NIST опубликовал черновик руководства по безопасности BIOS

Николай Головко 23 Декабря 2011 - 17:29

...

Национальный институт стандартизации и технологий США (NIST) представил для публичного обсуждения первую редакцию комплекса рекомендательных указаний, позволяющего обеспечивать контроль целостности BIOS на клиентских персональных компьютерах и оценивать степень его эффективности.

Специалисты института поясняют, что потребность в создании подобного руководства связана с повышением интереса киберпреступников к несанкционированным модификациям управляющей микропрограммы. Злонамеренное изменение BIOS может обеспечивать реализацию разнообразных сценариев целенаправленных атак против той или иной организации, позволяя нападающему проникнуть в ее вычислительные системы или нарушить ее работу в целом. По мнению аналитиков NIST, вредоносные манипуляции с базовой системой ввода-вывода представляют собой "зарождающуюся область угроз".

Соответственно, возрастает необходимость своевременного выявления инцидентов несанкционированного внесения изменений в BIOS, что может быть достигнуто путем постоянного мониторинга и контроля ее целостности. Для решения именно этих задач предназначен документ под кодовым номером SP 800-155 - BIOS Integrity Measurement Guidelines, опубликованный институтом в виде черновика. Предлагаемые NIST рекомендации охватывают основные вопросы оценки и измерения показателей целостности BIOS, а также очерчивают круг базовых требований, которым должна отвечать соответствующая система защиты.

По замыслу специалистов, руководство должно оказаться полезным в том числе и для производителей аппаратного и программного обеспечения, желающих разработать и вывести на рынок такие продукты, которые обеспечивали бы поддержку механизмов измерения целостности BIOS. Кроме того, рекомендациями могут заинтересоваться и организации, в чьи планы входят доставка и установка подобных решений и систем.

Черновик доступен широкой аудитории на информационных ресурсах NIST. Комментарии, пожелания и предложения по его содержанию принимаются вплоть до 20 января наступающего года; направлять их следует по электронной почте, вписав в поле темы строку "Comment SP 800-155".

Infosecurity Magazine

Письмо автору

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:22

Avanpost SSO Малый и средний бизнес Корпорации Системы аутентификации Токены и устройства аутентификации Средства генерации одноразовых паролей (OTP)Системы управления аутентификацией Аванпост

Avanpost представила E-Passport — цифровой паспорт для бесшовного SSO

Компания Avanpost представила новую технологию E-Passport, которая стала частью продукта Avanpost Unified SSO. По сути, речь идёт о цифровом «паспорте» сотрудника, который привязывается не к паролю, а к устройству и защищённой сессии. E-Passport работает как цифровой идентификатор пользователя на личном (BYOD) или корпоративном устройстве и реализован в виде криптографической пары ключей.

Эта связка превращает рабочее место и мобильное устройство сотрудника в защищённое хранилище сессии через Avanpost Authenticator и позволяет безопасно передавать её между устройствами без риска перехвата.

Технология лежит в основе бесшовной аутентификации во всех корпоративных системах — от веб-сервисов до классических десктопных приложений. Сотруднику достаточно один раз пройти аутентификацию, после чего он автоматически получает доступ ко всем нужным внутренним ресурсам без постоянного ввода паролей. При этом единая сессия остаётся защищённой и соответствует принципам Zero Trust.

В Avanpost подчёркивают, что Unified SSO с E-Passport решает сразу несколько задач. Во-первых, обеспечивает криптографически стойкую защиту от перехвата и клонирования сессий — даже если пароль скомпрометирован. Во-вторых, объединяет веб- и десктоп-приложения в одну сессию с поддержкой централизованного завершения работы (Single Logout).

В-третьих, позволяет непрерывно контролировать защищённость сессии и при необходимости принудительно завершать её как в приложениях, так и на рабочих станциях под управлением Windows и Linux.

Один из типовых сценариев использования E-Passport — когда сотрудник проходит аутентификацию один раз при входе в систему и дальше работает со всеми корпоративными сервисами без дополнительных запросов логина и пароля. Такой подход снижает нагрузку на ИТ-поддержку, ускоряет рабочие процессы и одновременно повышает уровень безопасности.

«E-Passport позволяет компании перейти к архитектуре Zero Trust, в которой каждый запрос, устройство и пользователь постоянно проверяются, а привязка цифровой идентичности к устройству становится новым стандартом защищённого доступа», — отметил Дмитрий Грудинин, владелец линейки продуктов Avanpost Access.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »