物聯(lián)網(wǎng)時代下,越來越多的IoT設(shè)備接入到網(wǎng)絡(luò),而IoT設(shè)備又承載著人們?nèi)粘I町a(chǎn)生的數(shù)據(jù)和隱私信息,隨之而來的安全問題因此備受重視。
固件(Firmware)作為IoT設(shè)備的核心,含有設(shè)備運行的操作系統(tǒng)、協(xié)議棧、配置文件、可執(zhí)行腳本和應(yīng)用組件等各類信息和程序,是極易受到攻擊的部位。
歷年來,媒體報道的固件安全相關(guān)事故層出不窮。例如,某知名攝像頭供應(yīng)商因其固件存在弱口令風險和第三方軟件漏洞,使得攻擊者從固件中獲取到用戶名密碼信息從而進行惡意攻擊 。再如,某著名汽車廠商的固件因為存在敏感信息泄露的漏洞,攻擊者利用該漏洞發(fā)起遠程攻擊,實現(xiàn)遠程控制汽車。固件是否安全在很大程度上將決定IoT設(shè)備的安全性。
固件安全問題日益嚴峻,固件風險應(yīng)該如何解決?
以當代智能模糊測試技術(shù)和程序分析技術(shù)為核心、以軟件全流程負面測試為研發(fā)方向,作為國際首批、國內(nèi)首家從事商業(yè)化智能模糊測試技術(shù)的科技公司,安般科技于2019年8月推出自主研發(fā)的設(shè)備固件供應(yīng)鏈安全自動化檢測平臺——易識固件供應(yīng)鏈安全管理系統(tǒng),并在2021年完成產(chǎn)品標準化,目前已被廣泛應(yīng)用于汽車、電力、石油、石化、金融、軍工、政府、互聯(lián)網(wǎng)等行業(yè),將固件安全保障工作的重點放在設(shè)備固件出廠前,確保固件的安全性、穩(wěn)定性符合要求和標準,為軟件供應(yīng)鏈安全保駕護航。
強大的風險分析能力
安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)通過自動化的方式從固件提取信息、軟件包&組件檢測、CVE/CNNVD漏洞檢測、CWE漏洞檢測、加密&密碼檢測、敏感信息檢測等多個檢測維度,識別和分析物聯(lián)網(wǎng)設(shè)備固件可能存在的風險漏洞,提前發(fā)現(xiàn)安全問題,提升物聯(lián)網(wǎng)設(shè)備的安全強度,能夠有效規(guī)避固件漏洞被惡意利用導(dǎo)致的信息泄露、設(shè)備功能故障等風險。
突出的漏洞檢測能力
安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)具備強大的漏洞檢測能力。漏洞庫覆蓋范圍廣,CWE漏洞庫支持拓展至200+個weakness分析點;CVE/CNNVD覆蓋18萬+的漏洞數(shù)據(jù),全面檢測固件軟件成分及風險漏洞。
廣泛的檢測適用范圍
安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)支持范圍廣泛,包括Linux、Android、FreeBSD、RTOS等多種平臺,ARM、PowerPC、MIPS等10種架構(gòu),cbfs、cramfs、dto等26種文件系統(tǒng),以及ambarella、intel-hex、Android boot-image等63種固件格式。
領(lǐng)先的固件解析技術(shù)
安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)采用了領(lǐng)先的固件解析技術(shù)。針對固件信息識別,安般科技與四川大學(xué)建立了聯(lián)合實驗室,基于網(wǎng)上公開的文件特殊字節(jié)指紋庫,經(jīng)過多年自主研究及技術(shù)迭代,開發(fā)了一套獨有的固件分析方法HBinSim,建立了一套自己的二進制文件指紋庫,該指紋庫支持多種開發(fā)語言的解析需求,從根本上提高了固件解析的效率,進一步的提高了固件漏洞的識別率。
靈活的平臺拓展能力
安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)具備靈活可拓展的平臺開放能力。易識系統(tǒng)采用可擴展的架構(gòu)設(shè)計,各項分析功能使用模塊化開發(fā)并支持以插件形式接入更多分析功能。此外,易識系統(tǒng)還提供API接口調(diào)用,便于企業(yè)用戶通過調(diào)用通信接口的方式,將易識系統(tǒng)的服務(wù)集成到自研產(chǎn)品中。
簡潔易用的操作界面
安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)支持全中文交互,操作界面簡單干凈,操作流程簡單易懂,無需額外培訓(xùn)即可上手使用。同時,易識系統(tǒng)還配備了漏洞庫更新入口,方便使用者隨時掌握最新漏洞信息。
豐富詳實的分析報告
安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)支持全自動生成固件安全風險檢測報告,組件信息、漏洞信息、加密算法信息、敏感信息、許可證信息一文全知,更有直觀的漏洞數(shù)量統(tǒng)計圖總覽固件漏洞情況,官方修復(fù)建議掌控固件安全風險。
靈活可變的部署方式
安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)針對不同的使用場景,支持云服務(wù)、本地部署、插件接入等多種部署方式,全方位助力企業(yè)用戶治理固件安全風險。
目前,安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)已先后與各行業(yè)頭部公司達成合作并獲得良好的使用反饋,切實地解決了業(yè)務(wù)中固件供應(yīng)鏈安全評估問題。如某著名汽車有限公司通過使用安般科技易識系統(tǒng)對其TIRE1/TIRE2供應(yīng)商進行產(chǎn)品驗收,檢測出了各類供應(yīng)商產(chǎn)品中存在的不符合汽車行業(yè)規(guī)范(W.P.29、ISO/SAE 21434)的組件成分,充分規(guī)避了其固件供應(yīng)鏈合規(guī)風險。國內(nèi)某知名研究所通過部署安般科技易識系統(tǒng)對其供應(yīng)鏈系統(tǒng)進行整體風險把控,已成功檢測出數(shù)以千計的嚴重安全漏洞。
安全問題貫穿了IoT設(shè)備的整個生命周期,每一環(huán)節(jié)都至關(guān)重要,尤其固件正在成為常見的攻擊載體。安般科技易識固件供應(yīng)鏈安全管理系統(tǒng)將在“質(zhì)量把控、安全保護、風險檢測”這三方面對固件進行全方面的防護,讓萬物互聯(lián)下的軟件供應(yīng)鏈變得更加安全、可靠、穩(wěn)定。
