BUGPROVE

Product Security for the Internet of Things

BUGPROVE aumenta la sicurezza dei dispositivi IoT grazie ad un'analisi rapida ed  automatizzata del firmware con un'accurata rilevazione di vulnerabilità e minacce zero-day.

▲ TOP

Sicurezza del firmware per Internet of Things

▲ TOP

Come funziona

I test di sicurezza autonomi ti fanno risparmiare tempo e denaro in quanto automatizza il rilevamento di vulnerabilità critiche. Raggiungiamo questo obiettivo spingendo i confini dell'analisi binaria con l'integrazione scoperta di vulnerabilità a zero giorni. Il nostro strumento espone problemi di sicurezza nascosti anche nel codice di terze parti dei prodotti IoT, consentendoti di controllare i rischi di sicurezza informatica della catena di approvvigionamento in un modo che prima non era possibile.

Ricerca di vulnerabilità note ( CVE ) e altri problemi di sicurezza presenti negli SDK sono un'esigenza del settore, che è la pietra angolare della prossima legislazione IoT. SBOM viene creato automaticamente, evidenziando vulnerabilità note per componenti obsoleti.

L'integrazione di BugProve nel processo di test supporterà quotidianamente il lavoro dei tuoi ingegneri della sicurezza. Il nostro strumento riduce i tempi di test e le attività amministrative durante la valutazione della sicurezza, mentre le nostre raccomandazioni di riparazione e report avanzati supportano gli ingegneri di ogni singolo progetto.

Il monitoraggio continuo la soluzione monitora automaticamente le nuove minacce man mano che vengono divulgate nuove vulnerabilità, mentre l'imminente verifica della conformità la funzione raccoglie risultati e non conformità per gli standard più ricercati del settore che ti supportano nel soddisfare i requisiti specifici dei tuoi clienti.

▲ TOP

BUGPROVE vs. strumenti di analisi statica del codice (SAST)

Esistono buoni strumenti SAST per C / C + + che potrebbero essere utilizzati per progetti IoT, tuttavia questi lo sono completamente agnostico al caso d'uso IoT, configurato per verificare la conformità a determinati set di regole di codifica sicuri. Il tuo team ha probabilmente sperimentato che anche i professionisti C / C + + hanno un tempo difficile comprendere questi standard, ed è particolarmente difficile stabilire le priorità tra le classi di risultati in termini di rischi pratici per la sicurezza. Un altro problema è che su grandi basi di codice, gli algoritmi SAST esplodono in tempi di attesa o provocano un gran numero di falsi positivi. Ciò si traduce in una fatica di allerta, ovvero l'ingegnere o l'analista della sicurezza dei prodotti incaricato di risolvere le vulnerabilità si sentirà senza speranza guardando i numerosi problemi visualizzati nella dashboard. I risultati della triaging diventano particolarmente difficili dopo aver verificato che una grande percentuale dei risultati non sono vulnerabilità effettive.

Nessun codice sorgente necessario

BugProve lo fa non richiede il codice sorgente, invece, prendiamo il firmware del dispositivo completamente costruito e lo smontiamo. BugProve esegue un'analisi della composizione sul firmware per raccogliere informazioni su librerie open source di terze parti e codice proprietario. Presta inoltre particolare attenzione al codice di rete che potrebbe contenere problemi che hanno una maggiore probabilità di abilitare i vettori di esecuzione del codice in modalità remota.

Per i binari proprietari, di proprietà del team di ingegneri del produttore o di una delle società della catena di fornitura, come il venditore di chipset, BugProve crea una valutazione del rischio. Utilizzando queste informazioni, eseguiamo il nostro motore di analisi del codice PRIS su eseguibili e librerie automaticamente o guidare l'utente nella direzione dei componenti che riteniamo sospetti in termini di qualità del codice.

PRIS stesso è un motore di analisi di sicurezza semi-dinamico che si basa su idee all'avanguardia della ricerca accademica nell'analisi del programma e il suo obiettivo principale è identificare quelle vulnerabilità che hanno il più alto potenziale di diventare praticamente sfruttabile punti deboli di sicurezza. PRIS elimina molti falsi positivi associati agli strumenti SAST e include implicitamente una comprensione contestuale dell'intero firmware del dispositivo. È più adatto per i test IoT rispetto agli strumenti convenzionali e si concentra sulle importanti classi di vulnerabilità che i migliori ricercatori di sicurezza segnalano di più per i sistemi embedded.

BUGPROVE vs. strumenti di analisi dinamica del codice (DAST)

Infine, gli strumenti DAST sono principalmente focalizzati sulla tecnologia web. Molti dispositivi integrati dispongono di interfacce Web in cui alcune tecniche potrebbero teoricamente essere applicabili e il team di ricerca di BugProve ha ricerca in corso studiare le possibilità. Tuttavia, gli approcci di test completamente dinamici richiedono un firmware in esecuzione o l'accesso all'hardware reale. L'emulazione è difficile da fare nel caso Linux incorporato e quasi impossibile per i dispositivi alimentati da RTOS o codice bare metal.

▲ TOP

▲ TOP

▲ TOP

▲ TOP