概述

嵌入式系统正变得越来越复杂。行业取得了巨大进步,从高度专业化的基于微控制器的组件到基于第三方 SoC 平台的复杂互连解决方案,支持通过许多不同协议进行实时或基于 Linux 操作系统的相互通信。这种快速发展带来了出色的多功能性,但它也付出了代价:嵌入式系统中引入通用计算平台带来了其固有的威胁环境。

卡巴斯基实验室为希望增强安全运营并采取先发制人的方法来应对高级威胁的嵌入式系统供应商提供了一系列主动安全评估服务。


  • 嵌入式设备安全评估

    对嵌入式设备的硬件和软件组件进行安全级别评估,以识别可能被犯罪分子用来破坏平台正常运行的潜在漏洞、错误配置和设计问题

  • 应用程序安全评估

    用于控制和监视嵌入式系统操作的应用程序详细安全性分析,包括应用程序源代码和架构的静态和动态分析

  • 渗透测试

    对支持嵌入式系统操作的 IT 基础架构的安全性进行分析,方法是尝试代表各种类型的入侵者(目标是获取重要系统中的最大可能权限)绕过安全控制

  • 全面报告

    详细说明所有已发现的漏洞和安全缺陷的汇总报告,同时提供切实可行的建议以便立即解决问题

用途

  • 识别嵌入式设备中的安全风险

    • 根据业务逻辑和用例进行威胁建模
    • 手动和自动识别漏洞
    • 使用静态、动态和交互方法进行固件和应用程序源代码分析
    • 底层通信协议和现有安全控制的评估
    • 无线电频道安全评估
    • 操作系统和应用程序组件的配置分析
    • 已实施安全措施的评估
    • 利用已披露漏洞进行攻击的演示
  • 修复导致以下方面的应用程序漏洞

    • 控制应用程序
    • 针对应用程序客户端的攻击
    • 拒绝整个应用程序的服务或部分拒绝服务(阻止单个用户访问)
    • 从应用程序中获取重要信息
    • 对数据完整性的影响
  • 防止未经授权访问关键网络组件

    通过渗透测试可以识别以下漏洞(以及其他漏洞):

    • 网络结构脆弱,网络保护不足
    • 导致网络流量拦截和重新定向的漏洞
    • 身份验证和授权不足
    • 用户凭证薄弱
    • 配置缺陷,包括过多的用户权限
    • 由于应用程序代码错误(代码注入、路径遍历、客户端漏洞等)造成的漏洞

让我们开始对话,并与卡巴斯基专家讨论真正的网络安全如何为企业安全策略提供信息,请与我们联系。

标星号[*]的文件与视频为英语