-
-
固件安全问题日益严峻,固件风险应该如何解决?
-
发表于: 2022-6-13 14:49 6698
-
物联网时代下,越来越多的IoT设备接入到网络,而IoT设备又承载着人们日常生活产生的数据和隐私信息,随之而来的安全问题因此备受重视。
固件(Firmware)作为IoT设备的核心,含有设备运行的操作系统、协议栈、配置文件、可执行脚本和应用组件等各类信息和程序,是极易受到攻击的部位。
历年来,媒体报道的固件安全相关事故层出不穷。例如,某知名摄像头供应商因其固件存在弱口令风险和第三方软件漏洞,使得攻击者从固件中获取到用户名密码信息从而进行恶意攻击 。再如,某著名汽车厂商的固件因为存在敏感信息泄露的漏洞,攻击者利用该漏洞发起远程攻击,实现远程控制汽车。固件是否安全在很大程度上将决定IoT设备的安全性。
2019年8月,安般科技推出自主研发的设备固件供应链安全自动化检测平台——易识固件供应链安全管理系统,并在2021年完成产品标准化,目前已被广泛应用于汽车、电力、石油、石化、金融、军工、政府、互联网等行业,将固件安全保障工作的重点放在设备固件出厂前,确保固件的安全性、稳定性符合要求和标准,为软件供应链安全保驾护航。
强大的风险分析能力
易识固件供应链安全管理系统通过自动化的方式从固件提取信息、软件包&组件检测、CVE/CNNVD漏洞检测、CWE漏洞检测、加密&密码检测、敏感信息检测等多个检测维度,识别和分析物联网设备固件可能存在的风险漏洞,提前发现安全问题,提升物联网设备的安全强度,能够有效规避固件漏洞被恶意利用导致的信息泄露、设备功能故障等风险。
突出的漏洞检测能力
易识固件供应链安全管理系统具备强大的漏洞检测能力。漏洞库覆盖范围广,CWE漏洞库支持拓展至200+个weakness分析点;CVE/CNNVD覆盖18万+的漏洞数据,全面检测固件软件成分及风险漏洞。
广泛的检测适用范围
易识固件供应链安全管理系统支持范围广泛,包括Linux、Android、FreeBSD、RTOS等多种平台,ARM、PowerPC、MIPS等10种架构,cbfs、cramfs、dto等26种文件系统,以及ambarella、intel-hex、Android boot-image等63种固件格式。
领先的固件解析技术
易识固件供应链安全管理系统采用了领先的固件解析技术。针对固件信息识别,安般科技与四川大学建立了联合实验室,基于网上公开的文件特殊字节指纹库,经过多年自主研究及技术迭代,开发了一套独有的固件分析方法HBinSim,建立了一套自己的二进制文件指纹库,该指纹库支持多种开发语言的解析需求,从根本上提高了固件解析的效率,进一步的提高了固件漏洞的识别率。
灵活的平台拓展能力
易识固件供应链安全管理系统具备灵活可拓展的平台开放能力。易识系统采用可扩展的架构设计,各项分析功能使用模块化开发并支持以插件形式接入更多分析功能。此外,易识系统还提供API接口调用,便于企业用户通过调用通信接口的方式,将易识系统的服务集成到自研产品中。
简洁易用的操作界面
易识固件供应链安全管理系统支持全中文交互,操作界面简单干净,操作流程简单易懂,无需额外培训即可上手使用。同时,易识系统还配备了漏洞库更新入口,方便使用者随时掌握最新漏洞信息。
丰富详实的分析报告
易识固件供应链安全管理系统支持全自动生成固件安全风险检测报告,组件信息、漏洞信息、加密算法信息、敏感信息、许可证信息一文全知,更有直观的漏洞数量统计图总览固件漏洞情况,官方修复建议掌控固件安全风险。
灵活可变的部署方式
易识固件供应链安全管理系统针对不同的使用场景,支持云服务、本地部署、插件接入等多种部署方式,全方位助力企业用户治理固件安全风险。
目前,易识固件供应链安全管理系统已先后与各行业头部公司达成合作并获得良好的使用反馈,切实地解决了业务中固件供应链安全评估问题。如某著名汽车有限公司通过使用易识系统对其TIRE1/TIRE2供应商进行产品验收,检测出了各类供应商产品中存在的不符合汽车行业规范(W.P.29、ISO/SAE 21434)的组件成分,充分规避了其固件供应链合规风险。国内某知名研究所通过部署易识系统对其供应链系统进行整体风险把控,已成功检测出数以千计的严重安全漏洞。
安全问题贯穿了IoT设备的整个生命周期,每一环节都至关重要,尤其固件正在成为常见的攻击载体。安般易识固件供应链安全管理系统将在“质量把控、安全保护、风险检测”这三方面对固件进行全方面的防护,让万物互联下的软件供应链变得更加安全、可靠、稳定。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)