с Апротех , дочерним предприятием «Лаборатории Касперского» и является первым устройством со свойством кибериммунности.

В ноябре 2021 года «Лаборатория Касперского» выпустила в открытый доступ бесплатную версию ОС, предназначенную для обучения — KasperskyOS Community Edition .

В июле 2022 года «Лаборатория Касперского» представила второй кибериммунный шлюз семейства Kaspersky IoT Secure Gateway — KISG 1000. Решение разработано совместно с компанией Апротех .

В июне 2023 года в «Лаборатории Касперского» рассказали о разработке смартфона на базе KasperskyOS. Прототип устройства уже оснащён базовыми приложениями, такими как звонки и SMS .

Применение

IoT-шлюз KISG 100 на базе аппаратной платформы Siemens SIMATIC IOT2040

KasperskyOS примененяется в областях, где существуют повышенные требования к кибербезопасности, надежности и предсказуемости работы:

Интернет вещей (IoT и IIoT) и умный город
Транспорт
Инфраструктура виртуальных рабочих столов (VDI)
Корпоративные мобильные устройства

Продукты

На базе KasperskyOS существует несколько продуктов, как проходящих пилотирование, так и доступных на рынке.

В решение Kaspersky IoT Infrastructure Security входят IoT-шлюзы:

IoT-шлюз KISG 1000 на базе аппаратной платформы Advantech UTX-3117

Kaspersky IoT Secure Gateway (KISG) 100 . Это первый вышедший на рынок «кибериммунный» шлюз, разработанный совместно с — дочерним предприятием «Лаборатории Касперского». KISG 100 не позволяет получить доступ к оборудованию извне, поскольку выступает в роли дата-диода, пропуская данные только в одном направлении. Для обработки и анализа информация передается в облачные платформы. Устройство построено на аппаратной платформе Siemens Simatic IOT2040.
KISG 1000 . Шлюз агрегирует данные, собранные с различных устройств, и передает их в корпоративную сеть или облачные платформы по сотовым сетям или Ethernet. В шлюзе имеется межсетевой экран, технология предотвращения и обнаружения вторжений, функции мониторинга подключенных устройств, а также работа через централизованную систему управления.

Kaspersky Thin Client на базе аппаратной платформы TONK TN-1200

В состав решения Kaspersky Secure Remote Workspace входит тонкий клиент Kaspersky Thin Client , построенный на аппаратной платформе TONK TN-1200. Он предоставляет доступ к удаленным виртуальным рабочим столам на платформе виртуализации Базис. Workplace (ранее Скала-Р ВРМ) и по протоколу RDP.

Использование

В рамках пилотного проекта «Умный город» в Оренбурге на базе шлюзов KISG 1000 организована облачная диспетчерская для различных жилых и административных городских объектов.

Шлюзы KISG 1000 используются для построения безопасной инфраструктуры в проекте РЖД «СМАРТ. Обогрев стрелок».

Апротех совместно с Челябинским трубопрокатным заводом реализовал цифровой сервис «Мониторинг станков». В его рамках станки с ЧПУ посредством шлюзов KISG 100 подключаются к облачной платформе Siemens MindSphere и обеспечивают мониторинг и визуализацию технологических процессов.

Шлюзы KISG 100 используются в цифровом сервисе по мониторингу станков, разработанном Апротех для «СтанкоМашКомплекса».

Шлюз KISG 100 обеспечивает безопасную передачу данных со станков холдинга «Ленполиграфмаш». С помощью интеграционных адаптеров от компании «Синимекс» данные преобразовываются в события для ERP- и MES-систем на платформе «1С: Предприятие». Решения «1С: Предприятия» в реальном времени предоставляют пользователям визуализированные данные — оценку стоимости работ и простоя оборудования, временные и количественные параметры производства.

Безопасная автомобильная платформа на базе операционной системы KasperskyOS[200], встроена в высокопроизводительный блок управления Ajunic (немецкая компания AVL Software and Functions GmbH). Он может применяться, например, в системах содействия водителю (ADAS).

Министерство цифрового развития и связи Оренбургской области включило решение Kaspesky Secure Remote Workspace в перечень типовых автоматизированных рабочих мест, которые органы исполнительной власти могут использовать при построении своей инфраструктуры в рамках исполнения Постановления Правительства от 16 ноября 2015 г № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».

«Лаборатория Касперского» совместно с российским производителем электроники «Систэм Электрик» объявила о планах выпуска мини-компьютеров на базе KasperskyOS для обеспечения безопасности энергосетей в промышленном производстве и на энергетических объектах .

См. также

QNX — POSIX-совместимая микроядерная ОС реального времени

Ссылки

// CNews , 4.12.2013
// CNews, 18.08.2016
// Официальный сайт KasperskyOS

Примечания

. Дата обращения: 5 марта 2022. 5 марта 2022 года.
. Российская газета. Дата обращения: 29 мая 2017. 19 апреля 2019 года.
от 22 октября 2020 на Wayback Machine // eugene.kaspersky.ru
30 июня 2015 года. // CNews, 4.12.2013
. Дата обращения: 6 марта 2015. 6 апреля 2017 года.
. vedomosti.ru. Дата обращения: 18 августа 2016. 29 ноября 2020 года.
. Дата обращения: 15 февраля 2017. 29 сентября 2020 года.
. Дата обращения: 5 марта 2019. 16 марта 2019 года.
. Дата обращения: 5 марта 2022. 5 марта 2022 года.
. ixbt.com (19 ноября 2021). Дата обращения: 19 ноября 2021. 19 ноября 2021 года.
. kaspersky.ru (4 июля 2022). Дата обращения: 1 августа 2022. 1 августа 2022 года.
. РИА Новости (22 июня 2023). Дата обращения: 28 июня 2023. 28 июня 2023 года.
. os.kaspersky.ru . Дата обращения: 5 марта 2022. 5 марта 2022 года.
. os.kaspersky.ru . Дата обращения: 5 марта 2022. 5 марта 2022 года.
. Anti-Malware . Дата обращения: 5 марта 2022. 5 марта 2022 года.
АО "НИИАС" "РЖД". . Дата обращения: 5 марта 2022. 5 марта 2022 года.
. cnews.ru . Дата обращения: 5 марта 2022. 5 марта 2022 года.
. СтанкоМашКомплекс . Дата обращения: 5 марта 2022. 5 марта 2022 года.
(англ.) . ITP.net . Дата обращения: 5 марта 2022. 5 марта 2022 года.
. Газета.ru (20 июня 2023). Дата обращения: 20 июня 2023. 20 июня 2023 года.