上海望驰安防科技有限公司
Cybellum组件安全风险管理平台
产品属性
- 找出软件中的已知漏洞,未知漏洞:
- 安全加固情况;密钥加密是否规范
- 软件中是否有未加密的通信; :
- 针对行业规范做相关检测;
- 品牌:
- 其他
- 软件类型:
- 其他
- 版本类型:
- 网络版
- 语言版本:
- 简体中文版
- 软件名称:
- Cybellum
- 版本号:
- 支持
- 配套附件:
- 全套
- 平台要求:
- Windows10
- 系统硬件要求:
- 支持
- 技术支持:
- 支持
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">Cybellum<*n style="font-family:宋体">软件特性
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">一、 <*n style="font-family:宋体">概述
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">Cybellum <*n style="font-family:宋体">是一款软件供应链安全管理工具,能帮助企业为引入第三方组件设置管理门槛
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">及策略;帮助用户选择没有安全风险和质量缺陷的软件产品。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">1<*n style="font-family:宋体">、在任何情况下某些组件都不可以受到来自哪一类型的攻击?
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">2<*n style="font-family:宋体">、有关第三方组件漏A<*n style="font-family:宋体">洞的管理政策是什么?
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">3<*n style="font-family:宋体">、哪些产品使用了易受攻击的组件和对应版本。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">3<*n style="font-family:宋体">、什么时候向客户发布关键补丁?
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">二、 <*n style="font-family:宋体">用途:
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">针对如下维度对软件做测试,*中的存在的安全风险,给出安全实践建议。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">1<*n style="font-family:宋体">)找出软件中的已知漏洞,未知漏洞;
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">2<*n style="font-family:宋体">)安全加固情况;密钥加密是否规范;
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">3<*n style="font-family:宋体">)软件中是否有未加密的通信;
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">4<*n style="font-family:宋体">)针对行业规范做相关检测;
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">如:Misra 2012 ,CERT-C, AUTOSAR,ISO20262 <*n style="font-family:宋体">等合规检测
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">5<*n style="font-family:宋体">)支持自定义企业信息安全规范标准
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">6<*n style="font-family:宋体">)信息*检测
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">○ Hard-coded credentials(<*n style="font-family:宋体">硬编码的凭证)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">○ Plain text passwo**(<*n style="font-family:宋体">纯文本密码)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">○ Hashed passwo*(<*n style="font-family:宋体">哈希密码)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">○ Emails, IPs, URLs, File Paths(<*n style="font-family:宋体">电子邮件,IP<*n style="font-family:宋体">地址,URL<*n style="font-family:宋体">,文件路径)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">7<*n style="font-family:宋体">)加密问题
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">○ Accessible encryption keys(<*n style="font-family:宋体">可访问的加密密钥)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">○ Unencrypted communication(<*n style="font-family:宋体">未加密的通讯)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">○ Private encryption keys(<*n style="font-family:宋体">*加密密钥)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"> 8<*n style="font-family:宋体">)安全性配置错误问题
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Addrese layout randomization (ASLR)<*n style="font-family:宋体">地址空间布局随机化ASLR
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Stack-*ashing protector (SSP)<*n style="font-family:宋体">堆栈保护器(SSP)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Executable-*ce protection(NX)<*n style="font-family:宋体">可执行空间保护(NX)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● RELocation table protection(RELRO)<*n style="font-family:宋体">重*表保护(RELRO<*n style="font-family:宋体">)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Stack Canaries<*n style="font-family:宋体">堆栈金丝雀
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● SafeSEH(<*n style="font-family:宋体">异常中断处理)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Data Execution Prevention(DEP)<*n style="font-family:宋体">数据执行保护(DEP)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Fortify source <*n style="font-family:宋体">强化来源*缓冲区溢出风险
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">9<*n style="font-family:宋体">)组件包信息(软件 BOM <*n style="font-family:宋体">清单) <*n style="font-family:宋体">:
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">●软件包名称,版本号,路径信息 <*n style="font-family:宋体">;
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">●开源组件License <*n style="font-family:宋体">信息,所在组件包文件名,版本号,许可证类型。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">10<*n style="font-family:宋体">)软件特定接口强化扫描,验证是否存在未知漏洞。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">11<*n style="font-family:宋体">)基于CWE<*n style="font-family:宋体">规范,通过机器自学习发现未知漏洞。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Buffer overflow-Heap/Stack<*n style="font-family:宋体">, Buffer over-read-Heap/Stack<*n style="font-family:宋体">, Invalid page fault<*n style="font-family:宋体">缓冲区溢出-<*n style="font-family:宋体">堆/<*n style="font-family:宋体">堆栈缓冲区被过度读取-<*n style="font-family:宋体">堆/<*n style="font-family:宋体">堆栈无效页面错误
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Deadlock,Integer overflow <*n style="font-family:宋体">死锁整数溢出
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">整型溢出会有可能导致缓冲区溢出,缓冲区溢出会导致各种*攻击。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Null pointer dereference<*n style="font-family:宋体">, Uninitialized data<*n style="font-family:宋体">空指针引用未初始化的数据
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">该漏洞会造成RTF<*n style="font-family:宋体">令牌解引用未初始化的指针,进而执行代码或造成应
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">用程序崩溃。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Use-after-free<*n style="font-family:宋体">,Double free <*n style="font-family:宋体">使用已释放内存/<*n style="font-family:宋体">重复释放内存
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">该漏洞会造成程序自然崩溃
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Invalid and mi*atched free,Divisi* by zero(<*n style="font-family:宋体">释放无效内存地址)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">● Type Confusion<*n style="font-family:宋体">错误的数据类型转换
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">(攻击者可利用该漏洞执行任意代码)
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">三、关键技术:
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">1<*n style="font-family:宋体">、 <*n style="font-family:宋体">检测已知漏洞:基于的已知和未知漏洞检测引擎,查找和验证实际的安全威胁。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">2<*n style="font-family:宋体">、 <*n style="font-family:宋体">检测未知漏洞:基于机器自学习算法技术根据CWE<*n style="font-family:宋体">规范提取所有漏洞的特征(调用堆栈,方法名称,参数类型,缓冲区大小等)自动生成该二进制文件的未知漏洞列表。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">四、 <*n style="font-family:宋体">作用
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">1<*n style="font-family:宋体">) <*n style="font-family:宋体">在发布期间,对产品中的组件进行*的风险检查。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">2<*n style="font-family:宋体">)在部署期间,监控供应链中已知和未知的漏洞,以便及时做出正确的风险决策,并更好地通过该信息来确定何时更新或者替换这些组件,从而发布新的修正版本。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">3<*n style="font-family:宋体">) <*n style="font-family:宋体">在部署之后,V-monitor <*n style="font-family:宋体">系统通过庞大的漏洞信息来源能及时地为用户提供恰当的更新帮助信息,以协助用户做出明明智的更新决策。五、管理平台
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">Cybellum <*n style="font-family:宋体">工具主要由两套系统组成, V-Ray<*n style="font-family:宋体">平台和V-Monitor <*n style="font-family:宋体">平台。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">1<*n style="font-family:宋体">、 Cybellum V-Ray <*n style="font-family:宋体">基于自动化的漏洞检测平台,提供完整的组件可见性和风险评估。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">2<*n style="font-family:宋体">、 Cybellum V-Monitor<*n style="font-family:宋体">™监控所有已部署的组件,让开发团队及时掌握公共,私有及暗源新漏洞和威胁。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">五、 <*n style="font-family:宋体">组件安全评分标准
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif">1<*n style="font-family:宋体">、内置评分标准------CVSS<*n style="font-family:宋体">评分标准
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">从六个维度检测:私有漏洞、公有漏洞、加密密钥、信息*、安全加固、合规等。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"> 2<*n style="font-family:宋体">、用户自定义安全评分规则:
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">产品经理可以选择一些影响分数的参数:
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">●严重*度 - <*n style="font-family:宋体">用户可以设置每个严重性级别对安全性得分的影响,因此降低得分公式的权重将发生变化。 <*n style="font-family:宋体">例如:与默认配置相比,增加可能适用于具有较大攻击面的连接组件
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">的关键问题的影响将降低安全性得分。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"><*n style="font-family:宋体">●加*胁 - <*n style="font-family:宋体">用户可以使用不同的可用级别设置威胁类型之间的过滤和优先级。
<*n style="font-size:10.5pt"><*n style="font-family:Calibri,sans-serif"> <*n style="font-family:宋体">例如,如果用户优先考虑已知漏洞(CVE<*n style="font-family:宋体">),则高严重性 CVE <*n style="font-family:宋体">将比未知的高严重性漏洞更多地影 <*n style="font-family:宋体">响安全评分。此外,用户可以根据预定义的属性更改威胁的影响,例如:业务风险,访问向量,可利用性,机制等。