|
當(dāng)前,物聯(lián)網(wǎng)設(shè)備數(shù)量飛速增長(zhǎng)。而“萬(wàn)物互聯(lián)”帶來(lái)便利的同時(shí),也為攻擊者帶來(lái)了更多的攻擊選擇,因?yàn)樗麄兠靼走@里往往是最“脆弱”的環(huán)節(jié)。 物聯(lián)網(wǎng)行業(yè)系列深度報(bào)告預(yù)測(cè),“至2025 年,全球物聯(lián)網(wǎng)設(shè)備(包括蜂窩及非蜂窩)聯(lián)網(wǎng)數(shù)量將達(dá)到 252 億個(gè)。”固件是向數(shù)量龐大的物聯(lián)網(wǎng)提供設(shè)備硬件底層控制的一類特殊軟件,由此可知,固件的安全性將很大程度決定物聯(lián)網(wǎng)設(shè)備的安全性。需要注意的是,企業(yè)從不同供應(yīng)鏈里接收到的第三方產(chǎn)品(包括軟件和硬件),往往正是黑客們利用的弱點(diǎn)所在。 第三方組件帶來(lái)的安全風(fēng)險(xiǎn) 隨著新一輪科技革命和產(chǎn)業(yè)變革迅猛發(fā)展,數(shù)字化轉(zhuǎn)型已成為企業(yè)“十四五”規(guī)劃的重要組成部分。企業(yè)為了推動(dòng)產(chǎn)品創(chuàng)新和縮短新品的上市時(shí)間,并不會(huì)從頭開(kāi)始研發(fā),而是變得越來(lái)越具有集成性,最終產(chǎn)品的開(kāi)發(fā)可能包含了多個(gè)第三方的組件。 而在實(shí)際應(yīng)用中,企業(yè)不能僅僅保護(hù)自身研發(fā)的產(chǎn)品和設(shè)備,也必須對(duì)所有的第三方供應(yīng)鏈的安全性負(fù)責(zé)。換句話說(shuō),如果企業(yè)不對(duì)所有供應(yīng)鏈上的第三方組件加以保護(hù)和監(jiān)察,這些組件就很有可能會(huì)在他們運(yùn)行的時(shí)候給設(shè)備和網(wǎng)絡(luò)帶來(lái)巨大的風(fēng)險(xiǎn)。 第三方組件面臨的安全挑戰(zhàn) 第三方組件的導(dǎo)入,給企業(yè)帶來(lái)了真實(shí)的網(wǎng)絡(luò)安全挑戰(zhàn)。企業(yè)不僅需要獨(dú)立驗(yàn)證其隱藏風(fēng)險(xiǎn),也需要與供應(yīng)商們一起努力,敦促和提升他們的安全態(tài)勢(shì)。值得探討的是,即使發(fā)現(xiàn)存在安全問(wèn)題并披露了出來(lái),開(kāi)發(fā)團(tuán)隊(duì)也疲于應(yīng)戰(zhàn)。因?yàn)椋?/font> 工作量巨大。第三方組件及其版本號(hào)眾多、系統(tǒng)不止一個(gè)、系統(tǒng)需要定期或不定期排查……。 與時(shí)間賽跑。如果不能在黑客攻擊前,檢測(cè)并修復(fù)這些有針對(duì)性的黑客漏洞攻擊,一切將變的毫無(wú)意義。 對(duì)企業(yè)持續(xù)交付能力是個(gè)考驗(yàn)。版本升級(jí)可能會(huì)帶來(lái)兼容問(wèn)題;版本升級(jí)需要應(yīng)對(duì)回歸測(cè)試;版本升級(jí)是否能保證生產(chǎn)環(huán)境業(yè)務(wù)不會(huì)因?yàn)椴渴鸲袛嗟取?/font> 固源科技二進(jìn)制反匯編安全評(píng)估平臺(tái) 基于此背景,固源科技帶來(lái)的 二進(jìn)制反匯編安全評(píng)估平臺(tái)(Swift Binary)成為最佳解決方案。該方案通過(guò)“CVE 已知漏洞檢測(cè)技術(shù)”及“CWE 未知漏洞檢測(cè)技術(shù)”,能自動(dòng)化的對(duì)第三方組件進(jìn)行反匯編掃描,評(píng)估其風(fēng)險(xiǎn)并持續(xù)監(jiān)控它們。 CVE 已知漏洞檢測(cè)技術(shù):利用 Swift Binary 獨(dú)有的技術(shù)對(duì)二進(jìn)制固件組成部分中包含的成分進(jìn)行特征匹配,如對(duì)應(yīng)版本的開(kāi)源框架是否包含對(duì)應(yīng)的公有漏洞。準(zhǔn)確的SBOM(軟件組件清單)生成,從而確保已知漏洞匹配的準(zhǔn)確性。 CWE 未知漏洞檢測(cè)技術(shù):該技術(shù)由靜態(tài)和動(dòng)態(tài)兩個(gè)主要部分組成: 靜態(tài):針對(duì)上傳的固件進(jìn)行靜態(tài)分析, 結(jié)合固件架構(gòu)、開(kāi)源框架和缺陷特征,在二進(jìn)制文件上自動(dòng)化的遍歷所有的潛在缺陷, 并輸出可疑的未知缺陷列表(CWE 列表)。 動(dòng)態(tài):動(dòng)態(tài)執(zhí)行引擎通過(guò)接收缺陷輸入中的可疑位置, 針對(duì)可能易受攻擊的二進(jìn)制文件, 通過(guò)虛擬運(yùn)行對(duì)應(yīng)的符號(hào)向量(如套接字符串、用戶輸入等) 的方式自動(dòng)觸發(fā)和利用所有潛在未知缺陷。這個(gè)階段將針對(duì)靜態(tài)引擎得到的所有未知缺陷列表進(jìn)行動(dòng)態(tài)的驗(yàn)證, 只有能夠被觸發(fā)的未知缺陷, Swift Binary才會(huì)將其界定為未知漏洞。 一是該方案是一個(gè)端到端第三方組件安全評(píng)估解決方案。發(fā)現(xiàn):自動(dòng)執(zhí)行所有組件的漏洞檢測(cè)過(guò)程;修復(fù):生成自動(dòng)補(bǔ)丁,并發(fā)布無(wú)線更新以降低風(fēng)險(xiǎn);監(jiān)控:所有已部署的組件,用于實(shí)時(shí)和相關(guān)威脅情報(bào);控制:全面了解供應(yīng)商組件,評(píng)估風(fēng)險(xiǎn)并更加有效的執(zhí)行企業(yè)的相關(guān)政策。 二是固件安全檢測(cè)產(chǎn)品可以自動(dòng)化檢查任何二進(jìn)制文件的漏洞,無(wú)需訪問(wèn)其源代碼,幫助行業(yè)參與者做出更明智的集成決策,并大幅降低部署風(fēng)險(xiǎn)。 Swift Binary-技術(shù)創(chuàng)新 1.完全自動(dòng)化的系統(tǒng),減少人力投入與增加企業(yè)效率。 2.無(wú)需訪問(wèn)源代碼,自動(dòng)逆向工程,進(jìn)行反匯編。 3.漏洞模式機(jī)器學(xué)習(xí),提煉黑客和漏洞的攻擊處罰算法。 4.利用機(jī)器學(xué)習(xí)技術(shù)持續(xù)改進(jìn)算法,并通過(guò)模式匹配發(fā)現(xiàn)潛在的未知漏洞。。 Swift Binary-方案特點(diǎn) 1.無(wú)需任何源代碼. 2.無(wú)需在任何系統(tǒng)部署任何組件,快速部署。 3.持續(xù)的監(jiān)控與跟蹤,事前與事后的全面覆蓋。 4.B/S 架構(gòu),可以進(jìn)行無(wú)限的擴(kuò)展。 通過(guò)固源科技帶來(lái)的二進(jìn)制反匯編安全評(píng)估平臺(tái),將關(guān)鍵任務(wù)自動(dòng)化,真正使軟件供應(yīng)鏈管理成為從事前到事后管控可操作的實(shí)時(shí)流程。事前,基于自動(dòng)化機(jī)器學(xué)習(xí)與虛擬運(yùn)行技術(shù)的二進(jìn)制組件漏洞檢測(cè),平臺(tái)將為你提供完整的組件可見(jiàn)性和風(fēng)險(xiǎn)評(píng)估;事后,通過(guò)監(jiān)控所有已部署的第三方組件,平臺(tái)將根據(jù)組件的軟件框架結(jié)構(gòu)與漏洞結(jié)果進(jìn)行公網(wǎng),暗網(wǎng)以及輿論的跟蹤和預(yù)警。 微軟的一項(xiàng)研究顯示,超過(guò)80%的企業(yè)在過(guò)去兩年中至少經(jīng)歷過(guò)一次固件攻擊。根據(jù) IBMSecurity 的《2022年數(shù)據(jù)泄露成本報(bào)告》,關(guān)鍵基礎(chǔ)設(shè)施攻擊的平均成本為482萬(wàn)美元。作為國(guó)內(nèi)為數(shù)不多引用二進(jìn)制固件漏洞檢測(cè)技術(shù)的企業(yè),固源科技擁有安全零前置的解決方案,并服務(wù)于智能汽車、工業(yè)控制、電力能源、IoT、科研院所等行業(yè)和領(lǐng)域,獲得客戶高度認(rèn)可。同時(shí),固源科技還提供軟件供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估和安全攻防演練服務(wù),幫助客戶提升信息安全防護(hù)能力。 |
