Analiza oprogramowania układowego dla konstruktorów urządzeń
Podobnie jak komputery mają systemy operacyjne, urządzenia IoT mają oprogramowanie układowe i jest to oprogramowanie układowe, które uruchamia i kontroluje urządzenia IoT. W przypadku konstruktorów urządzeń IoT bezpieczeństwo jest niemal uniwersalnym problemem, ponieważ urządzenia IoT tradycyjnie nie miały podstawowych środków bezpieczeństwa.
Na przykład wektory ataków IoT zwykle korzystają z łatwego wykorzystania— ale łatwo naprawialne — słabe strony, takie jak zakodowane na stałe konta użytkowników, nieaktualne i podatne na zagrożenia pakiety typu open source lub prywatny klucz podpisywania kryptograficznego producenta.
Analiza oprogramowania układowego usługi Microsoft Defender dla IoT umożliwia identyfikowanie osadzonych zagrożeń zabezpieczeń, luk w zabezpieczeniach i typowych słabości, które mogą być w przeciwnym razie niewykrywalne.
Uwaga
Strona Analiza oprogramowania układowego usługi Defender dla IoT jest dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Jak upewnić się, że oprogramowanie układowe jest bezpieczne
Usługa Defender dla IoT może analizować oprogramowanie układowe pod kątem typowych słabości i luk w zabezpieczeniach oprogramowania układowego oraz zapewniać wgląd w zabezpieczenia oprogramowania układowego. Ta analiza jest przydatna niezależnie od tego, czy tworzysz oprogramowanie układowe w firmie, czy odbierasz oprogramowanie układowe z łańcucha dostaw.
Rachunek za oprogramowanie (SBOM): uzyskaj szczegółową listę pakietów typu open source używanych podczas procesu kompilacji oprogramowania układowego. Zobacz wersję pakietu i licencję, która zarządza użyciem pakietu open source.
Analiza CVE: Zobacz, które składniki oprogramowania układowego mają publicznie znane luki w zabezpieczeniach i ekspozycje.
Analiza wzmacniania zabezpieczeń binarnych: zidentyfikuj pliki binarne, które nie włączyły określonych flag zabezpieczeń podczas kompilacji, takie jak ochrona przed przepełnieniem buforu, umieszczanie niezależnych plików wykonywalnych i bardziej typowe techniki wzmacniania zabezpieczeń.
Analiza certyfikatów SSL: ujawnia wygasłe i odwołane certyfikaty TLS/SSL.
Analiza klucza publicznego i prywatnego: sprawdź, czy klucze kryptograficzne publiczne i prywatne odnalezione w oprogramowaniu układowym są niezbędne i nie są przypadkowe.
Wyodrębnianie skrótów haseł: upewnij się, że skróty haseł konta użytkownika używają bezpiecznych algorytmów kryptograficznych.
