當前，物聯(lián)網(wǎng)設(shè)備數(shù)量飛速增長。而“萬物互聯(lián)”帶來便利的同時，也為攻擊者帶來了更多的攻擊選擇，因為他們明白這里往往是最“脆弱”的環(huán)節(jié)。

物聯(lián)網(wǎng)行業(yè)系列深度報告預(yù)測，“至2025 年，全球物聯(lián)網(wǎng)設(shè)備（包括蜂窩及非蜂窩）聯(lián)網(wǎng)數(shù)量將達到 252 億個?！惫碳窍驍?shù)量龐大的物聯(lián)網(wǎng)提供設(shè)備硬件底層控制的一類特殊軟件，由此可知，固件的安全性將很大程度決定物聯(lián)網(wǎng)設(shè)備的安全性。需要注意的是，企業(yè)從不同供應(yīng)鏈里接收到的第三方產(chǎn)品（包括軟件和硬件），往往正是黑客們利用的弱點所在。

第三方組件帶來的安全風險

隨著新一輪科技革命和產(chǎn)業(yè)變革迅猛發(fā)展，數(shù)字化轉(zhuǎn)型已成為企業(yè)“十四五”規(guī)劃的重要組成部分。企業(yè)為了推動產(chǎn)品創(chuàng)新和縮短新品的上市時間，并不會從頭開始研發(fā)，而是變得越來越具有集成性，最終產(chǎn)品的開發(fā)可能包含了多個第三方的組件。

而在實際應(yīng)用中，企業(yè)不能僅僅保護自身研發(fā)的產(chǎn)品和設(shè)備，也必須對所有的第三方供應(yīng)鏈的安全性負責。換句話說，如果企業(yè)不對所有供應(yīng)鏈上的第三方組件加以保護和監(jiān)察，這些組件就很有可能會在他們運行的時候給設(shè)備和網(wǎng)絡(luò)帶來巨大的風險。

第三方組件面臨的安全挑戰(zhàn)

第三方組件的導入，給企業(yè)帶來了真實的網(wǎng)絡(luò)安全挑戰(zhàn)。企業(yè)不僅需要獨立驗證其隱藏風險，也需要與供應(yīng)商們一起努力，敦促和提升他們的安全態(tài)勢。值得探討的是，即使發(fā)現(xiàn)存在安全問題并披露了出來，開發(fā)團隊也疲于應(yīng)戰(zhàn)。因為：

工作量巨大。第三方組件及其版本號眾多、系統(tǒng)不止一個、系統(tǒng)需要定期或不定期排查……。

與時間賽跑。如果不能在黑客攻擊前，檢測并修復這些有針對性的黑客漏洞攻擊，一切將變的毫無意義。

對企業(yè)持續(xù)交付能力是個考驗。版本升級可能會帶來兼容問題；版本升級需要應(yīng)對回歸測試；版本升級是否能保證生產(chǎn)環(huán)境業(yè)務(wù)不會因為部署而中斷等。

固源科技二進制反匯編安全評估平臺

基于此背景，固源科技帶來的 二進制反匯編安全評估平臺（Swift Binary）成為最佳解決方案。該方案通過“CVE 已知漏洞檢測技術(shù)”及“CWE 未知漏洞檢測技術(shù)”，能自動化的對第三方組件進行反匯編掃描，評估其風險并持續(xù)監(jiān)控它們。

CVE 已知漏洞檢測技術(shù)：利用 Swift Binary 獨有的技術(shù)對二進制固件組成部分中包含的成分進行特征匹配，如對應(yīng)版本的開源框架是否包含對應(yīng)的公有漏洞。準確的SBOM(軟件組件清單)生成，從而確保已知漏洞匹配的準確性。

CWE 未知漏洞檢測技術(shù)：該技術(shù)由靜態(tài)和動態(tài)兩個主要部分組成：

靜態(tài)：針對上傳的固件進行靜態(tài)分析, 結(jié)合固件架構(gòu)、開源框架和缺陷特征，在二進制文件上自動化的遍歷所有的潛在缺陷, 并輸出可疑的未知缺陷列表(CWE 列表)。

動態(tài)：動態(tài)執(zhí)行引擎通過接收缺陷輸入中的可疑位置, 針對可能易受攻擊的二進制文件, 通過虛擬運行對應(yīng)的符號向量（如套接字符串、用戶輸入等) 的方式自動觸發(fā)和利用所有潛在未知缺陷。這個階段將針對靜態(tài)引擎得到的所有未知缺陷列表進行動態(tài)的驗證， 只有能夠被觸發(fā)的未知缺陷, Swift Binary才會將其界定為未知漏洞。

一是該方案是一個端到端第三方組件安全評估解決方案。發(fā)現(xiàn)：自動執(zhí)行所有組件的漏洞檢測過程；修復：生成自動補丁，并發(fā)布無線更新以降低風險；監(jiān)控：所有已部署的組件，用于實時和相關(guān)威脅情報；控制：全面了解供應(yīng)商組件，評估風險并更加有效的執(zhí)行企業(yè)的相關(guān)政策。

二是固件安全檢測產(chǎn)品可以自動化檢查任何二進制文件的漏洞，無需訪問其源代碼，幫助行業(yè)參與者做出更明智的集成決策，并大幅降低部署風險。

Swift Binary-技術(shù)創(chuàng)新

1.完全自動化的系統(tǒng)，減少人力投入與增加企業(yè)效率。

2.無需訪問源代碼，自動逆向工程，進行反匯編。

3.漏洞模式機器學習，提煉黑客和漏洞的攻擊處罰算法。

4.利用機器學習技術(shù)持續(xù)改進算法，并通過模式匹配發(fā)現(xiàn)潛在的未知漏洞。。

Swift Binary-方案特點

1.無需任何源代碼.

2.無需在任何系統(tǒng)部署任何組件，快速部署。

3.持續(xù)的監(jiān)控與跟蹤，事前與事后的全面覆蓋。

4.B/S 架構(gòu)，可以進行無限的擴展。

通過固源科技帶來的二進制反匯編安全評估平臺，將關(guān)鍵任務(wù)自動化，真正使軟件供應(yīng)鏈管理成為從事前到事后管控可操作的實時流程。事前，基于自動化機器學習與虛擬運行技術(shù)的二進制組件漏洞檢測，平臺將為你提供完整的組件可見性和風險評估；事后，通過監(jiān)控所有已部署的第三方組件，平臺將根據(jù)組件的軟件框架結(jié)構(gòu)與漏洞結(jié)果進行公網(wǎng)，暗網(wǎng)以及輿論的跟蹤和預(yù)警。

微軟的一項研究顯示，超過80%的企業(yè)在過去兩年中至少經(jīng)歷過一次固件攻擊。根據(jù) IBMSecurity 的《2022年數(shù)據(jù)泄露成本報告》，關(guān)鍵基礎(chǔ)設(shè)施攻擊的平均成本為482萬美元。作為國內(nèi)為數(shù)不多引用二進制固件漏洞檢測技術(shù)的企業(yè)，固源科技擁有安全零前置的解決方案，并服務(wù)于智能汽車、工業(yè)控制、電力能源、IoT、科研院所等行業(yè)和領(lǐng)域，獲得客戶高度認可。同時，固源科技還提供軟件供應(yīng)鏈風險評估和安全攻防演練服務(wù)，幫助客戶提升信息安全防護能力。