6. 嵌入式系统研发中的基线安全 - 腾讯科恩实验室张文凯（19页）.pdf

《6. 嵌入式系统研发中的基线安全 - 腾讯科恩实验室张文凯（19页）.pdf》由会员分享，可在线阅读，更多相关《6. 嵌入式系统研发中的基线安全 - 腾讯科恩实验室张文凯（19页）.pdf（19页珍藏版）》请在三个皮匠报告上搜索。

1、嵌入式系统研发中的基线安全嵌入式系统研发中的基线安全演讲人：张文凯演讲时间：2021.07.21目录C o n t e n t s什么是嵌入式系统1嵌入式系统总体安全形势2即将到来的车辆信息安全法规3安全基本原则永不过时5嵌入式系统安全面临的挑战4嵌入式系统基线检查6什么是嵌入式系统什么是嵌入式系统01什么是嵌入式系统多种操作系统1.复杂操作系统2.实时操作系统,FreeRTOS,AUTOSAR OS,VxWorks等多架构x86/x64ARM/ARM64MIPSPowerPC.嵌入式系统总体安全形势嵌入式系统总体安全形势02嵌入式系统总体安全形势版本旧，大量已知漏洞未修复版本旧，大量已知漏洞

2、未修复系统内核、浏览器、三方库安全能力不足安全能力不足安全开发意识不足，安全维护能力不足用户回收修复成本高用户回收修复成本高设备厂商安全投入成本高设备厂商安全投入成本高安全管理不足、人力安全成本高合规性检查缺失合规性检查缺失开源协议合规、敏感信息暴露480+款固件检测出16000+个安全风险平均每一款IoT设备包含超过33个安全风险严重与高危风险比例超过50%由第三方库导致的Nday安全风险占90%即将到来的车辆信息安全法规即将到来的车辆信息安全法规03即将到来的车辆信息安全法规UNECE WP.29通过的两项具有里程碑意义的联合国车辆法规已于2021年1月22日正式生效。该法规分别针对车辆信

3、息安全管理CSMS，及软件更新管理SUMS，要求汽车制造商在以下四个领域内实施控制流程：车辆网络安全风险管理；通过车辆设计安全降低供应链安全风险；车辆运营过程中监控和响应安全事件；车辆全生命周期的软件更新。法规列举了7种类别，共32条车辆信息安全威胁，要求制造商必须能够识别这些风险，并实施相应的缓解措施：车辆连接后台威胁；车辆通信威胁；车辆系统更新过程威胁；用户无意识操作导致车辆威胁；车辆外部链接威胁；车辆数据/代码威胁；车辆系统漏洞及未正确配置防护措施；2021.01正式生效2020.06法规颁布2022.07新车型强制执行（欧盟）嵌入式系统安全面临的挑战嵌入式系统安全面临的挑战04嵌入式系

4、统安全面临的挑战碎片化严重安全过时缺乏威胁检测/预知方法更新缓慢用户隐私操作系统（Linux,Android,FreeRTOS,VxWorks,etc）通信协议（NB-IoT,LTE-M,LoRa,etc.）应用市场系统版本老旧大量已知漏洞缺乏加密措施大量弱密码20182018年全球物联网连接数达年全球物联网连接数达 9191亿，亿，2025 2025 年预计可达年预计可达 252 252 亿。亿。据 MaChina 预测，中国物联网连接数由 2015 年的不到 10 亿，发展到 2020 年超过 70 亿，主要增量市场在蜂窝类的和非蜂窝类 LPWAN。物联网行业景气度持续，预计未来是物联网做

5、大连接的 5 年。传统威胁检测方法不适用设备端威胁数据难定义现有威胁分析引擎难满足远程更新未普及兼容性考量安全更新缺失非供应商强要求GDPR、等保合规跨部门法域监管界限用户知情同意难透明度原则受到挑战安全基本原则永不过时安全基本原则永不过时05安全基本原则永不过时最小权限原则最小权限原则合理分配权限，保证每个应用/服务/用户只能访问所必须的信息或资源攻击面收敛攻击面收敛尽量减少暴露非必要的接口，删除非必要的组件，从而缩小攻击面纵深防御纵深防御将不同安全防护手段应用于业务的每个层面，提升攻击门槛，降低ROI默认安全默认安全系统保持安全更新，原生安全选项默认处于开启状态并合理配置嵌入式系统基线检查

6、嵌入式系统基线检查06嵌入式系统基线检查目标系统固件包测试目标固件扫描动态采集与监测测试流程SBOM测试报告系统信息管理嵌入式系统基线检查 固件扫描二进制软件成分分析二进制软件成分分析Binary Software Composition AnalysisBinary Software Composition AnalysisPackageexecutableotherdataExtractSCA 分析License 风险检查CVE 分析敏感信息分析规则配置检测.嵌入式系统基线检查 动态采集与检测目标系统运行时信息