KasperskyOS
 

KasperskyOS

Продукт
Разработчики: Лаборатория Касперского
Дата премьеры системы: 2012
Дата последнего релиза: февраль 2017 года
Технологии: Интернет вещей Internet of Things (IoT),  ОС

Содержание

KasperskyOS - безопасная операционная система. Предназначена для использования в критически важных инфраструктурах и устройствах сети Интернета вещей.

KasperskyOS

Особенности KasperskyOS

1. Система собственной разработки

Это не порт и не адаптация других систем (в частности, Linux), а полностью собственная разработка "Лаборатории Касперского". Систему разрабатывали, в общей сложности, в течение 14 лет. Система лишена графического интерфейса и не предназначена для потребительского рынка.

2. Система построена базе микроядра и снабжена независимым защитным "движком" (Security Engine).

Весь обмен данными между программными модулями KasperskyOS проходят через системное микроядро, которое содержит средства вычисления вердиктов безопасности, которые будут разрешать или запрещать каждое конкретное действие приложения. Само ядро содержит минимум необходимого для работы кода.

3. По умолчанию всё запрещено

Система выстроена на основе принципа Default Deny, исключающем совершение программными компонентами каких-либо несанкционированных действий. Решение выстроено по принципу разделения объектов на максимальное количество изолированных сущностей. Пользователи системы могут проанализировать исходный код и убедиться, что никаких незадокументированных функций в ней не запрятано. Всё остальное, таким образом, настраивается при участии заказчика - в виде различных политик безопасности, каждая из которых настраивается индивидуально под каждое приложение.

4. Свой ярлык на каждый элемент

Никто не сможет установить в систему приложение, не задав его поведенческую конфигурацию. Аппаратное ПО и приложения ресурсного уровня (файлы, базы данных, сетевые порты и т.д.) помечаются своими атрибутами безопасности. Получить доступ к ресурсу, лишённому "метки безопасности", невозможно.

5. Система в целом POSIX-совместима

Но использование "нативных" API гарантирует безопасное поведение приложений. Разработчик должен будет выбрать надлежащий баланс между совместимостью и безопасностью программного кода.

6. Система ориентирована на широкий диапазон способов применения

Среди таковых:

  • Телекоммуникационное оборудование
  • "Умные" автомобили
  • M2M- и IoT-оборудование
  • Промышленные системы

2017: Глобальный анонс

В феврале 2017 года "Лаборатория Касперского" объявила о глобальном запуске своей защищённой операционной системы KasperskyOS для промышленных систем, встраиваемых устройств и Интернета вещей.

В августе прошлого года компания произвела "пробный релиз"; было объявлено, что в производство запущены первые роутеры российской компании Kraftway на базе новой операционной системы. Теперь произведён полный коммерческий релиз, и продукт доступен для заказчиков по всему миру.


Как поясняется в блоге руководителя компании Евгения Касперского, по сути "Лаборатория Касперского" выпустила сразу три разных продукта: самостоятельную операционную систему, отдельный безопасный гипервизор для систем виртуализации и систему, обеспечивающую защиту при взаимодействии отдельных компонентов операционной системы - Kaspersky Security System. Коммерческий релиз KSS состоялся ещё в феврале 2015 года. Тогда же было объявлено, что немецкая компания SYSGO лицензировала KSS для использования с собственной защищённой операционной системой промышленного назначения PikeOS.

Характерной особенностью KasperskyOS является её открытая архитектура: исходный код доступен всем желающим для анализа. По утверждению разработчиков, KasperskyOS не собирает и не передаёт куда-либо "на сторону" никаких данных о системах, на которых она работает. ОС лишена каких-либо незадокументированных функций.

Вопреки популярному предположению, KasperskyOS не имеет никакого отношения к Linux или каким бы то ни было другим открытым операционным системам.

«
Ни одной строчки кода Linux, - говорится сообщении компании.
»

Система не предназначена для массового рынка, и не будет распространяться в "коробочном" формате. Её планируется поставлять по конкретным заказам с адаптацией для систем заказчика.[1]

2016

Выход на российский рынок

18 августа 2016 года «Лаборатория Касперского» сообщила о выводе на российский рынок программного продукта - KasperskyOS - операционной системы для элементов инженерной, индустриальной инфраструктуры.

Ссылаясь на особенности архитектуры и назначение KasperskyOS, компания гарантирует высокий уровень ее информационной безопасности. Основной принцип работы ОС сводится к правилу «запрещено все, что не разрешено». Это помогает исключить возможность эксплуатации известных уязвимостей и тех, что будут обнаружены в будущем. При этом, система крайне гибкая и все политики безопасности, в том числе запреты на исполнение определенных процессов и действий, настраиваются в соответствии с потребностями организации-потребителя.

Операционная система KasperskyOS не замена действующих операционных систем широкого применения, используемых на пользовательских компьютерах или серверах. У нее другие задачи и другой принцип работы - безопасность приложений в этой ОС определяется проверкой и утверждением их поведения. Любые коммуникации между программными модулями KasperskyOS гарантированно проходят через системное микроядро, содержащее средства вычисления вердиктов безопасности в соответствии с заданной политикой безопасности, разрешающими или запрещающими каждое конкретное действие со стороны приложения.

Компания рассматривает возможность использования KasperskyOS в промышленных системах, в частности в АСУ ТП, в телекоммуникационном оборудовании, в медицинских аппаратах, в автомобилях и прочих гаджетах из мира «Интернета вещей» – например, в видеокамерах, которые ведут запись, выполняют распознавание объектов и лиц, хранение и классификацию информации.

Решение будет поставляться как предустановленное ПО на различных типах оборудования, используемого в индустриальных и корпоративных сетях. Согласно заявлению компании, ОС «Лаборатории Касперского» внедрена в маршрутизирующий коммутатор уровня L3, разработанный компанией Kraftway.

Андрей Духвалов - Архитектура и реализация KasperskyOS, (2016)

Kraftway — первый клиент

В августе 2016 года стало известно о том, что Kraftway станет первым пользователем операционной системы «Лаборатории Касперского». Российский производитель ИТ-оборудования установит KasperskyOS в свои маршрутизаторы. Подробнее здесь.

2015: Завершение разработки

В конце февраля 2015 года «Лаборатория Касперского» сообщила о выводе на рынок своего нового решения – Kaspersky Security System (KSS), предназначенного для обеспечения защиты различных информационных систем с повышенными требованиями к кибербезопасности: от ERP и электронного документооборота до интеллектуальных электросетей, систем управления объектами критической инфраструктуры.

В брошюре к нему указывается, что новое решение «выросло» из разработки KasperskyOS – собственной операционной системы «Лаборатории Касперского», и может работать на базе этой ОС, а также PikeOS и Linux.

Директор по спецпроектам департамента перспективных разработок «Лаборатории Касперского» Андрей Никишин рассказал TAdviser, что по состоянию на начало 2015 года разработка основных компонентов KasperskyOS завершена. Поставлять ОС планируется в связке с KSS:

«Kaspersky Security System – это один из основных элементов KasperskyOS, и продавать ее без KSS – это как продавать автомобиль без двигателя», пояснил Никишин.

Он добавил, что компания продолжает наращивать функционал своей безопасной ОС.

По состоянию на начало 2015 года завершена разработка основных компонентов KasperskyOS, однако «Лаборатории Касперского» продолжает наращивать ее функционал

В рамках разработки безопасной ОС «Лаборатория Касперского» совместно работает с потенциальными заказчиками, проводит исследования угроз, возможных векторов кибератак. Помимо этого, поскольку безопасная ОС – это узкоспециализированное решение, ее адаптируют для каждого конкретного заказчика, тщательно интегрируя аппаратную и программную части, рассказывает Андрей Никишин.

«Кроме этого, требуется пройти обучение с тем, чтобы правильно писать приложения для KasperskyOS. Без правильно написанного программного обеспечения нельзя добиться высокого уровня безопасности всей системы в целом, – резюмировал директор по спецпроектам департамента перспективных разработок «Лаборатории Касперского». – Именно поэтому нельзя ни скачать дистрибутив или SDK, ни купить саму ОС в магазине. Если у вас есть задача, есть аппаратная платформа, то приходите – будем обсуждать».

Говоря о ключевых параметрах KasperskyOS, Андрей Никишин пояснил, что это не замена для существующих настольных операционных систем, таких как Windows, Linux, MAC, которые предназначены для рабочих станций и серверов конечных пользователей: «Эти ОС, на наш взгляд, предоставляют недостаточные гарантии безопасности для тех применений, на которые ориентируемся мы, особенно в контексте развития современных угроз».

Наша защищенная ОС предназначена для решений, в которых безопасность является первостепенной задачей и которые имеют возможность или ненулевую вероятность информационного обмена с внешними сетями, например с Интернетом. Основной принцип работы безопасной ОС – невозможность функционирования не декларированных свойств программного обеспечения. Любые коммуникации между модулями безопасной ОС проходят через микро-ядро ОС, которое соединено с security-сервером. Последний предоставляет вердикт безопасности на любое действие и на основании этого вердикта, ядро или разрешает или блокирует коммуникацию. При этом политика и модель безопасности настраивается под нужды клиента и, более того, может меняться.

Андрей Никишин пояснил, что в результате, любое ПО сможет выполнять лишь те функции, для которых оно предназначено. Подобный подход позволяет не опасаться уязвимостей – если у приложения есть какая-то уязвимость, то оно не сможет повлиять на работу других программ и системы в целом, поскольку оно может выполнять только те действия, которые ему разрешены, сказал он.

2013: Тестирование

В декабре 2012 года стало известно о том, что защищенная промышленная ОС «Лаборатории Касперского» вступила в стадию бета-тестирования[2]. По словам представителей компании, несколько доверенных партнеров «Лаборатории Касперского» получили пакеты разработчиков (SDK) системы и, помимо собственно тестирования, занимаются написанием для нее служебных программ, в том числе драйверов промышленных контроллеров.

Названия этих партнеров в компании не озвучили, однако отметили, что это отечественные интеграторы, одновременно являющиеся партнерами зарубежного поставщика АСУ ТП.

Тогда же стало известно, что защищенная ОС «Касперского» писалась «с нуля»: в ней не используется никакой прежде существовавший код, включая ядро Linux и других открытых систем. Операционная система основана на микроядерной архитектуре, и в основном поддерживает стандарт POSIX (Portable Operating System Interface for Unix, переносимый интерфейс операционных систем Unix).

2012: Первые факты о новой ОС

О том, что «Лаборатория Касперского» разрабатывает собственную операционную систему, стало известно летом 2012 года, когда компания разместила на ресурсе HeadHunter вакансии, связанные с разработкой новой защищенной ОС. Из их описания следовало, что работы по этому направлению компания ведет уже достаточно длительное время.

Позднее, осенью 2012 года, информацию о ведущейся разработке подтвердил на своем сайте основатель «Лаборатории Касперского» Евгений Касперский. По его словам, новая ОС предназначена для использования в промышленных системах.

В 2012 году Евгений Касперский раскрыл некоторые подробности о разрабатываемой ОС

Разработку собственной ОС компания начала, исходя из идеи слабой защищенности современных индустриальных ИТ-систем. Цель компании – создать защищенную ОС, на которой будут «крутиться» ICS-системы, которую можно встроить в существующую инфраструктуру, контролирующую «здоровье» существующих систем и гарантирующую получение достоверной информации, пояснил Касперский.

«Наша система – узкоспециализированная, она разрабатывается для решения конкретной задачи, и не предназначена для игры в Half-Life, редактирования видео или общения в соцсетях. Мы работаем над методом написания ПО, которое в принципе (by design) не будет способно выполнять незаявленную в нем функциональность. Этот момент – самый важный: невозможность выполнения стороннего кода, взлома системы или программ в нашем проекте – это вещь доказываемая и проверяемая», - написал он о новой системе на своем сайте.

Заказчики

Тестирование в ПФР

Первый заместитель директора Межрегионального информационного центра Пенсионного фонда РФ (МИЦ ПФР) Сергей Гоцуцов на конференции TAdviser «Импортозамещение 2018: реальный опыт», прошедшей 14 февраля, рассказал о пилотном проекте использования защищенной операционной системы KasperskyOS для создания защищенных тонких клиентов в инфраструктуре VDI. В рамках проекта решение апробируется на нескольких терминалах.

Kaspersky Secure Hypervisor реализует либо на тонком клиенте, либо на стандартном АРМ несколько контейнеров, которые разделены между собой, и управляет обменом данными между всеми контейнерами и между контейнером и внешним миром. В пилотном проекте ПФР в одном контейнере развернута доверенная гостевая ОС, в другом – недоверенная, с которой работает конечный пользователь. Все средства, от которых зависит безопасность конечного рабочего места, находятся в доверенной ОС, включая антивирус. Во второй ОС таковых не содержится. В случае ПФР недоверенной гостевой ОС в пилотном проекте является Windows 7. Подробнее о проекте - здесь.

Примечания



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) РЕШЕНИЕ НА БАЗЕ (2)
СМ. ТАКЖЕ (7)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

  Microsoft (1, 12)
  PTC Inc (Parametric Technology Corporation ) (1, 2)
  Longest Chance (1, 1)
  IDlogic (1, 1)
  IBM Bluemix (ранее SoftLayer) (1, 1)
  Другие (1, 1)

  МегаФон (2, 9)
  Microsoft (1, 9)
  Стриж Телематика (2, 3)
  SAP SE (2, 2)
  Мобильные ТелеСистемы (МТС) (1, 2)
  Другие (5, 5)

  Цифра (1, 4)
  Microsoft (1, 4)
  Стриж Телематика (1, 4)
  АйТиПроект (ITProject) (1, 4)
  АББ (ABB) (1, 1)
  Другие (3, 3)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2015 год
2016 год
2017 год
Текущий год

  Microsoft (4, 5)
  Ред Софт (RedSoft) (1, 1)
  Базальт СПО (BaseALT) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2015 год
2016 год
2017 год
Текущий год

  Microsoft Windows - 68 (24, 44)
  Windows Azure - 20 (20, 0)
  Windows HPC Server 2008 R2 - 4 (3, 1)
  Unix - 3 (2, 1)
  Ред ОС (Red OS) - 2 (2, 0)
  Другие -29

  Windows Server 2012 - 7 (7, 0)
  Microsoft Windows - 4 (1, 3)
  Unix - 2 (1, 1)
  Windows HPC Server 2008 R2 - 1 (1, 0)
  Другие -4

  Microsoft Windows - 7 (4, 3)
  Linux - 3 (1, 2)
  CentOS - 1 (1, 0)
  Oracle Linux (Oracle Enterprise Linux) - 1 (1, 0)
  Другие -5

  Microsoft Windows - 7 (3, 4)
  Astra Linux Special Edition - 3 (3, 0)
  SailfishOS - 1 (1, 0)
  ОСРВ МАКС - 1 (1, 0)
  Ред ОС (Red OS) - 1 (1, 0)
  Другие -4