1. 產品簡介
近年來,物聯網無論在消費者或是企業領域皆成長快速,至 2020 年,活躍的物聯網
設備數量將增加到 100 億,預計到 2025 年將增加到 220 億。和移動互聯網的發展歷程
類似,原本獨立、隔離、 安全的傳統設備通過網絡連接成為萬物互聯中的終端。設備本身
擁有更多的入口和控制方式,這為用戶帶來操作便利性的同時,也形成了更多暴露面。
所有的嵌入式設備的功能都是運行在其內部的嵌入式系統上的,2018 亞馬遜物聯網
操作系統漏洞等的曝光,揭示著這些嵌入式操作系統并不是特別的安全。造成這個現象的
原因主要有以下兩點:第一是嵌入式系統多樣性定制化特別多,使用的架構不統一,由于
底層硬件和穩定性限制,一般為非標準的裁剪過的定制化系統;第二是許多廠商的開發設
計人員安全意識薄弱,由于嵌入式系統的開發碎片化程度較高,大部分開發人員并沒有特
別高安全意識,所以需要一種有效的方式來保證嵌入式系統的安全。
在這樣的背景下,提出嵌入式系統安全審計平臺 。系統通過對嵌入式系統常
見的攻擊面、漏洞與安全風險模式進行威脅建模,通過動靜態結合 的方法,對系統從底層
的內核安全,到頂層的運行中的進程安全進行全方位的安全審計, 所有的審計項均來自
多年的滲透測試的最佳實踐和行業標準或者實踐。除此之外,作 為一款平臺類工具產品,
具有完備的管理系統,收集和儲存系統關鍵文件信息, 即使多個系統多次迭代也
能有效地進行系統和漏洞管理。并且該平臺可擴展性強,將會不 斷集成科恩的新的漏洞檢
測工具以及客戶定制化檢測項,比如 Android 應用自動化檢測 系統,系統接口模糊測試
工具等。最后以報告的形式全面分析系統的安全風險并給出修復 建議。
2. 產品定位
本產品是國內自主研發的一款嵌入式系統安全審計平臺,聚焦 于系統的基線合規檢查和軟件成
分分析。通過對嵌入式 系統常見的攻擊面、漏洞與安全風險模式進行威脅建模,對系統從底層
的內核安全,到頂層的運行中的進程安全進行全方位的安全審計。
嵌入式系統安全審計平臺是對嵌入式系統(汽車、醫療、手機、工控、智慧社區、智
能家居 等物聯網設備)進行安全基線審計和軟件成分分析的產品,采用線下私有化部署
,確保客 戶固件數據更強隱私保護。
3. 產品優勢
檢測設備多樣性:目前市場絕大部分安全審計類產品不支持嵌入式系統和裁剪、定制
的系統,針對物聯網設備無專項的技術支持。 對各種嵌入式系統有優異的支持
能力,支持 Linux、Android 等常見系統格式,支持 x86/x64、arm/arm64、mips、powerpc 等
常見系統架構,并對系統沒有任何依賴,在任何裁剪過的系統上均能運行。固件增強模
塊支持分析各類格式的固件。
針對嵌入式系統的審計規則:基于在物聯網安全、移動安全、智能網聯汽車安全 領
域豐富的滲透測試經驗,結合嵌入式系統的特性,總結嵌入式系統常見攻擊面與漏洞匹
配模式,沉淀出實用且適合于嵌入式系統的規則。
基于文件的審計方式:過去的系統基線審計大部分都是根據執行系統相應指令的結果
來進行判斷的,產品 的審計方式是搜集所有需要的關鍵系統文件,然后利用 unix
類系統一切皆文件的思想,對收集的文件進行相應的處理來完成審計,這種審計方式的好
處在于可以適應千奇百怪的嵌入式系統,不會因為系統的一些特性導致審計功能失效。
更全的審計范圍:根據系統的威脅建模來對整個系統所有模塊進行安全審計,并且在
基礎安全審計的基礎上,還添加了已知 CVE 掃描、進程保護檢查、潛在攻擊鏈分析、License
檢查等諸多更高級的功能,確保所有的風險點均有相應的審計。
合規性驗證: 依托全面的審計范圍,全面覆蓋 WP.29 法規中列舉的安全
風險基線,支撐產品安全開發及供應鏈 安全管理流程中關鍵環節。 還會持續
跟進物聯網等領域合規檢查,助力客戶合規管理。
漏洞和系統管理平臺: 除了有系統安全基線的審計功能以外,所有審計發
現的漏洞和問題均有詳細的文檔修復支持,并且作為一個信息搜集的平臺,可以像系統快
照一樣保存下當前系統的所有關鍵性信息,以及發現的漏洞也有相應的管理機制。
4. 產品建設目標
1). 提供檢查點全面、適配性強的自動化系統信息收集工具
2). 提供分析準確的安全基線審計和軟件成分分析引擎
3). 提供管理完備、可擴展的管理平臺
4). 提供系統的整體安全風險分析報告