Cybellum 组件安全风险管理平台

软件介绍 ]  望驰(上海)信息安全验证服务提供商    0 评论

Cybellum 安全风险管理平台

Cybellum是一款综合的软件组件安全风险管理平台,它能够扫描任何软件和系统,其中包括个人电脑,移动应用和嵌入式系统固件等。如:汽车ECU固件,飞机固件,手机固件等。平台可自动执行快速分析,识别第三方或者开源组件,了解组件存在的已知漏洞、未知漏洞、软件许可证以及其他相关信息。并能够在新的漏洞或者攻击技术对产品中的组件造成危害前,有效实时地发出警报。自动分析和监控固件及其所有开源,商业和专有自组件以生成更完整,最准确的软件成份BOM清单。

Cybellum V-Ray™基于自动漏洞检测,提供完整的组件可见性和风险评估。
自动研究和扫描固件以查找安全漏洞和威胁,模仿攻击者的操作方法,并为扫描的组件提供完整的网络安全可见性。
Cybellum V-Monitor™监控所有已部署的组件,以查找公共,私有和黑暗网络源中的新漏洞和威胁。与库存管理系统集成,自动监控新漏洞并将其与车辆中已部署的组件相关联,并在出现需要引起注意的安全问题时发出警报。

Cybellum 解决方案还可以分析与第三方组件关联的许可证,并可以确定您使用的组件是否符合您的许可证使用政策。在部署之前执行类似分析,它可以确保只有适当的第三方组件才能被集成在产品中,从而避免潜在的许可证法律风险。

 

市场分析

公司对通过供应链获得的组件中的相关网络安全风险是盲目的。如果不参与组件的开发过程,并且无法访问所有源代码,他们就无法知道组件内部是什么,成分是什么,以及他们拥有的风险是什么。

例如在汽车领域,由于汽车违规和入侵的风险是生命损失,在发生袭击和漏洞之前预防它们并避免造成任何伤害至关重要。风险评估汽车网络安全解决方案 – 是确保车辆持续安全的唯一方法。 没有错误的余地,没有时间犯错误。在发生攻击之前,您必须主动,查找和监控潜在的安全风险和漏洞。

作为开发外包的结果,应用程序的许多重要部分实际上无法使用当今大多数流行的代码分析工具进行检测。 由于第三方软件通常仅以二进制形式提供,因此无法使用通用的静态源代码分析工具进行检查。 如果不访问源代码,这些工具无法完全解释在应用程序中执行第三方代码的安全隐患。

 

决策风险

安全研究人员和黑客每天都会在软件组件中发现新的漏洞。 即使你的团队一直在努力研究你的供应链中包含的所有组件,你的产品今天也许没有包含已知漏洞的组件,但情况会迅速变化。

例如,2015年,国家漏洞数据库(NVD)全年共有6,447个公有漏洞。 2017年,这一数字增加到14,712个。2018年的Meltdown和Spectre漏洞对上述问题发出了严厉和无情的警示。 漏洞属于我们设备中CPU(中央处理单元)的安全漏洞,它们允许恶意代码访问设备上无法访问的信息。 公开披露后,集成商和买家都在努力快速有效地做出反应。 但是由于大多数行业缺乏有效的软件供应链管理和组件检测工具,这些基本问题很难进行解决:

  • 集成商想知道他们的哪些产品使用了易受攻击的组件和对应版本。
  • 买家想知道在他们的系统上运行的产品,包含哪些易受攻击的组件和对应版本。
  • 在不同情况下那些组件不容易受到攻击?
  • 有关第三方组件漏洞的管理政策时什么:
  • 什么时候应该向客户发布关键补丁?

一旦定义了相关政策,那么它就是集成第三方组件时必须通过的关卡。对于软件集成商,这些关卡通常设置在如下两个位置:

  • 在发布软件工程期间,对产品中的组件进行全面的安全风险检查。
  • 在部署期间,监控供应链中已知和新发现的漏洞,以做出明智的风险决策。

使用此信息可以决定何时更新或者替换这些组件并发布新版本的软件。为客户提供适当信息,以帮助他们就是否应用更新做出明智的风险决策。

  • 买家想知道在他们的系统上运行的产品,包含哪些易受攻击的组件和对应版本。
  • 在不同情况下那些组件不容易受到攻击?
  • 有关第三方组件漏洞的管理政策时什么:
  • 什么时候应该向客户发布关键补丁?

一旦定义了相关政策,那么它就是集成第三方组件时必须通过的关卡。对于软件集成商,这些关卡通常设置在如下两个位置:在发布软件工程期间,对产品中的组件进行全面的安全风险检查。在部署期间,监控供应链中已知和新发现的漏洞,以做出明智的风险决策。使用此信息可以决定何时更新或者替换这些组件并发布新版本的软件。为客户提供适当信息,以帮助他们就是否应用更新做出明智的风险决策。

Cybellum V-Ray™

基于自动化的漏洞检测,提供完整的组件可见性和风险评估。 自动反汇编并扫描固件以查找安全漏洞和威胁,模仿攻击者的操作方法并全面了解扫描的组件。在集成阶段运行,无需植入多余代码或Agent,可及时的评估组件风险,进行修复,并安全地生产车辆。

Cybellum V-Monitor™

监控所有已部署的组件,以查找公共,私有和暗网源中的新漏洞和威胁。 与资产管理系统集成,平台自动监控新漏洞并将其与路上车辆中已部署的组件相关联,并在出现需要注意的安全问题时实时发出警报,从而集中管理所有组件的威胁情报。

两种产品都可以部署在云端和客户服务器上。可以作为OEM的SOC(安全运营中心)的一部分进行部署,以完成OEM对车辆中所有组件的漏洞和风险状况的自动化检测和监控。

 

 集成管理

Cybellum V-Monitor可以与您的标准资产管理系统集成,从而自动关联对应受安全风险影响响的车辆的ECU,软件版本,VIN,模型,相关区域等信息。通过这些信息(或部分信息),

Cybellum V-Monitor将新漏洞的数据和威胁情报与道路上的相关车辆相关联。同时在部署流程期间,建立与资产管理(或ERP)的连接器,以持续检索更新相关信息。

Cybellum关键特点:

  • Cybellum V-Ray自动执行关键任务,使软件供应链管理成为可操作的实时流程。
  • 快速扫描确定产品中所有软件或者固件生成对应的可见性列表即软件物料清单(BOM)。
  • 全面了解用于构建产品的所有组件,包括桌面和移动应用,嵌入式系统固件,虚拟设备和更多工具。
  • V-Ray可以找到与所有组件对应的已知和未知漏洞以及许可证风险,并给出风险评级。
  • V-Monitor会跟踪监控漏洞源,并能够在新的漏洞或者攻击技术对产品中的组件造成危害前实时的发出警报。
  • Cybellum解决方案还可以分析第三方组件关联的许可证,并可以确定您试用的组件是否符合您的许可证政策。再部署之前执行此类分析,可以确保只有适合的第三方组件才能被集成在产品中,从而规避潜在的许可证法律风险

支持灵活的企业合规与行业规则定制功能。

 

Cybellum能发现的已知漏洞类型

Publicly available vulnerabilities

● Sources vulnerabilities from multiple databases, both public and proprietary
● National vulnerability database (NVD)
● GitHub issue tracker
● Open source projects’ bug trackers

Memory corruptions
● Buffer overflow – Heap/Stack
● Buffer over-read – Heap/Stack
● Invalid page fault
● Deadlock
● Integer overflow
● Null pointer dereference
● Uninitialized data
● Use-after-free

Double free
● Invalid and mismatched free
● Divisions by zero
● Type Confusio

Security misconfiguration

● Address space layout randomization (ASLR)
● Stack-smashing protector (SSP)
● Executable-space protection (NX)

RELocation table protection (RELRO)
● Stack Canaries
● SafeSEH
● Data Execution Prevention (DEP)
● CFG
● Symbols and stripped
● Fortify source

Dangerous security practices

● Best practice coding errors
● Error handling issues
● Information Leaks
○ Hard-coded credentials
○ Plain text passwords
○ Hashed passwords
○ Emails, IPs, URLs, File Paths

  • Encryption
    ○ Accessible encryption keys
    ○ Unencrypted communication
    ○ Private encryption keys
  • Security best practices violations
  •  Dangerous/Deprecated Functions