日前,固源芯創(chuàng)微(安徽)科技有限公司(以下簡(jiǎn)稱“固源科技”)獲得千萬(wàn)級(jí)Pre-A 輪融資。此輪融資主要用于加強(qiáng)現(xiàn)有技術(shù)研發(fā)和新產(chǎn)品發(fā)布, 并通過(guò)加強(qiáng)與西安電子科技大學(xué)蕪湖研究院的產(chǎn)學(xué)研合作, 助力網(wǎng)絡(luò)安全產(chǎn)業(yè)的蓬勃發(fā)展。
固源科技由北京固源網(wǎng)絡(luò)科技有限公司和上海置維信息科技有限公司合并成立于2022年8月。2022年11月,固源科技通過(guò)受邀參加蕪湖市高層次人才團(tuán)隊(duì)創(chuàng)業(yè)大賽,并以優(yōu)異的成績(jī)獲得蕪湖高新控股資本青睞,入駐蕪湖市高新產(chǎn)業(yè)園西安電子科技大學(xué)蕪湖研究院孵化器。
固源科技專注于國(guó)產(chǎn)自主可控的模糊(Fuzzer)漏洞挖掘技術(shù)的研究,公司目前具有適用于 SDLC 全生命周期的安全檢測(cè)工具系列產(chǎn)品,具有獨(dú)特的技術(shù)路徑和經(jīng)驗(yàn)積累,安全檢測(cè)產(chǎn)品主要應(yīng)用于智能汽車、工業(yè)控制、電力能源等行業(yè)和領(lǐng)域,已先后幫助國(guó)內(nèi)外多個(gè)知名客戶進(jìn)行漏洞的挖掘與修復(fù)。
好風(fēng)憑借力· 順勢(shì)而為
隨著網(wǎng)絡(luò)技術(shù)的不斷更新,風(fēng)險(xiǎn)與隱患也在暗處滋生。站在時(shí)代風(fēng)口,固源科技作為國(guó)內(nèi)最早致力于模糊漏洞挖掘技術(shù)研究的團(tuán)隊(duì),毅然決定順勢(shì)而為,迎風(fēng)飛揚(yáng)。多年來(lái),固源科技始終持續(xù)關(guān)注網(wǎng)絡(luò)安全的前沿漏洞挖掘技術(shù),致力于從源頭鞏固網(wǎng)絡(luò)安全,實(shí)現(xiàn)在黑客攻擊之前,揭露潛在安全漏洞。
固源科技現(xiàn)階段主要專注于協(xié)議安全, 并基于獨(dú)有的協(xié)議模糊漏洞挖掘技術(shù)和積累, 推出完全自主研發(fā)的產(chǎn)品——智能協(xié)議模糊漏洞挖掘平臺(tái)(Swift Fuzzer)。
固源智能協(xié)議模糊漏洞挖掘平臺(tái)具有以下優(yōu)勢(shì):固源智能協(xié)議模糊漏洞挖掘平臺(tái)具有以下優(yōu)勢(shì):
跨行業(yè)的協(xié)議支持:支持的協(xié)議測(cè)試套件包括不限于IOT/軍工協(xié)議/汽車/金融/醫(yī)療/工業(yè)控制/硬件通信接口協(xié)議等300種通訊協(xié)議。
深度的協(xié)議覆蓋:固源技術(shù)團(tuán)隊(duì)針對(duì)協(xié)議測(cè)試套件的開(kāi)發(fā)原則一直是“不同的協(xié)議采用針對(duì)性的開(kāi)發(fā)策略”,憑借對(duì)協(xié)議的交互規(guī)范理解以及憑借對(duì)大量驅(qū)動(dòng)解析的經(jīng)驗(yàn)以及操作系統(tǒng)協(xié)議棧執(zhí)行流程的熟悉,我們開(kāi)發(fā)的測(cè)試套件有最全面的協(xié)議狀態(tài)覆蓋率,可以發(fā)現(xiàn)在目標(biāo)在傳統(tǒng)運(yùn)行狀態(tài)以及非常見(jiàn)運(yùn)行狀態(tài)的安全威脅。
靈活的漏洞監(jiān)控:模糊測(cè)試中,監(jiān)控是非常重要的一個(gè)技術(shù)關(guān)鍵點(diǎn),監(jiān)控可以幫助測(cè)試人員更精準(zhǔn)的捕獲目標(biāo)異常以及快速定位觸發(fā)異常的 payload。Swift Fuzzer 不僅誤報(bào)率極低,并且針對(duì)漏洞監(jiān)控保持“0”漏報(bào)。Swift Fuzzer 可以根據(jù)設(shè)備的不同運(yùn)行情況,來(lái)適配不同的監(jiān)控方法,除此之外,Swift Fuzzer 獨(dú)有的監(jiān)控器可以監(jiān)控到目標(biāo)設(shè)備的協(xié)議交互邏輯漏洞,使黑盒Fuzzer 也可以發(fā)現(xiàn)只有在白盒審計(jì)中才會(huì)發(fā)現(xiàn)的缺陷。
突破+積累·脫穎而出
風(fēng)口追風(fēng),就要有御風(fēng)的本領(lǐng)。過(guò)往的幾年中,固源科技榮幸受邀參加韓國(guó) PoC 峰會(huì)和新加坡世界安全大會(huì) HITB,分享智能模糊與無(wú)線模糊漏洞挖掘相關(guān)的經(jīng)驗(yàn),并受邀參加2022年度 ISC 安全大會(huì),分享相關(guān)的模糊漏洞挖掘議題。
多年的技術(shù)突破和積累,已讓固源科技的安全核心團(tuán)隊(duì)在業(yè)內(nèi)脫穎而出。近日,在中國(guó)信通院和中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)舉辦的2023可信云大會(huì)上,可信云-軟件工程與云安全首批評(píng)估結(jié)果正式公布,固源智能協(xié)議模糊漏洞挖掘平臺(tái)通過(guò) Q/KXYSS009-2023《模糊測(cè)試技術(shù)分級(jí)能力要求》中標(biāo)準(zhǔn)黑盒模糊測(cè)試平臺(tái)能力8個(gè)能力項(xiàng)和黑盒模糊測(cè)試引擎能力6個(gè)能力項(xiàng)的指標(biāo)檢驗(yàn),獲評(píng)“先進(jìn)級(jí)”。
固源科技 CSO(首席安全技術(shù)官)李立東表示:“固源科技推出的智能協(xié)議模糊漏洞挖掘平臺(tái)是目前國(guó)際第一梯隊(duì)的協(xié)議模糊測(cè)試產(chǎn)品,尤其在 WLAN、藍(lán)牙等短距離無(wú)線通信領(lǐng)域領(lǐng)先國(guó)際同類產(chǎn)品。在 Swift Fuzzer 服務(wù)的眾多客戶中,對(duì) Swift Fuzzer 給出了一致的好評(píng),在同類產(chǎn)品測(cè)試效果中具有明顯的優(yōu)勢(shì)。本次固源成功完成 Pre-A 輪融資,這不僅是對(duì)安全團(tuán)隊(duì)過(guò)去努力的肯定,更是對(duì)未來(lái)發(fā)展的一大支持。隨著網(wǎng)絡(luò)安全日益受到重視,協(xié)議作為網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)之間的底層基礎(chǔ)信息橋梁,已然成為攻擊的主要目標(biāo),而我們作為行業(yè)的領(lǐng)先者,將持續(xù)致力于提供高質(zhì)量的協(xié)議安全相關(guān)測(cè)試工具鏈, 打破國(guó)外對(duì)于協(xié)議安全工具的壟斷。”
淬煉中創(chuàng)新·未來(lái)可期
創(chuàng)新之路道阻且長(zhǎng),固源科技雖已在確保軟件系統(tǒng)的健壯性和可靠性提升上獲取成績(jī),卻仍未停下追尋塔尖高光的腳步。
“從2018年開(kāi)始,基于我們的自主研發(fā)能力,我們不僅深入探索了模糊漏洞挖掘的前沿技術(shù),還與時(shí)俱進(jìn)地融合了國(guó)際上的先進(jìn)方法。從第一個(gè)模糊測(cè)試產(chǎn)品版本發(fā)布到獲得 IoT 領(lǐng)域、汽車領(lǐng)域、軍工領(lǐng)域等行業(yè)頭部客戶的認(rèn)可,團(tuán)隊(duì)真正做到了厲兵秣馬·歸源智變。”固源科技 CTO(技術(shù)總監(jiān))陳紹東說(shuō),未來(lái)固源科技將繼續(xù)立足于協(xié)議安全, 并逐步向內(nèi)核、驅(qū)動(dòng)和芯片等領(lǐng)域的漏洞挖掘技術(shù)進(jìn)行深耕,助力國(guó)內(nèi)安全測(cè)試產(chǎn)業(yè)的發(fā)展與壯大。
后續(xù)固源科技團(tuán)隊(duì)還將陸續(xù)推出下列產(chǎn)品。
硬件協(xié)議接口安全檢測(cè)產(chǎn)品:隨著物聯(lián)網(wǎng), 網(wǎng)聯(lián)汽車,智能醫(yī)療的快速發(fā)展,硬件接口的潛在安全漏洞將逐步成為大家關(guān)注的重點(diǎn)。固源科技現(xiàn)已經(jīng)完成針對(duì) USB,JTAG,EMMC 的漏洞挖掘研究,并已著手研究 PCI,I-Link,VGA, HDMI 等硬件接口的漏洞挖掘。
無(wú)線電安全檢測(cè)產(chǎn)品:無(wú)線電在軍工國(guó)防領(lǐng)域被大規(guī)模用于實(shí)現(xiàn)武器裝備的遠(yuǎn)程控制和通信調(diào)度,因此迫切需要無(wú)線電安全檢測(cè)產(chǎn)品盡快發(fā)現(xiàn)無(wú)線電通訊的潛在漏洞,降低武器裝備系統(tǒng)的潛在風(fēng)險(xiǎn)。固源科技現(xiàn)已與某研究所完成部分技術(shù)研究,在不久的將來(lái)將推出無(wú)線電安全檢測(cè)相關(guān)的產(chǎn)品。
芯片安全(FPGA)安全檢測(cè)產(chǎn)品:傳統(tǒng)安全往往著眼于上層應(yīng)用和驅(qū)動(dòng)層面的安全,然而如果芯片存在本質(zhì)的設(shè)計(jì)缺陷或安全漏洞,傳統(tǒng)安全手段往往很難觸及底層,芯片級(jí)的安全研究是一項(xiàng)長(zhǎng)期而艱難的工作,固源科技將與西安電子科技大學(xué)蕪湖研究院共同進(jìn)行芯片安全(FPGA)漏洞挖掘方向的研究。
蜂窩移動(dòng)協(xié)議安全檢測(cè)產(chǎn)品:相比傳統(tǒng)網(wǎng)絡(luò)協(xié)議,蜂窩網(wǎng)絡(luò)協(xié)議由多個(gè)跨層的有狀態(tài)子協(xié)議構(gòu)成,協(xié)議的消息類型、狀態(tài)及狀態(tài)遷移更加復(fù)雜,這些特性給蜂窩協(xié)議的漏洞挖掘造成了諸多困難,固源科技對(duì)以 LTE、5G/NR 為代表的移動(dòng)蜂窩網(wǎng)絡(luò)協(xié)議進(jìn)行長(zhǎng)期研究,并取得了階段性的成果。
針對(duì)/UART/SPI/JTAG/MMC/I²C/GPIO/SATA的硬件通信 Fuzzing 模塊:針對(duì)/UART/SPI/JTAG/MMC/I²C/GPIO/SATA的的異步串行通信,調(diào)試接口,硬件通信接口以及深入芯片內(nèi)部進(jìn)行安全測(cè)試,為客戶提供深入、專業(yè)的硬件接口安全評(píng)估,在產(chǎn)品發(fā)布之前,確保您的設(shè)備安全無(wú)虞。