Безопасность превыше всего: новые правила NIST по разработке BIOS для серверов

Национальный Институт Стандартов и Технологий США (National Institute of Standards and Technology; NIST) предлагает всем заинтересованным лицам ознакомиться и оставить свои комментарии в рамках нового проекта руководящих принципов по созданию базовых систем ввода / вывода (BIOS) для серверных компьютеров. Отметим, что BIOS - это первая крупная программа, которая запускается при старте компьютера. В последнее время она стала одной из основных мишеней для хакеров.

Производители серверов вынуждены регулярно обновлять BIOS, чтобы исправить ошибки, избавить ПО от уязвимостей или ввести поддержку нового аппаратного обеспечения. Тем не менее, в то время как авторизованные обновления BIOS могут улучшить функциональность и безопасность, неавторизованные апдейты или злонамеренные изменения ПО могут быть частью сложной, целенаправленной атаки на организацию, позволяя злоумышленнику проникнуть в серверные системы организации или нарушать их функциональную целостность. Число и уровень атак на подсистемы BIOS стремительно растет. В сентябре 2011 года разработчики систем безопасности обнаружили первую вредоносную программу, которая предназначена для заражения BIOS, - Mebromi.

Одним из важнейших механизмов защиты BIOS в серверах является обеспечение безопасности процесса обновления этой системы - защита от несанкционированного обновления BIOS. В документе NIST под названием “Руководящие принципы защиты BIOS” (NIST SP - 800-147), который был опубликован 29 апреля 2011 года, содержались указания по защите рассматриваемой системы в настольных ПК и ноутбуках. Эти руководящие принципы основывались на базовых принципах аутентификации обновления с использованием цифровых подписей, защите целостности BIOS и функциях, мешающих "обходу" установленных в системе правил - механизмов защиты BIOS. Руководящие принципы защиты BIOS для серверов охватывают вопросы безопасности самых разнообразных архитектур BIOS, используемых создателями серверов.

"В то время как производители ноутбуков и настольных компьютеров в основном пришли к использованию единой архитектуры для системы BIOS, производители систем серверного класса имеют в своем распоряжении более разнообразный набор архитектур и больше механизмов для обновления или модификации системы BIOS", говорит автор материала Эндрю Регеншейд. Кроме того, многие серверы содержат служебные процессоры, выполняющие различные функции управления, которые могут включать обновление BIOS. Поэтому новый документ среди прочего содержит дополнительные рекомендации по обеспечению безопасности служебных процессоров.

По словам Регеншейда, при работе с серверами требуется больше гибкости, потому что в дополнение к разнообразию архитектур, они почти всегда управляются удаленно. Документ “Руководящие принципы защиты BIOS для серверов” создавался непосредственно для разработчиков серверов и специалистов в области систем информационной безопасности, ответственных за безопасность серверов, безопасный процесс загрузки и безопасность аппаратных модулей. С черновым вариантом документа “Руководящие принципы защиты BIOS для серверов” (NIST Special Publication 800-147B) можно ознакомиться здесь.