cybellum二进制文件测试工具
安全集成和组件安全
现今市场中的大部分公司在日常的开发和使用过程中,将大量第三方软件和硬件集成到其组件和系统中。 原始设备制造商面临的问题更为严重,因为他们所经历的组件的 网络安全几乎是盲目的。这些都是由于集成和组件无法被有效的审视而带来的安全隐患。 由于上述原因,公司没有成为开发过程的一部分,没有访问所有源代码,我们无法知道内部的内容,成分是什么,以及它们拥有的风险是什么。 现有的解决方案,如在每个设备上执行手动评估,在不断变化的安全世界中是不够的。设备在集成之前可能看起来很安全,但在集成之后,或者在部署之后甚至更糟,可能会发现新的漏洞或攻 击技术使设备面临风险。例如:没有实时监控汽车中所有已部署 的组件,导致公路车辆可能出现的新风险,如信息泄漏,车辆盗 窃,以及远程控制等风险。
在许多敏感高危领域,由于违规安全的风险是生命损失,比如飞机,汽车,医院等,在发生袭击和漏洞之前预防它们并造成任何伤害至关重要。风险评估网络安全解决方案 - 是确保持续安全的唯一方法。 没有错误的余地,没有时间犯错误。我们必须积极主动,发现并监控漏洞。在攻击发生之前,防患于未然,做到事半功倍。
我们的解决方案:赛博通过提供网络安全X射线系统,不断扫描公司中的的每个组件,全包系统和集成安全,将安全管理权交给组件制造商和原始设备制造商。帮助企业更好的对第三方软件和硬件进行安全管控。
赛博同时为公司提供基于X射线系统发现问题的实时监控和威胁情报确保即使部署的硬件和软件也会持续受到新威胁和漏洞的监控。为公司提供安全和可操作的能力。
Cybellum软件特性
一、概述
Cybellum是一款软件供应链安全管理工具,能帮助企业为引入第三方组件设置管理门槛及策略;帮助用户选择没有安全风险和质量缺陷的软件产品。
1、在任何情况下某些组件都不可以受到来自哪一类型的攻击?
2、有关第三方组件漏A洞的管理政策是什么?
3、哪些产品使用了易受攻击的组件和对应版本?
3、什么时候向客户发布关键补丁?
二、用途
针对如下维度对软件做测试,跟踪软件中的存在的安全风险,给出最佳安全实践建议。
1)找出软件中的已知漏洞,未知漏洞;
2)安全加固情况;密钥加密是否规范;
3)软件中是否有未加密的通信;
4)针对行业规范做相关检测;
如:Misra 2012 ,CERT-C, AUTOSAR,ISO20262 等合规检测
5)支持自定义企业信息安全规范标准
6)信息泄露检测
○ Hard-coded credentials(硬编码的凭证)
○ Plain text passwords*(纯文本密码)
○ Hashed passwords(哈希密码)
○ Emails, IPs, URLs, File Paths(电子邮件,IP地址,URL,文件路径)
7)加密问题
○ Accessible encryption keys(可访问的加密密钥)
○ Unencrypted communication(未加密的通讯)
○ Private encryption keys(专用加密密钥)
8)安全性配置错误问题
● Address space layout randomization (ASLR)地址空间布局随机化ASLR
● Stack-smashing protector (SSP)堆栈爆破保护器(SSP)
● Executable-space protection(NX)可执行空间保护(NX)
● RELocation table protection(RELRO)重定位表保护(RELRO)
● Stack Canaries堆栈金丝雀
● SafeSEH(异常中断处理)
● Data Execution Prevention(DEP)数据执行保护(DEP)
● Fortify source 强化来源抑制缓冲区溢出风险
9)组件包信息(软件 BOM 清单);
●软件包名称,版本号,路径信息 ;
●开源组件License 信息,所在组件包文件名,版本号,许可证类型。
10)软件特定接口强化扫描,验证是否存在未知漏洞。
11)基于CWE规范,通过机器自学习发现未知漏洞。
● Buffer overflow-Heap/Stack, Buffer over-read-Heap/Stack, Invalid page fault缓冲区溢出-堆/堆栈缓冲区被过度读取-堆/堆栈无效页面错误
● Deadlock,Integer overflow 死锁整数溢出
整型溢出会有可能导致缓冲区溢出,缓冲区溢出会导致各种黑客攻击。
● Null pointer dereference, Uninitialized data空指针引用未初始化的数据
该漏洞会造成RTF令牌解引用未初始化的指针,进而执行代码或造成应
用程序崩溃。
● Use-after-free,Double free 使用已释放内存/重复释放内存
该漏洞会造成程序自然崩溃
● Invalid and mismatched free,Divisions by zero(释放无效内存地址)
● Type Confusion错误的数据类型转换
(攻击者可利用该漏洞执行任意代码)
三、关键技术:
1、 检测已知漏洞:基于尖端的已知和未知漏洞检测引擎,查找和验证实际的安全威胁。
2、 检测未知漏洞:基于机器自学习算法技术根据CWE规范提取所有漏洞的特征(调用堆栈,方法名称,参数类型,缓冲区大小等)自动生成该二进制文件的未知漏洞列表。
四、作用
1) 在发布期间,对产品中的组件进行全面的风险检查。
2)在部署期间,监控供应链中已知和未知的漏洞,以便及时做出正确的风险决策,并更好地通过该信息来确定何时更新或者替换这些组件,从而发布新的修正版本。
3) 在部署之后,V-monitor 系统通过庞大的漏洞信息来源能及时地为用户提供恰当的更新帮助信息,以协助用户做出明明智的更新决策。
五、管理平台
Cybellum工具主要由两套系统组成,V-Ray平台和V-Monitor 平台。
1、Cybellum V-Ray 基于自动化的漏洞检测平台,提供完整的组件可见性和风险评估。
2、Cybellum V-Monitor™监控所有已部署的组件,让开发团队及时掌握公共,私有及暗源新漏洞和威胁。
六、组件安全评分标准
1、内置评分标准------CVSS评分标准
从六个维度检测:私有漏洞、公有漏洞、加密密钥、信息泄露、安全加固、合规等。
2、用户自定义安全评分规则:
产品经理可以选择一些影响最终分数的参数:
●严重性敏感度 - 用户可以设置每个严重性级别对安全性得分的影响,因此降低得分公式的权重将发生变化。 例如:与默认配置相比,增加可能适用于具有较大攻击面的连接组件
的关键问题的影响将降低安全性得分。
●加权威胁 - 用户可以使用不同的可用级别设置威胁类型之间的过滤和优先级。
例如,如果用户优先考虑已知漏洞(CVE),则高严重性 CVE 将比未知的高严重性漏洞更多地影 响安全评分。此外,用户可以根据预定义的属性更改威胁的影响,例如:业务风险,访问向量,可利用性,缓解机制等。