当前,物联网设备数量飞速增长。而“万物互联”带来便利的同时,也为攻击者带来了更多的攻击选择,因为他们明白这里往往是最“脆弱”的环节。
物联网行业系列深度报告预测,“至2025 年,全球物联网设备(包括蜂窝及非蜂窝)联网数量将达到 252 亿个。”固件是向数量庞大的物联网提供设备硬件底层控制的一类特殊软件,由此可知,固件的安全性将很大程度决定物联网设备的安全性。需要注意的是,企业从不同供应链里接收到的第三方产品(包括软件和硬件),往往正是黑客们利用的弱点所在。
第三方组件带来的安全风险
随着新一轮科技革命和产业变革迅猛发展,数字化转型已成为企业“十四五”规划的重要组成部分。企业为了推动产品创新和缩短新品的上市时间,并不会从头开始研发,而是变得越来越具有集成性,最终产品的开发可能包含了多个第三方的组件。
而在实际应用中,企业不能仅仅保护自身研发的产品和设备,也必须对所有的第三方供应链的安全性负责。换句话说,如果企业不对所有供应链上的第三方组件加以保护和监察,这些组件就很有可能会在他们运行的时候给设备和网络带来巨大的风险。
第三方组件面临的安全挑战
第三方组件的导入,给企业带来了真实的网络安全挑战。企业不仅需要独立验证其隐藏风险,也需要与供应商们一起努力,敦促和提升他们的安全态势。值得探讨的是,即使发现存在安全问题并披露了出来,开发团队也疲于应战。因为:
工作量巨大。第三方组件及其版本号众多、系统不止一个、系统需要定期或不定期排查……。
与时间赛跑。如果不能在黑客攻击前,检测并修复这些有针对性的黑客漏洞攻击,一切将变的毫无意义。
对企业持续交付能力是个考验。版本升级可能会带来兼容问题;版本升级需要应对回归测试;版本升级是否能保证生产环境业务不会因为部署而中断等。
固源科技二进制反汇编安全评估平台
基于此背景,固源科技带来的 二进制反汇编安全评估平台(Swift Binary)成为最佳解决方案。该方案通过“CVE 已知漏洞检测技术”及“CWE 未知漏洞检测技术”,能自动化的对第三方组件进行反汇编扫描,评估其风险并持续监控它们。
CVE 已知漏洞检测技术:利用 Swift Binary 独有的技术对二进制固件组成部分中包含的成分进行特征匹配,如对应版本的开源框架是否包含对应的公有漏洞。准确的SBOM(软件组件清单)生成,从而确保已知漏洞匹配的准确性。
CWE 未知漏洞检测技术:该技术由静态和动态两个主要部分组成:
静态:针对上传的固件进行静态分析, 结合固件架构、开源框架和缺陷特征,在二进制文件上自动化的遍历所有的潜在缺陷, 并输出可疑的未知缺陷列表(CWE 列表)。
动态:动态执行引擎通过接收缺陷输入中的可疑位置, 针对可能易受攻击的二进制文件, 通过虚拟运行对应的符号向量(如套接字符串、用户输入等) 的方式自动触发和利用所有潜在未知缺陷。这个阶段将针对静态引擎得到的所有未知缺陷列表进行动态的验证, 只有能够被触发的未知缺陷, Swift Binary才会将其界定为未知漏洞。
一是该方案是一个端到端第三方组件安全评估解决方案。发现:自动执行所有组件的漏洞检测过程;修复:生成自动补丁,并发布无线更新以降低风险;监控:所有已部署的组件,用于实时和相关威胁情报;控制:全面了解供应商组件,评估风险并更加有效的执行企业的相关政策。
二是固件安全检测产品可以自动化检查任何二进制文件的漏洞,无需访问其源代码,帮助行业参与者做出更明智的集成决策,并大幅降低部署风险。
Swift Binary-技术创新
1.完全自动化的系统,减少人力投入与增加企业效率。
2.无需访问源代码,自动逆向工程,进行反汇编。
3.漏洞模式机器学习,提炼黑客和漏洞的攻击处罚算法。
4.利用机器学习技术持续改进算法,并通过模式匹配发现潜在的未知漏洞。。
Swift Binary-方案特点
1.无需任何源代码.
2.无需在任何系统部署任何组件,快速部署。
3.持续的监控与跟踪,事前与事后的全面覆盖。
4.B/S 架构,可以进行无限的扩展。
通过固源科技带来的二进制反汇编安全评估平台,将关键任务自动化,真正使软件供应链管理成为从事前到事后管控可操作的实时流程。事前,基于自动化机器学习与虚拟运行技术的二进制组件漏洞检测,平台将为你提供完整的组件可见性和风险评估;事后,通过监控所有已部署的第三方组件,平台将根据组件的软件框架结构与漏洞结果进行公网,暗网以及舆论的跟踪和预警。
微软的一项研究显示,超过80%的企业在过去两年中至少经历过一次固件攻击。根据 IBMSecurity 的《2022年数据泄露成本报告》,关键基础设施攻击的平均成本为482万美元。作为国内为数不多引用二进制固件漏洞检测技术的企业,固源科技拥有安全零前置的解决方案,并服务于智能汽车、工业控制、电力能源、IoT、科研院所等行业和领域,获得客户高度认可。同时,固源科技还提供软件供应链风险评估和安全攻防演练服务,帮助客户提升信息安全防护能力。
