Защита встраиваемых устройств в 2025 году

Что максимально быстро приносит киберпреступнику прибыль? Атака на системы, в результате которой он может добраться до конфиденциальной информации или непосредственно до финансов. Поэтому неудивительно, что целые группы злоумышленников специализируются на встраиваемых системах: в первую очередь на банкоматах с наличными, платежных системах, в которых можно перехватить транзакции, медицинском оборудовании, где обрабатываются и хранятся персональные данные, и так далее. Все эти устройства далеко не всегда имеют должный уровень защиты (как кибер, так и физической), а потому достаточно часто становятся удобной целью для атакующих.

Классическая проблема защиты встраиваемых систем под управлением Windows заключается в том, что они, как правило, устаревают гораздо медленнее, чем их программное обеспечение. Зачастую это достаточно дорогие устройства, которые никто не будет менять просто из-за того, что операционная система перестала обновляться. В результате среди встраиваемых систем много устройств, ресурсы которых ограничены в силу узкой специализированности, ПО устарело, а система перестала получать обновления безопасности.

Причем последняя проблема обостряется с прекращением поддержки Windows 10. Множество устройств, которые могут выполнять свои основные функции еще не один год, никогда не смогут обновиться до Windows 11 просто потому, что в них нет модуля TPM.

Ситуация на рынке встраиваемых Linux-устройств не сильно лучше. Те, что построены на базе процессоров x86, в среднем пока имеют более свежее железо, но и оно со временем устаревает. Множество новых встраиваемых систем, работающих под Linux, и вовсе основаны на архитектуре ARM, у которой своя специфика.

Из-за всех этих особенностей стандартные защитные решения для рабочих станций не очень подходят. Для того чтобы обеспечить их безопасность, нужен продукт, оснащенный технологиями, которые могут успешно противостоять современным угрозам для встраиваемых систем. При этом он должен быть способен работать не только на современном железе под последними версиями ОС, но и на оборудовании с ограниченными ресурсами, да еще и обеспечивать идеальную стабильность в «необслуживаемом» режиме и совместимость со специфическим ПО. В идеале — управляться из той же консоли, что и остальная инфраструктура, и поддерживать интеграцию с корпоративными SIEM-системами. Как вы, вероятно, догадались, мы говорим о Kaspersky Embedded Systems Security.

Чем может помочь Kaspersky Embedded Systems Security

О специфических особенностях защиты встраиваемых систем и нашем варианте решения этой задачи мы уже неоднократно говорили в этом блоге. Однако Kaspersky Embedded Systems Security продолжает развиваться — в конце ноября мы выпустили глобальное обновление продукта, доработав как его Windows-версию, так и Linux-вариант.

Что нового в Kaspersky Embedded Systems Security для Windows

Наши эксперты значительно переработали кодовую базу решения, добавив ряд продвинутых механизмов детектирования и блокирования угроз. В первую очередь это полноценный движок поведенческого анализа — на его базе работают несколько технологий, без которых защита устройства в современных условиях невозможна:

• Неинвазивная технология Automatic Exploit Prevention, работающая в других наших продуктах и зарекомендовавшая себя как эффективное средство для предотвращения эксплуатации уязвимостей, причем не только известных, но встретившихся впервые. Именно благодаря ей наши эксперты обнаружили немало уязвимостей нулевого дня.
• Продвинутая технология анти-шифрования (anti-cryptor), которая служит дополнительным слоем защиты от зловредов-шифровальщиков. Благодаря поведенческому движку она теперь еще эффективнее выявляет и блокирует локальные попытки зашифровать файлы.
• Remediation engine — технология, служащая для отката вредоносных изменений на устройстве. Даже если злоумышленникам удалось обмануть другие защитные механизмы и запустить на устройстве вредоносный код, его активность будет оперативно детектирована, а все внесенные им изменения откатятся назад. Особенно эффективна эта технология в борьбе с все теми же шифровальщиками.

Еще одна технология, добавленная в обновленное решение Kaspersky Embedded Systems Security для Windows, — BadUSB attack prevention. В ходе атак BadUSB злоумышленник подключает к атакуемой системе вредоносное устройство, мимикрирующее под легитимное устройство ввода (чаще всего клавиатуру). Через него впоследствии злоумышленник может причинять всевозможные неприятности: вводить собственные команды, перехватывать данные, вводимые с других устройств (например, учетные данные специалиста, выполняющего сервисное обслуживание), блокировать работу систем и многое другое. Эта угроза особенно актуальна для встраиваемых систем, установленных вне физического защитного периметра компании. Воткнутый в порт одинокого сельского банкомата BadUSB-девайс может оставаться незамеченным месяцами, и, если его не блокировать защитным решением, сможет нанести немалый ущерб.

Также мы добавили в решение собственный файрвол, позволяющий регламентировать доступ конкретных приложений в сеть, в том числе на основе правил, основанных на уровнях доверия для конкретного ПО. Поскольку у встраиваемого устройства обычно достаточно ограниченный набор задач, логично разрешить выход в сеть только тем приложениям, которым это действительно необходимо для работы, а всем прочим — запретить. Это не только создает проблемы злоумышленникам при попытках связи с командными центрами и эксфильтрации данных, но и уменьшает шансы того, что систему будут использовать как площадку для атаки на остальную инфраструктуру компании.

Ну и на десерт, для удобства администратора, мы добавили в решение индикатор уровня защищенности, так называемый «светофор». Он позволяет быстро оценить, насколько тщательно сконфигурировано каждое устройство, включены ли все критичные защитные технологии или администратору следует пересмотреть настройки либо проверить состояние защиты.

Что нового в Kaspersky Embedded Systems Security для Linux

Мы значительно доработали и новый KESS для Linux, но большинство нововведений в нем повышают эффективность уже реализованных защитных механизмов. Из принципиально нового — мы переделали систему контроля на базе списков разрешенных приложений. Теперь она позволяет облегчить процесс обновления системы и необходимых встраиваемому устройству приложений за счет подписи с помощью сертификата.

В отличие от Windows, в системах семейства Linux нет общедоступной готовой системы сертификатов, которую можно было просто поддержать. Поэтому по инициативе одного из наших крупнейших заказчиков мы сделали собственную. В результате отпадает необходимость регулярно создавать и целиком перезаливать на все устройства полный «золотой образ системы» (хотя, разумеется, никто не запрещает продолжать заниматься этим, если в силу каких-либо причин в вашей компании это необходимо). Теперь достаточно подписать новое приложение своим сертификатом, и система «списков разрешенных» в Kaspersky Embedded Systems Security примет его и позволит исполняться без дополнительных вопросов.

Еще одна новая технология в Kaspersky Embedded Systems Security для Linux — защита от веб-угроз. Усредненная модель использования встроенных систем подразумевает, что на устройстве без пользователя это не самая нужная функция. Однако, как показывает практика, есть сценарии, в которых встраиваемые системы все-таки используют веб-протоколы. Например, некоторым PoS-устройствам нужен доступ в корпоративную веб-систему CRM, а медицинский терминал может таким же образом общаться с внутренним порталом работы с данными пациентов. Подобная система может быть скомпрометирована злоумышленниками и работать по сценарию watering hole attack, заражая обращающиеся к ней машины. Кроме того, она может понадобиться, если Kaspersky Embedded Systems Security используется не для встраиваемой системы, а для обычного компьютера с устаревшей системой, который по каким-либо причинам невозможно обновить.

Дальнейшие планы развития Kaspersky Embedded Systems Security

Следующее глобальное обновление продукта намечено на первый квартал 2026 года. В нем мы планируем:

• Обеспечить полную совместимость Kaspersky Embedded Systems Security с сервисом Kaspersky Managed Detection and Response. Таким образом эксперты нашего SOC смогут помогать компаниям, эксплуатирующим встраиваемые устройства, в детектировании сложных, скрытных угроз и давать рекомендации по эффективному купированию инцидентов.
• Добавить в Kaspersky Embedded Systems Security для Linux технологию защиты от BadUSB, которая уже работает в Windows-версии.
• Обеспечить поддержку решением Kaspersky Embedded Systems Security для Linux архитектуры ARM, чтобы получить возможность полноценно защищать стремительно завоевывающие рынок новые энергоэффективные встроенные системы.

Узнать больше о Kaspersky Embedded Systems Security можно на официальной странице решения.