Analýza firmwaru pro tvůrce zařízení

  • Článek

Stejně jako počítače mají operační systémy, zařízení IoT mají firmware a je to firmware, který běží a řídí zařízení IoT. Pro tvůrce zařízení IoT je zabezpečení téměř univerzální problém, protože zařízení IoT tradičně nemají základní bezpečnostní opatření.

Například vektory útoku IoT obvykle používají snadno zneužitelné slabiny, ale snadno opravitelné slabiny, jako jsou pevně zakódované uživatelské účty, zastaralé a zranitelné opensourcové balíčky nebo privátní kryptografický podpisový klíč výrobce.

Pomocí analýzy firmwaru v programu Microsoft Defender for IoT identifikujte vložené bezpečnostní hrozby, ohrožení zabezpečení a běžné slabá místa, která mohou být jinak nedetekovatelná.

Poznámka:

Stránka analýzy firmwaru Defenderu pro IoT je ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Jak zajistit zabezpečení firmwaru

Defender for IoT může analyzovat váš firmware o běžných slabých stránkách a ohroženích zabezpečení a poskytnout přehled o zabezpečení firmwaru. Tato analýza je užitečná bez ohledu na to, jestli sestavíte firmware v interním prostředí nebo obdržíte firmware z dodavatelského řetězce.

  • SBOM (Software Bill of Materials): Obdrží podrobný seznam opensourcových balíčků používaných během procesu sestavení firmwaru. Podívejte se na verzi balíčku a na to, jaká licence se řídí používání opensourcového balíčku.

  • CVE analysis: Podívejte se, které součásti firmwaru mají veřejně známé ohrožení zabezpečení a ohrožení zabezpečení.

  • Analýza binárního posílení zabezpečení: Identifikujte binární soubory, které během kompilace nepovolily konkrétní příznaky zabezpečení, jako je ochrana proti přetečení vyrovnávací paměti, umístění nezávislých spustitelných souborů a častější techniky posílení zabezpečení.

  • Analýza certifikátu SSL: Odhalte vypršení platnosti a odvolávání certifikátů TLS/SSL.

  • Analýza veřejného a privátního klíče: Ověřte, zda jsou veřejné a privátní kryptografické klíče zjištěné ve firmwaru nezbytné a nechtěné.

  • Extrakce hodnot hash hesel: Ujistěte se, že hodnoty hash hesel uživatelského účtu používají zabezpečené kryptografické algoritmy.

Screenshot that shows the overview page of the analysis results.

Další kroky