被称为高级持续性威胁(Advanced Persistent Threat, APT)的漏洞攻击已经越来越常见。APT尤为能抓取应用程序的漏洞。所有攻击中的75%可以说都是利用应用程序的漏洞进行的攻击。
现有的安全系统对阻止迂回攻击具有局限性。因为只有从开发阶段开始就补全应用程序安全编码的漏洞,才是根本的解决办法。
这种安保方法叫做“Secure coding开发安全”。是作为分析工具, 用来找到并消除APP生成源代码的过程中生成的漏洞.
如果APP的安保漏洞是在研发成功后才发现的,就要增加30倍的额外修正费用。如果在运营中,找到漏洞并进行修改时,会比在设计阶段发现漏洞增加100倍的额外修正费用。
随着物联网(IoT, Internet of Things)的登场,Secure coding也变得越来越重要。在物联网的世界里所有的设备都具有智能性。也就是说,每一个IoT设备都将有自己的APP。那么物联网设备的APP出现漏洞的话,设备有多少,APT的攻击点就将有多少。
随着APT攻击的增加和物联网的普及,潜在的威胁也在加剧。其中Fasoo(sparrow.fasoo.com)的Secure coding解决方案“Sparrow”在国内外备受关注。
程序运行时难以检出的安保漏洞, 以执行意义分析(语义)引擎为基础、 利用源代码语法分析的Fasoo的Sparrow却能检测得到 。韩国行政自治部已公布的47个安保漏洞、 OWASP、CWE、CERT、 MISRA、BSSC等多样的违反产业安保以及品质标准的事项都被检测到。和竞争公司静态分析工具相比,具备2倍以上的速度,还能快速准确的分析大容量源代码。
Fasoo提出,智能性能是Sparrow的优势。例如‘Active Suggestion’能够显示出对已检测出的漏洞的修补向导;利用多种条件检索漏洞,筛选相同原因引发的问题,一次性处理的‘Advanced lssue Filtering’; Sparrow还具有能够合并一次性提示若干检测结果的源构造中的相似项,并将一个提醒的处理方案适用到其它提醒当中的 ‘Intelligent Alarm Clustering’功能。
通过网页版的综合管理系统,在服务器中可以对正在运行的所有程序进行综合管理。企业和机构原本使用的开发环境中,完全可以建立Sparrow。Sparrow支持 C/C++、JAVA、 JSP、PHP、 ASP、 C#、HTML以及安卓等各种语言的源代码分析。
售卖的Sparrow分为安保漏洞管理工具(SCE)和品质管理工具(QCE)两种。
Fasoo的Sparrow在韩国国内公共事业中取得了很大的成功。在金融界也拥有很多供给的例子。最近,Fasoo正为物联网关联的家电、汽车等制造商提供Sparrow。
Fasoo正以韩国市场的成功为基石,尝试进军全球市场。有观点认为,Sparrow在全球物联网市场上也具有很强的竞争力。
作为进军全球市场的一环, Fasoo参加了本月18日到20日期间在深圳举办的物联网相关内容的展会。大部分参展企业都与物联网产业相关,Fasoo的Sparrow以物联网APP安保主题备受关注。
3日内有500余人参观Fasoo展台,其中100多人不仅看了现场的产品说明,还仔细观看了演示并对活动后的体验版使用问题进行咨询,对Sparrow表现出了极大的兴趣。
Fasoo相关人士称:“在商谈客户当中,希望设立合作法人或者结成合作伙伴的建议非常多。活动后,有计划进行进一步的协商,年内将按照地区分类集中发掘合作伙伴并签约,明年以后再考虑设立分公司或者另设法人。“