Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Samsung Knox Vault: защита самых важных данных

Рубрики: «Информационная безопасность», «Мобильные устройства»

Samsung Knox Vault: защита самых важных данных

Восемь лет назад Samsung поставила перед собой задачу создать самые надежные мобильные устройства в мире. Представив платформу Samsung Knox на выставке MWC в 2013 году, компания внедрила в них ключевые элементы аппаратной безопасности, призванные защитить мобильные устройства Samsung и данные пользователей от все более изощренных киберугроз.

С тех пор Samsung Knox превратилась в нечто большее, чем просто встроенная платформа безопасности — теперь в нее входит полный набор инструментов по управлению мобильными устройствами для корпоративных IT-администраторов. Однако специалисты Samsung по планированию мобильных продуктов, разработчики и инженеры по безопасности по-прежнему заняты поиском ответа на главный вопрос: как оставаться на шаг впереди хакеров и обеспечивать постоянную безопасность пользователей?

Samsung Knox Vault — логическая эволюция того, над чем компания работала в течение многих лет: изолированная, аппаратная и высокозащищенная среда для хранения наиболее важной информации на устройстве.

Чтобы разобраться, что такое Samsung Knox Vault, для начала коротко рассмотрим, как принцип изоляции укрепляет платформу мобильной безопасности Samsung Knox.

Эволюция платформы Samsung Knox

Изначально основной упор на платформе Android делался на создание более открытой и гибкой мобильной операционной системы, а унаследованная от платформы Unix и мэйнфреймов безопасность для того времени была максимально современной. Но уже тогда было ясно, что смартфоны бывают разными. Это были просто наиболее «персональные» компьютеры на рынке.

Специалисты Samsung быстро поняли, что необходимо обратить более пристальное внимание на модель угроз для таких устройств, особенно на обеспечение дополнительной защиты важной информации вроде закрытых ключей и цифровых сертификатов. Тогда у них возникла идея использовать среду Trusted Execution Environments (TEEs) на мобильных устройствах. С помощью функции под названием TrustZone Samsung первой из компаний задействовала защиту на основе TEE в ARM-процессорах смартфонов Galaxy.

Цель TrustZone — изолировать программное обеспечение, которое владеет наиболее конфиденциальной информацией устройства: паролями, биометрическими данными и криптографическими ключами. Это происходит за счет запуска другой ОС вместе с Android. Когда возникает необходимость проверить пароль или отпечаток пальца, Android, не имея прямого доступа к конфиденциальной информации, запрашивает апплет TrustZone для выполнения от его имени нужных задач, таких как расшифровка данных. Благодаря TrustZone конфиденциальные криптографические и биометрические данные никогда не передаются в ОС Android или общедоступные приложения.

Для успешного взлома таких данных даже с помощью очень сложного вредоносного ПО потребуется значительно больше времени, чем для обнаружения известной уязвимости Android и написания эксплойта, так как для этого нужно взломать гораздо более строгую защиту TrustZone из нескольких интерфейсов и «плоскостей». Все это значительно усложняет работу хакеров.

TrustZone в сочетании с другими уровнями платформы Samsung Knox, такими как Real-Time Kernel Protection, задает новый стандарт обеспечения аппаратной безопасности устройств. Тем не менее, инженеры Samsung, для которых безопасность является главным приоритетом, приступили к изучению среды TEE, спрашивая себя: «Как мы можем усилить уже имеющуюся защиту?»

Появление Samsung Knox Vault

Изоляция данных повышает их безопасность: с этим фактом согласится любой директор по информационной безопасности. Функция TrustZone преимущественно независима, но у TrustZone и ОС Android остаются пересекающиеся и общие ресурсы. В частности, они совместно используют центральный процессор и память, что возлагает дополнительную ответственность за изоляцию информации на низкоуровневую защиту программного обеспечения. Чем сильнее конфиденциальные данные отделены от основной ОС, тем лучше они будут защищены в случае взлома.

Именно здесь на помощь приходит платформа Samsung Knox Vault, в которой сочетаются специальное оборудование для обеспечения безопасности (новый защищенный процессор и изолированная защищенная память) и новое интегрированное программное обеспечение, которые оберегают наиболее ценные данные ОС Android и приложений.

Функция TrustZone сравнима с сейфом в банковском филиале. Многие люди, которым вы не всегда доверяете, ходят рядом с этим сейфом и занимаются повседневной работой, не требующей физического доступа к нему. В свою очередь, защищенный процессор в Samsung Knox Vault больше напоминает военную базу Форт-Нокс: этот сейф надежно размещен вдали от банка и изолирован от всех, кто входит в отделение.

При разработке Samsung Knox Vault мы сосредоточились на создании высокозащищенного пространства для нашего собственного безопасного программного обеспечения. Задача Samsung Knox Vault заключается исключительно в управлении самой важной информацией и ее защите: PIN-кодами, паролями, биометрическими данными, цифровыми сертификатами, криптографическими ключами и другими конфиденциальными сведениями.

Как процессор обеспечивает дополнительную защиту

Samsung Knox Vault логически дополняет защиту данных на аппаратном уровне в смартфонах Galaxy. Инженеры Samsung рассматривали проблему повышения безопасности устройства как вопрос доверия: каким частям системы следует доверять? В дальнейшем они разбирались, как снизить число этих элементов, чтобы не беспокоиться о том, что часть из них будет скомпрометирована. Таким образом была создана платформа Samsung Knox Vault и ее ключевые функции вроде защищенного процессора.

Samsung Knox Vault расширяет защиту, которую предлагает TrustZone. Защищенный процессор работает независимо от основного чипа под управлением ОС Android — это усиливает безопасность, минимизирует количество общих компонентов и сокращает число потенциальных векторов атаки.

Инженеры Samsung проанализировали не только векторы программных атак. В компании также учли «физические» атаки на смартфон, при которых устройство находится у злоумышленника в руках. Когда кто-то пытается напрямую вмешаться в электронику телефона — например, с помощью лазерного излучения или нанесения электромагнитных повреждений — защищенная информация в хранилище может самоуничтожиться, и доступ к ней будет попросту невозможен.

Многим пользователям подобные физические угрозы могут показаться надуманными. Распространено мнение, что смартфоны крадут потому, что само оборудование можно выгодно продать, а не из-за ценной информации. Однако сейчас все больше людей хранят на своих смартфонах очень важные данные — не только конфиденциальные корпоративные сведения, но и Blockchain-кошельки и менеджеры паролей. В частности, для наших корпоративных или государственных заказчиков, которым необходимо защищать конфиденциальную финансовую, медицинскую или даже связанную с обороной информацию, серьезные физические атаки представляют собой серьезную проблему.

Samsung Knox Vault

Samsung Knox Vault

Samsung стремится сделать все возможное, чтобы снизить угрозы безопасности данных пользователей, в том числе в подобных критических случаях. Физическая безопасность Samsung Knox Vault обеспечивает дополнительный уровень защиты, поэтому даже хакеры, которые получают прямой доступ к устройству, не могут добраться до хранящейся на нем информации.

Клиенты Samsung доверяют компании за ее постоянную работу над повышением безопасности оборудования и программного обеспечения, и мы благодарны им за это. Samsung Knox Vault, впервые интегрированная в новую серию Galaxy S21 5G, демонстрирует стремление компании обеспечивать высочайший уровень защиты для мобильных устройств и наиболее конфиденциальных данных.