物聯(lián)網(wǎng)時(shí)代下,越來越多的IoT設(shè)備接入到網(wǎng)絡(luò),而IoT設(shè)備又承載著人們?nèi)粘I町a(chǎn)生的數(shù)據(jù)和隱私信息,隨之而來的安全問題因此備受重視。
固件(Firmware)作為IoT設(shè)備的核心,含有設(shè)備運(yùn)行的操作系統(tǒng)、協(xié)議棧、配置文件、可執(zhí)行腳本和應(yīng)用組件等各類信息和程序,是極易受到攻擊的部位。
歷年來,媒體報(bào)道的固件安全相關(guān)事故層出不窮。例如,某知名攝像頭供應(yīng)商因其固件存在弱口令風(fēng)險(xiǎn)和第三方軟件漏洞,使得攻擊者從固件中獲取到用戶名密碼信息從而進(jìn)行惡意攻擊 。再如,某著名汽車廠商的固件因?yàn)榇嬖诿舾行畔⑿孤兜穆┒矗粽呃迷撀┒窗l(fā)起遠(yuǎn)程攻擊,實(shí)現(xiàn)遠(yuǎn)程控制汽車。固件是否安全在很大程度上將決定IoT設(shè)備的安全性。
固件安全問題日益嚴(yán)峻,固件風(fēng)險(xiǎn)應(yīng)該如何解決?
以當(dāng)代智能模糊測(cè)試技術(shù)和程序分析技術(shù)為核心、以軟件全流程負(fù)面測(cè)試為研發(fā)方向,作為國際首批、國內(nèi)首家從事商業(yè)化智能模糊測(cè)試技術(shù)的科技公司,安般科技于2019年8月推出自主研發(fā)的設(shè)備固件供應(yīng)鏈安全自動(dòng)化檢測(cè)平臺(tái)——易識(shí)固件供應(yīng)鏈安全管理系統(tǒng),并在2021年完成產(chǎn)品標(biāo)準(zhǔn)化,目前已被廣泛應(yīng)用于汽車、電力、石油、石化、金融、軍工、政府、互聯(lián)網(wǎng)等行業(yè),將固件安全保障工作的重點(diǎn)放在設(shè)備固件出廠前,確保固件的安全性、穩(wěn)定性符合要求和標(biāo)準(zhǔn),為軟件供應(yīng)鏈安全保駕護(hù)航。
強(qiáng)大的風(fēng)險(xiǎn)分析能力
安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)通過自動(dòng)化的方式從固件提取信息、軟件包&組件檢測(cè)、CVE/CNNVD漏洞檢測(cè)、CWE漏洞檢測(cè)、加密&密碼檢測(cè)、敏感信息檢測(cè)等多個(gè)檢測(cè)維度,識(shí)別和分析物聯(lián)網(wǎng)設(shè)備固件可能存在的風(fēng)險(xiǎn)漏洞,提前發(fā)現(xiàn)安全問題,提升物聯(lián)網(wǎng)設(shè)備的安全強(qiáng)度,能夠有效規(guī)避固件漏洞被惡意利用導(dǎo)致的信息泄露、設(shè)備功能故障等風(fēng)險(xiǎn)。
突出的漏洞檢測(cè)能力
安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)具備強(qiáng)大的漏洞檢測(cè)能力。漏洞庫覆蓋范圍廣,CWE漏洞庫支持拓展至200+個(gè)weakness分析點(diǎn);CVE/CNNVD覆蓋18萬+的漏洞數(shù)據(jù),全面檢測(cè)固件軟件成分及風(fēng)險(xiǎn)漏洞。
廣泛的檢測(cè)適用范圍
安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)支持范圍廣泛,包括Linux、Android、FreeBSD、RTOS等多種平臺(tái),ARM、PowerPC、MIPS等10種架構(gòu),cbfs、cramfs、dto等26種文件系統(tǒng),以及ambarella、intel-hex、Android boot-image等63種固件格式。
領(lǐng)先的固件解析技術(shù)
安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)采用了領(lǐng)先的固件解析技術(shù)。針對(duì)固件信息識(shí)別,安般科技與四川大學(xué)建立了聯(lián)合實(shí)驗(yàn)室,基于網(wǎng)上公開的文件特殊字節(jié)指紋庫,經(jīng)過多年自主研究及技術(shù)迭代,開發(fā)了一套獨(dú)有的固件分析方法HBinSim,建立了一套自己的二進(jìn)制文件指紋庫,該指紋庫支持多種開發(fā)語言的解析需求,從根本上提高了固件解析的效率,進(jìn)一步的提高了固件漏洞的識(shí)別率。
靈活的平臺(tái)拓展能力
安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)具備靈活可拓展的平臺(tái)開放能力。易識(shí)系統(tǒng)采用可擴(kuò)展的架構(gòu)設(shè)計(jì),各項(xiàng)分析功能使用模塊化開發(fā)并支持以插件形式接入更多分析功能。此外,易識(shí)系統(tǒng)還提供API接口調(diào)用,便于企業(yè)用戶通過調(diào)用通信接口的方式,將易識(shí)系統(tǒng)的服務(wù)集成到自研產(chǎn)品中。
簡潔易用的操作界面
安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)支持全中文交互,操作界面簡單干凈,操作流程簡單易懂,無需額外培訓(xùn)即可上手使用。同時(shí),易識(shí)系統(tǒng)還配備了漏洞庫更新入口,方便使用者隨時(shí)掌握最新漏洞信息。
豐富詳實(shí)的分析報(bào)告
安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)支持全自動(dòng)生成固件安全風(fēng)險(xiǎn)檢測(cè)報(bào)告,組件信息、漏洞信息、加密算法信息、敏感信息、許可證信息一文全知,更有直觀的漏洞數(shù)量統(tǒng)計(jì)圖總覽固件漏洞情況,官方修復(fù)建議掌控固件安全風(fēng)險(xiǎn)。
靈活可變的部署方式
安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)針對(duì)不同的使用場(chǎng)景,支持云服務(wù)、本地部署、插件接入等多種部署方式,全方位助力企業(yè)用戶治理固件安全風(fēng)險(xiǎn)。
目前,安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)已先后與各行業(yè)頭部公司達(dá)成合作并獲得良好的使用反饋,切實(shí)地解決了業(yè)務(wù)中固件供應(yīng)鏈安全評(píng)估問題。如某著名汽車有限公司通過使用安般科技易識(shí)系統(tǒng)對(duì)其TIRE1/TIRE2供應(yīng)商進(jìn)行產(chǎn)品驗(yàn)收,檢測(cè)出了各類供應(yīng)商產(chǎn)品中存在的不符合汽車行業(yè)規(guī)范(W.P.29、ISO/SAE 21434)的組件成分,充分規(guī)避了其固件供應(yīng)鏈合規(guī)風(fēng)險(xiǎn)。國內(nèi)某知名研究所通過部署安般科技易識(shí)系統(tǒng)對(duì)其供應(yīng)鏈系統(tǒng)進(jìn)行整體風(fēng)險(xiǎn)把控,已成功檢測(cè)出數(shù)以千計(jì)的嚴(yán)重安全漏洞。
安全問題貫穿了IoT設(shè)備的整個(gè)生命周期,每一環(huán)節(jié)都至關(guān)重要,尤其固件正在成為常見的攻擊載體。安般科技易識(shí)固件供應(yīng)鏈安全管理系統(tǒng)將在“質(zhì)量把控、安全保護(hù)、風(fēng)險(xiǎn)檢測(cè)”這三方面對(duì)固件進(jìn)行全方面的防護(hù),讓萬物互聯(lián)下的軟件供應(yīng)鏈變得更加安全、可靠、穩(wěn)定。
