Zum Hauptinhalt springen
Service

Kaspersky Smart Technologies and IoT Security Assessment

Verbesserte Sicherheit für Embedded Systems

Übersicht

Embedded Systems werden zunehmend komplexer. Die Branche hat sich enorm weiterentwickelt, von hoch spezialisierten Mikrocontroller-basierten Komponenten hin zu komplexen vernetzten Lösungen auf Basis von Drittanbieter-SoC-Plattformen mit Echtzeit-Betriebssystemen oder Linux-Derivaten, die miteinander über Dutzende unterschiedliche Protokolle kommunizieren. Solch eine schnelle Entwicklung sorgt für große Vielseitigkeit, hat jedoch auch ihren Preis: Die Einführung allgemeiner Computerplattformen in Embedded Systems hat zu einer eigenen Bedrohungslandschaft geführt.

Kaspersky Lab bietet eine Reihe von Security Assessment Services für Anbieter von Embedded Systems, die ihre Sicherheitsmaßnahmen verbessern und einen vorbeugenden Schutz vor fortschrittlichen Bedrohungen erzielen möchten.

Security Assessment für Embedded Devices

Bewertung der Sicherheitsstufen der Hardware- und Softwarekomponenten von Embedded Devices mit dem Ziel der Identifizierung potenzieller Schwachstellen, Fehlkonfigurationen und Designprobleme, die von Angreifern genutzt werden können, um den normalen Betrieb der Plattform zu beeinträchtigen

Application Security Assessment

Detaillierte Analyse von Programmen, die verwendet werden, um Embedded Systems zu steuern und zu überwachen, einschließlich statischer und dynamischer Analyse von Quellcodes und der Architektur des Programms

Penetrationstests

Analyse der IT-Sicherheitsinfrastruktur, die den Betrieb von eingebetteten Systemen ermöglicht. Dabei wird versucht, Sicherheitskontrollen auf verschiedene Weisen zu umgehen, um die maximal möglichen Berechtigungen in wichtigen Systemen zu erhalten.

Umfassende Berichte

Zusammenfassender Bericht aller ermittelten Schwachstellen und Sicherheitsfehler mit praktisch umsetzbaren Empfehlungen für eine sofortige Beseitigung

Die Anwendung

  • Ermitteln von Sicherheitsrisiken in eingebetteten Geräten

    • Bedrohungsmodellierung nach Geschäftslogik und Anwendungsfällen
    • Manuelle und automatische Ermittlung von Schwachstellen
    • Firmware- und Quellcode-Analyse mithilfe statischer, dynamischer und interaktiver Ansätze
    • Security Assessment der zugrunde liegenden Kommunikationsprotokolle und bestehenden Sicherheitskontrollen
    • Security Assessment von Funkkanälen
    • Konfigurationsanalyse für Betriebssysteme und Programmkomponenten
    • Bewertung der vorhandenen Sicherheitsmaßnahmen
    • Ausnutzen der erkannten Schwachstellen und Angriffsdemonstration
  • Beseitigung von Programmschwachstellen, die zu Folgendem führen können

    • Kontrolle über ein Programm
    • Angriffe auf Programm-Clients
    • Denial of Service für das gesamte Programm oder teilweise erfolgender Denial of Service-Angriff (blockiert den Zugriff einzelner Benutzer)
    • Gewinnen wichtiger Informationen aus dem Programm
    • Einfluss auf die Integrität der Daten
  • Verhindern von unbefugtem Zugriff auf wichtige Netzwerkkomponenten

    Mithilfe der Penetrationstests werden u. a. die folgenden Schwachstellen erkannt:

    • Anfällige Netzwerkarchitektur, unzureichender Netzwerkschutz
    • Schwachstellen, die das Abfangen und Umleiten des Netzwerkverkehrs ermöglichen
    • Unzureichende Authentifizierung und Autorisierung
    • Schwache Benutzeranmeldedaten
    • Konfigurationsfehler wie zu umfangreiche Benutzerberechtigungen
    • Schwachstellen durch Fehler im Anwendungscode (Codeeinschleusung, Manipulation von Pfadangaben, Schwachstellen auf Clientseite usw.)

Verwandte Services

*Mit einem Sternchen markierte Dokumente und Videos sind auf Englisch.