Wyzwania

W dzisiejszym świecie, gdzie malware, ransomware, botnety pojawiają się z dnia na dzień i w ciągu tygodnia są w stanie sparaliżować pracę szpitali, urzędów i fabryk na całym świecie pojawia się pytanie: jak bardzo jesteśmy w stanie zaufać producentom oprogramowania i sprzętu w zakresie bezpieczeństwa ich rozwiązań? Jak pokazuje praktyka większość ataków realizowana jest z wykorzystaniem podatności w open sourcowych komponentach, które nie są odpowiednio często aktualizowane oraz z wykorzystaniem luk w firmwarze urządzeń teleinformatycznych, IoT I OT.

8%

przedsiębiorstw jest świadomych i przygotowanych na odparcie ataków powiązanych z podatnościami w firmware

50%

przedsiębiorstw, które kładą nacisk na bezpieczeństwo sprzętu z którego korzystają zgłosiło co najmniej jeden incydent związany z zainfekowanym firmwarem

70%

co najmniej tyle przedsiębiorstw nie przykłada wagi do bezpieczeństwa sprzętu i uważa się za nieprzygotowane na jakiekolwiek ataki od strony zainfekowanego firmwaru

Jak mozemy Ci pomóć?

Na podstawie dostarczonego kodu źródłowego, firmwaru lub jedynie samego urządzenia określimy użyte w nim komponenty oprogramowania firm trzecich wraz z ich wersjami i istniejącymi podatnościami. Dokonamy oceny i audytu bezpieczeństwa zamkniętych, czyli nieupublicznionych, komponentów oprogramowania wdrożonych przez producenta aplikacji czy urządzenia. Analiza wykaże, czy możesz czuć się bezpiecznie wykorzystując urządzenie w swojej infrastrukturze lub instalując aplikacje na desktopie czy smartphonie. Po odnalezieniu podatności pomożemy w rozmowach z producentem rozwiązania nad przygotowaniem odpowiedniej łatki bezpieczeństwa oraz przedstawimy propozycje metod naprawczych. Cybersecurity Bill of Materials jest listą wszystkich użytych komponentów oprogramowania wraz z ich wersjami, które składają się na końcowy produkt, aplikację czy oprogramowanie wbudowane (firmware) urządzenia.
Jeśli dostarczysz nam:

kod źródłowy - przeanalizujemy twój build system wraz z plikami konfiguracyjnymi, przeprowadzimy audyt bezpieczeństwa metodami analizy statycznej, dynamicznej oraz przeprowadzimy analizę manualną,

urządzenie - nasza praca będzie polegać na dekompozycji urządzenia, pozyskania danych z pamięci nieulotnych i ominięcia zastosowanych zabezpieczeń przed inżynierią wsteczną. W ramach audytu wykonamy opisane powyżej: firmware urządzenia oraz analizę kodu źródłowego.

firmware urządzenia – wykorzystując techniki inżynierii wstecznej odtworzymy zawartość systemu plików, zdekompilujemy pliki wykonywalne i biblioteki, sprawdzimy pliki konfiguracyjne, wykorzystane komponenty oprogramowania i ich wersje. Przeprowadzimy audyt z naciskiem na własnościowe elementy oprogramowania wprowadzone przez producenta urządzenia. Dokonamy także sprawdzenia firmware pod kątem istnienia backdoorów, nieudokumentowanych użytkowników czy zaszytych wrażliwych danych (klucze prywatne, kryptograficzne),

Kluczowe korzyści

Ograniczenie ryzyka potencjalnego ataku cybernetycznego poprzez:

image
zbudowanie i zarządzanie bazą wiedzy dotyczącą stosowanych w oprogramowaniu komponentów
image
identyfikacja komponentów wraz z wersjami i istniejącymi podatnościami
image
zapewnienie zgodności stosowanych bibliotek z warunkami licencji
image
identyfikacja fragmentów kodu skopiowanych z open-sourcowych źródeł
image
świadome podejmowanie decyzji dotyczących aktualizacji oprogramowania lub wymuszeniu na producencie oprogramowania przygotowania aktualizacji
image
możliwość monitorowania komponentów pod kątem pojawiających się podatności

Contact us - we will prepare an offer

READ MORE

Related articles:

Audyt bezpieczeństwa kodu
Read more
Audyt bezpieczeństwa urządzeń mobilnych
Read more
Audyt KSC
Read more