А вы уже видели новую техническую спецификацию с описанием принципов благонадёжности - ISO/IEC TS 30149:2024 Internet of Things (IoT) — Trustworthiness principles?

В документе даются определения ключевым терминам и концепциям, использующимся в кибериммунной разработке:
🔵собственно, благонадёжность в контексте безопасности (функциональной и информационной);
🔵цели безопасности (security goals)
предположения безопасности (security assumptions);
🔵конструктивная безопасность (security by design).

Сформулирована связь между рисками информационной безопасности, приватности. Определяется термин проектирования приватности (privacy design), её обеспечения и контроля. Даются определения ряда других важных характеристик систем. Описывается процесс “выстраивания благонадёжности” и управления ею.

И, хотя стандарт нацелен на сегмент интернета вещей (IoT), ознакомиться с ним будет полезно всем разработчикам конструктивно защищённых систем, а также преподавателям и исследователям в этой области.

➡️ Где взять (доступ платный): ISO/IEC TS 30149:2024 - Internet of Things (IoT) — Trustworthiness principles

Друзья, отличные новости! 🎉
В рамках «Хакатона по кибериммунной разработке 3.0» мы запустили реферальную программу.

🏆 15 участников, пригласивших наибольшее количество рефералов, получат электронные подарочные сертификаты на маркетплейс Ozon номиналом 2 000 рублей.

Участвовать просто: зайдите в раздел «О событии» на платформе, найдите свою реферальную ссылку и поделитесь ею с друзьями.

‼️Важно: приглашёнными считаются только те, кто зарегистрировался по вашей ссылке и присоединился к команде, которая прошла модерацию.

Делитесь ссылкой с друзьями и коллегами. Программа действует до окончания регистрации на хакатон.

🎆 11.11. KasperskyOS - 22 года!

Однажды команде разработчиков "Лаборатории Касперского" пришла идея создать операционную систему, в которой стало бы невозможным выполнение вредоносного кода. И вот, спустя 20 лет разработки, сложностей и побед, один из идеологов и родоначальников проекта KasperskyOS Андрей Духвалов рассказал о том, как это было.

Сегодня KasperskyOS - полноценная микроядерная операционная система, помогающая создавать программно-аппаратные системы, защищенные от любых, даже от еще неизвестных угроз, и для нее не требуются наложенные средства защиты, такие как антивирусы. На ее базе создана линейка кибериммунных IoT-шлюзов, кибериммунные тонкие клиенты, защищенные автомобильные шлюзы, SDK для IoT-контроллеров, проводятся исследования по применению KasperskyOS для профессиональных мобильных устройств.

И мы готовы идти дальше, не останавливаясь на достигнутом! ❤️

#KasperskyOS #кибериммунитет #интернетвещей

Присоединяйтесь к празднику 🕺
🟢 Держите новые стикеры
🟢 Enjoy it! 🎸

Когда мы впервые рассказываем о кибериммунной разработке, то иногда сталкиваемся с полярными мнениями:
🟢это очень сложно, “наворотили тут, напридумывали”, “так никто не делает”;
🟢вы не рассказали ничего нового, это всё уже придумано до вас и много где так делается (и в нашей компании Y, например, тоже).

Действительно, кибериммунный подход к разработке - это не уникальная и абсолютно нигде ранее не использовавшаяся концепция, а сочетание здравого смысла, лучших практик и опыта экспертов, позволяющее построить понятный каждому участнику команды процесс разработки доверенных решений из сочетания доверенных и недоверенных компонентов.

Рассмотрим один из сборников опыта системных инженеров в интересующей нас области, а именно, международный стандарт (далее просто Стандарт), который в переводе называется “ГОСТ Р МЭК 62443-3-3-2016. Сети промышленной коммуникации. Безопасность сетей и систем”. И особое внимание уделим его третьей части - “Требования к системной безопасности и уровни безопасности”.

В небольшом в общем-то (всего 62 страницы) документе рассматриваются системы промышленной автоматизации и соответствующие сети. Приводятся определения ключевых терминов, в частности “жизненно важных функций” и “режим ограниченной функциональности”. В п. 4.2 “Поддержка жизненно важных функций” подчеркивается необходимость формулирования и реализации системных требований таким образом, чтобы не нарушать работу жизненно важных функций.

➡️В терминах кибериммунной разработки это аналогично целям безопасности и требованию по их достижению при любых обстоятельствах (включая атаки через недоверенные компоненты).

В разделе 4 “Общие ограничения безопасности систем управления”, пункте 4.4 “Минимальная привилегия” видим следующую рекомендацию: “Должна быть предусмотрена возможность укрепления концепции минимальной привилегии, с ранжированием полномочий и гибкостью соотнесения этих полномочий с ролями, достаточной для ее поддержания.”

➡️В кибериммунной разработке мы, фактически, реализуем эту рекомендацию в виде идентификации доверенной кодовой базы (кода, критического для целей безопасности) и минимизацию этого кода.

Также обратим внимание на раздел 9 Стандарта - “Ограничение потока данных”, в котором рекомендуется исходя из оценки рисков определять “необходимые ограничения на поток информации, а значит, в качестве дополнения, и определять конфигурацию трактов, используемых для передачи этой информации.”

➡️В терминах кибериммунной разработки это соответствует принципу изоляции и контроля взаимодействия.

Таким образом, ключевые концепции кибериммунной разработки (определение целей безопасности, определение и минимизация доверенной кодовой базы, изоляция и контроль взаимодействия подсистем) фактически реализуют рекомендации Стандарта ГОСТ Р МЭК 62443.

Мы рекомендуем изучить весь Стандарт целиком, там ещё очень много полезного! Используйте рекомендации в своих проектах с применением кибериммунного подхода к разработке, как это делаем мы 😎

Ссылка на источник

🔎 Мы начинаем «Хакатон по кибериммунной разработке 3.0»
Команды собраны и готовы.
Жюри - в предвкушении 🍿

Сегодня в 19:00 (по Мск) нас ждут:
👉 главная интрига - подробное описание задачи хакатона: обсуждение требований и критериев оценки работ участников.
👉 обсуждение таймлайна: обзор всех этапов хакатона, включая ключевые даты и мероприятия.
👉 сессия вопросов и ответов: возможность задать любые вопросы экспертам и членам жюри хакатона и получить развернутые ответы.

До встречи на церемонии открытия! 🚀
[ссылка на подключение]
https://us06web.zoom.us/j/87132528338
Идентификатор конференции: 871 3252 8338

Ловите кибериммунный плейлист от KasperskyOS для мотивации команд, участвующих в «Хакатоне по кибериммунной разработке 3.0».
Ну, и остальным - просто для радости 🤩

Больше 🎵 от ИИ KasperskyOS - в нашем плейлисте ВКонтакте.

🦾 Лабораторный поединок: кибериммунитет vs. классическая кибербезопасность?

Чтобы проверить практические преимущества кибериммунных решений, мы провели эксперимент. Мы взяли два IoT шлюза данных: один под управлением операционной системы на базе ядра Linux, другой – кибериммунный под управлением KasperskyOS. Подключили оба шлюза к промышленной инфраструктуре и смоделировали кибератаку на них.

В этом видео расскажем, что из этого вышло.

00:00 Введение
01:44 Структура демо-стенда
02:41 Обзор сценария атаки
03:25 Моделирование атаки на шлюз под управлением Linux
04:54 Моделирование атаки на кибериммунный шлюз под управлением KasperskyOS

#кибербезопасность #IoT #кибериммунитет

🔥Всех, кто уже знает о принципах кибериммунной разработки, приглашаем на следующую ступень нашего мини-курса: "Разработка на KasperskyOS".

🗓 26.11, 03.12, 10.12 и 17.12
в 19:00 по Москве (онлайн)

Мы рассмотрим:
⚪️транспортный код (IPC) на языке C и C++;
⚪️политики безопасности, настройку аудита политик безопасности, работа с логами, тесты политик безопасности;
⚪️пример автоматизации тестирования кода.

Тема учебного примера: “умный дом”, которому мы могли бы доверять.

Для участия необходимо:
⚪️пройти обучение кибериммунному подходу в разработке на курсах, хакатонах или самостоятельно по видео на нашем RuTube-кнале;
⚪️пройти курс KasperskyOS. Разработка на платформе Stepik;
⚪️установить и настроить KasperskyOS Community Edition SDK 1.2;
⚪️запустить пример “hello” из поставки SDK.

📝 Для записи в учебную группу присылайте скриншот отработавшего примера “hello” из поставки KasperskyOS Community Edition SDK 1.2 в Telegram нашему проводнику в мир разработки на KasperskyOS Юрию Безносу до 26 ноября 15:00 по Москве.

Ждем вас на II ступени курса 🚀

🛡 ЗАВТРА 27 ноября в 11:00
Онлайн-конференция "Конструктивная кибербезопасность"
▶️ РЕГИСТРАЦИЯ НА ТРАНСЛЯЦИЮ
Организатор: AM Live

В рамках конференции:
🟢рассмотрим принципы, преимущества и все этапы практического внедрения подхода конструктивной кибербезопасности (Secure by Design);
🟢перечислим методики и инструменты, которые помогут вашей команде разработать продукт, обладающий кибериммунитетом;
🟢обсудим сложности, с которыми с большой вероятностью столкнутся разработчики;
🟢поделимся примерами успешного (и не очень) применения принципов конструктивной кибербезопасности в реальных проектах;
🟢а также расскажем, как соблюсти баланс между эффективностью и безопасностью.

Как видите, программа конференции очень обширная, вопросы - актуальные, а спикеры - эксперты в своем деле (от нас будет Андрей Петрович Духвалов, директор департамента перспективных технологий "Лаборатории Касперского" 😎).

▶️ХОЧУ ССЫЛКУ НА ТРАНСЛЯЦИЮ

Эфир c AM Live получился просто 💥
Кто не смог быть онлайн, смотрите запись.

😎 Конструктивная кибербезопасность: принципы, преимущества и все этапы практического внедрения подхода конструктивной кибербезопасности (Secure by Design):
▫️Какие принципы лежат в основе конструктивной кибербезопасности (Secure by Design)?
▫️Каких именно уязвимостей можно избежать? Какие конкретно риски минимизирует принцип конструктивной кибербезопасности?
▫️Как применить эти принципы в реальных проектах? С чего начать?
▫️Где можно научиться конструктивной кибербезопасности?
▫️На какие государственные или отраслевые стандарты стоит ориентироваться? Например, ГОСТ Р 56939-2016
▫️Как не увлечься безопасностью и не свести к нулю экономическую целесообразность и конкурентоспособность нового продукта?

👉 Ссылка на эфир AM Live ВКонтакте
Свои вопросы можно задать в комментариях ниже, а мы обязательно передадим их спикерам 🤜🤛