Скрытый канал – коммуникационный канал, позволяющий транслировать информационные ресурсы между разными процессами в обход политики безопасности. Термин впервые появился в 1973 году и обозначал каналы, которые изначально не предназначены для передачи данных. Сетевой скрытый канал (ССК) представляет собой скрытый путь коммуникации внутри легитимного сетевого взаимодействия, который явно нарушает установленные политики безопасности [1]. Существуют две основные категории скрытых каналов: каналы по времени (timing channels) и каналы по памяти (storage channels) [2]. Каналы по времени используют временные характеристики сетевого трафика для передачи информации, в то время как каналы по памяти модифицируют поля протоколов или структуры данных. Иногда в отдельную группу выделяют статистические каналы [3]. Они представляют собой комбинацию первых двух типов скрытых каналов.

Применение скрытых каналов началось с простых схем, когда скрытая информация кодировалась в неиспользуемые или необязательные поля заголовков сетевых пакетов, в длины пакетов или в интервалы между пакетами. Современные схемы кодирования намного сложнее. Например, поведенческие каналы в HTTP протоколе имитируют естественные паттерны пользовательского поведения. Одним из инновационных подходов стала модуляция времени чтения веб-ресурсов. При этом, коммуникация осуществляется путем изменения временных интервалов между доступом к веб-ресурсам, используя среднее время чтения обычного пользователя в качестве эталона [4]. Поведенческие скрытые каналы кодируют информацию посредством модуляции времени транзакций на уровне целых приложений.

В последнее время получили развитие так называемые исторические каналы (history cover channels). В таких каналах коммуникация осуществляется путем ссылок на неизмененный легитимный трафик, создаваемый доверенными сетевыми узлами [5]. В отличие от всех предыдущих скрытых каналов, которые требуют имитации легитимным потоков или модификации сторонних потоков, исторические каналы требуют передачи скрытой информации только в незначительной части процесса скрытой коммуникации.

В процессе анализа развития различных схем построения скрытых каналов появилась возможность их использования в качестве эффективного механизма защиты от злоумышленников. В системах CAN (Controller Area Network) разработаны методы аутентификации, использующие скрытые временные каналы. Протокол TACAN (Transmitter Authentication in CAN) обеспечивает безопасную аутентификацию электронных блоков управления (ЭБУ) путем эксплуатации скрытых каналов без внесения модификаций в CAN или создания дополнительной нагрузки на трафик. Аналогичный подход используется в протоколе CANTO, который создает скрытый аутентификационный канал через факт, прошедший дополнительную оптимизацию с целью уменьшения влияния шума на каналовую скрытую информацию.

Противодействие утечке информации по скрытым каналам состоит из обнаружения и выявленных мер, оказывающих влияние на функциональные возможности и пропускную способность основного канала связи.

Обнаружение скрытых каналов представляет сложную техническую задачу, требующую применения различных подходов. Статистические методы, основанные на теории восприятия, позволяют выявлять аномалии в сетевом трафике, характерные для передачи скрытой информации. Разработаны гибридные механизмы обнаружения ССК на аналогичном уровне, которые анализируют характеристики трафика для выявления ССК. Применение машинного обучения и нейронных сетей демонстрирует высокую эффективность в задачах выявления скрытых каналов. Перспективно применение автокодировщиков. Они выполняют обнаруживать аномальные поведенческие паттерны трафика, так как способны изучать нормальные распределения данных и выявлять отклонения, характерные для скрытых каналов. Методы обучения без учителя позволяют обнаруживать неизвестные варианты ССК с необходимостью в предварительно размеченных данных или сигнатурах. Однако, остаются временными многие вопросы – вероятность ошибок первого и второго рода, требования к обучающей выборке и прочие.

Защита от временных скрытых каналов требует активного мониторинга и модификации временных паттернов сетевого трафика. Для противодействия адаптивным скрытым каналам появляются методы внедрения временного шума, включающие искусственные задержки и анализ интервалов передачи пакетов. Для защиты от скрытых каналов по памяти используют контроль длины пакетов, реализуемый через нормализацию размеров пакетов для сигнальных протоколов. Нормализация заголовков протокола включает стандартизацию полей направления и расширений, устранение необязательных элементов и фиксацию размеров сетевой информации. Скрытые каналы, использующие модуляцию битрейта, блокируются через контроль скорости передачи.

Проведенный анализ выявляет скрытые каналы в общественных (HTTP, TLS, ICMP) и промышленных протоколах (Modbus/TCP, CAN). Для изучения поведения скрытых каналов времени в ICMP-трафике разработан стенд, имитирующий поведение закладки, работающей по принципу скрытого канала, при сетевом взаимодействии двух компьютеров. Эксперимент показывает, что даже простые схемы кодирования скрытой информации являются не обнаруживаемыми для ряда современных средств сетевой защиты. На стенде реализована схема обнаружения скрытых каналов с использованием кластеризации по статистическим данным. Этот подход основан на анализе статистических характеристик временных интервалов и выявлении аномалий, которые могут указывать на наличие скрытой передачи данных. Экспериментальная проверка подтверждает эффективность предложенных решений.

Скрытые каналы передачи данных представляют серьезную угрозу информационной безопасности, поскольку позволяют обходить политики безопасности без явного вмешательства в работу системы. Схемы построения скрытых каналов развивались от простых временных манипуляций до сложных поведенческих и сервисных моделей. При этом они могут использоваться не только для атак, но и как механизм защиты. Обнаружение скрытых каналов требует применения продвинутых методов сетевого анализа, включая машинное обучение и нейросети. Эффективная защита должна учитывать особенности каждого типа скрытых каналов и адаптироваться к их эволюции.

Список литературы

1. Abraham J. et al. Design of Transport layer based Hybrid covert channel detection //arXiv preprint arXiv:1101.0104. – 2010.
2. Wendzel S. Protocol Channels //arXiv preprint arXiv:0809.1949. – 2008.
3. ГОСТ Р 53113-2008. Информационная технология. Защита информации технологий и автоматизированных систем от угроз информационной безопасности реализуемых с использованием скрытых каналов. Общие положения. — Введ. 2009-01-01. — М.: Стандартинформ, 2008. — IV, 12 с.
4. Davis J., Frost V. S. A Covert Channel Using Named Resources //arXiv arxiv:1408.4749. – 2014.
5. Wendzel S. et al. DYST (did you see that?): an amplified covert channel that previously seen data //IEEE Transactions on Dependable and Secure Computing. – 2024.

Идею внедрения системы удаленной идентификации в российские БПЛА нельзя назвать новой. Данная инициатива обсуждается уже около двух лет, и сейчас она как никогда близка к реализации. У этого есть две причины.

Во-первых, имеется консенсус между регулятором и крупными компаниями, эксплуатирующими беспилотники. Напомню, что помимо боевого применения дроны используются для решения широкого спектра задач начиная от мониторинга инфраструктуры (например, с целью поиска утечек при облетах газопроводов или контроля состояния линий электропередач) и заканчивая составлением карт и доставкой грузов в труднодоступные места. Большинство компаний заинтересованы в том, чтобы такие работы велись предсказуемо и безопасно, чему отлично способствует наличие на аппаратах системы «свой-чужой». Во-вторых, на российском рынке ПО уже существует множество готовых решений, которые активно применяются для отслеживания «наших» дронов, и их вполне можно широко использовать совместно со специализированными бортовыми модулями в случае, если такая практика станет обязательной. Причем сделать это можно как с новыми БПЛА, так и в отношении уже эксплуатирующихся аппаратов, большинство из которых легко поддаются модернизации.

При этом есть все основания ожидать, что получившаяся система будет глобальной и начнет действовать по всей стране. Здесь мы идем в ногу с Китаем, который имеет схожие планы по контролю БПЛА на своей территории.

Технология идентификации, которая сейчас разрабатывается для дронов, существенно отличается от решений, используемых в системах свой-чужой для гражданских и военных самолётов, вертолетов и ракет. Поэтому они будут использоваться организациями совместно, взаимно дополняя друг друга.

Переход на систему удаленной идентификации может значительно отразиться на рынке средств противодействия БПЛА, поскольку те защитные решения, которые уже внедрены в российских организациях, придется перенастраивать под новый режим эксплуатации. В частности, изменения могут заключаться в обновлении ПО, используемого в системах радиоэлектронной разведки и радиолокационных станциях, которые выступают в качестве основных средств обнаружения. Это необходимо для того, чтобы системы отличали собственные дроны и не могли подавить их работу. Скорее всего, такие меры будут приниматься в обязательном порядке, и те решения, которые не получится вовремя адаптировать, будут выведены из эксплуатации в российских компаниях.

АО «Цикада» обладает собственной экспертизой по выстраиванию эшелонированной защиты с применением широкой линейки средств противодействия БПЛА от ведущих российских вендоров, включающей системы для обнаружения, глушения и перехвата управляющего сигнала дронов. Она позволяет надежно защищать объекты наших клиентов от несанкционированного проникновения на их территорию в современных условиях.

Сегодня у компании есть все возможности для оперативной адаптации всех систем защиты от БПА (включая уже установленные у заказчиков) к новым стандартам использования для совместной работы с решениями удаленной идентификации. Это достигается за счет того, что в их конфигурациях изначально предусматривалась возможность глубокой модернизации. Она может подразумевать как обновление ПО, так и замену (добавление) отдельных аппаратных модулей под новые задачи, выполнение которых необходимо для поддержания высокого уровня безопасности объектов.

Ожидается, что ввиду востребованности эффективных защитных решений и высокого уровня угроз, система удаленной идентификации БЛА может быть внедрена в российскую практику уже в этом году. И на сегодняшний день мы полностью готовы с ней работать.

Присутствующая ранее формулировка требования предоставлять информацию о закупленных для производства промышленной продукции комплектующих, имеющих подтвержденное российское происхождение, исчезла из проекта документа. В настоящее время на территории РФ нет достаточного количества производства ЭКБ, в связи с чем разработчики предлагаемых корректировок в ПП № 719 решили отложить внедрение данного требования.

Подобные изменения уже ранее присутствовали, например, в части требований сборки и изготовления корпусных деталей, что в последнее время стало возможным и данные требования включили в явном виде. С учетом перспектив роста производства ЭКБ на территории РФ следует ожидать включения рассматриваемого требования в будущие корректировки ПП № 719.

Увеличение числа мультивекторных смешанных хакерских атак в российском сегменте интернета может быть обусловлено несколькими факторами:

1. Развитие технологий и инструментов для проведения кибератак: Хакеры постоянно совершенствуют свои методы и используют новые уязвимости в системах защиты.
2. Недостаточный уровень защиты: Многие организации и пользователи не уделяют должного внимания кибербезопасности, что делает их легкой мишенью для хакеров.
3. Финансовая мотивация: Кибератаки могут быть очень прибыльными для злоумышленников, особенно если они нацелены на крупные компании или государственные учреждения.

1. Повышение осведомленности: необходимо обучать сотрудников и пользователей основам кибербезопасности, чтобы они могли распознавать потенциальные угрозы.
2. Регулярное обновление систем защиты: важно своевременно устанавливать обновления безопасности и использовать современные инструменты защиты.
3. Сотрудничество между организациями и государством: Необходим обмен информацией об угрозах и координация действий по противодействию кибератакам.
4. Инвестиции в исследования и разработки: необходимо развивать новые технологии и методы защиты от кибератак, чтобы опережать злоумышленников.

В состав консорциума будут входить ключевые государственные учреждения, владеющие компетенциями в области информационной безопасности при применении технологий ИИ. В частности, ИСП РАН с 2021 года проводит работы по созданию методик и соответствующих программных и аппаратно-программных платформ для разработки и верификации технологий ИИ с требуемым уровнем доверия. Академия криптографии проводит широкий спектр научно-исследовательских работ (в том числе грифованных) по исследованию проблем построения систем, использующих технологии ИИ. НКЦКИ обеспечивает оперативную реакцию на компьютерные инциденты и обеспечение защиты информационной инфраструктуры, а также активно отслеживает и анализирует актуальные киберугрозы и уязвимости, в том числе в области технологий ИИ.

Создание консорциума — важный шаг для формирования требований в области ИБ к технологиям ИИ, поскольку является объединением теоретической проработки, практической разработки доверенных технологий ИИ и фактическому анализу эффективности мероприятий по обеспечению информационной безопасности в технологиях ИИ.

ГК «Инфотактика» проводит работу по разработке доверенного ИИ при взаимодействии с АПКИТ и «Доверенная платформа». С учётом имеющихся у ряда сотрудников ГК «Инфотактика» компетенций по вопросам применения технологий ИИ в области обеспечения ИБ, в будущем планируется провести работы по подключению ГК «Инфотактика» к участию в работах консорциума.

Новые правила, согласно которым информация об определенных госзакупках теперь будет под грифом «Секретно», создают серьезные препятствия для аналитических и конкурентных исследований важного сегмента рынка. Описанный в распоряжении запрет распространяется, в частности, на коммутаторы и маршрутизаторы, носители информации, а также группу устройств, под названием «Средства связи, выполняющие функцию цифровых транспортных систем». Весь список закрытых госзакупок состоит из 144 пунктов.

С одной стороны, подобные действия Правительства РФ объясняются стремлением к национализации рынка, с другой стороны, сегодня у нас уже есть достаточно российских производителей, чьи закупки можно было бы выставлять на обозрение для целей внутреннего потребления, как престиж нашей страны.

Эксплуатируемая система распознавания лиц в системе «Безопасный город» базируется на нейросетевых технологиях обработки лицевой биометрии в специализированных ЦОД, ресурсы которых в настоящее время не позволяют осуществить масштабирование до десятков миллионов видеокамер. России предстоит еще долгий путь к созданию полномасштабной системы распознавания лиц в масштабах всего государства. В качестве примера можно рассмотреть Китай — к системе распознавания лиц подключено уже более 500 млн видеокамер. Подобный масштаб был достигнут с помощью применения специальных камер со встроенными функциями распознавания лиц. ГК «Инфотактика» в ближайшее время планирует выпустить на рынок сетевую видеокамеру со встроенной аналитикой и средствами кибербезопасности. Встроенный в видеокамеру специальный вычислительный модуль позволит выполнять задачи распознавания лиц в режиме реального времени непосредственно в самой камере, что позволит осуществить массовое подключение новых объектов к системе «Безопасный город».