日前,固源芯创微(安徽)科技有限公司(以下简称“固源科技”)获得千万级Pre-A 轮融资。此轮融资主要用于加强现有技术研发和新产品发布, 并通过加强与西安电子科技大学芜湖研究院的产学研合作, 助力网络安全产业的蓬勃发展。
固源科技由北京固源网络科技有限公司和上海置维信息科技有限公司合并成立于2022年8月。2022年11月,固源科技通过受邀参加芜湖市高层次人才团队创业大赛,并以优异的成绩获得芜湖高新控股资本青睐,入驻芜湖市高新产业园西安电子科技大学芜湖研究院孵化器。
固源科技专注于国产自主可控的模糊(Fuzzer)漏洞挖掘技术的研究,公司目前具有适用于 SDLC 全生命周期的安全检测工具系列产品,具有独特的技术路径和经验积累,安全检测产品主要应用于智能汽车、工业控制、电力能源等行业和领域,已先后帮助国内外多个知名客户进行漏洞的挖掘与修复。
好风凭借力· 顺势而为
随着网络技术的不断更新,风险与隐患也在暗处滋生。站在时代风口,固源科技作为国内最早致力于模糊漏洞挖掘技术研究的团队,毅然决定顺势而为,迎风飞扬。多年来,固源科技始终持续关注网络安全的前沿漏洞挖掘技术,致力于从源头巩固网络安全,实现在黑客攻击之前,揭露潜在安全漏洞。
固源科技现阶段主要专注于协议安全, 并基于独有的协议模糊漏洞挖掘技术和积累, 推出完全自主研发的产品——智能协议模糊漏洞挖掘平台(Swift Fuzzer)。
固源智能协议模糊漏洞挖掘平台具有以下优势:固源智能协议模糊漏洞挖掘平台具有以下优势:
跨行业的协议支持:支持的协议测试套件包括不限于IOT/军工协议/汽车/金融/医疗/工业控制/硬件通信接口协议等300种通讯协议。
深度的协议覆盖:固源技术团队针对协议测试套件的开发原则一直是“不同的协议采用针对性的开发策略”,凭借对协议的交互规范理解以及凭借对大量驱动解析的经验以及操作系统协议栈执行流程的熟悉,我们开发的测试套件有最全面的协议状态覆盖率,可以发现在目标在传统运行状态以及非常见运行状态的安全威胁。
灵活的漏洞监控:模糊测试中,监控是非常重要的一个技术关键点,监控可以帮助测试人员更精准的捕获目标异常以及快速定位触发异常的 payload。Swift Fuzzer 不仅误报率极低,并且针对漏洞监控保持“0”漏报。Swift Fuzzer 可以根据设备的不同运行情况,来适配不同的监控方法,除此之外,Swift Fuzzer 独有的监控器可以监控到目标设备的协议交互逻辑漏洞,使黑盒Fuzzer 也可以发现只有在白盒审计中才会发现的缺陷。
突破+积累·脱颖而出
风口追风,就要有御风的本领。过往的几年中,固源科技荣幸受邀参加韩国 PoC 峰会和新加坡世界安全大会 HITB,分享智能模糊与无线模糊漏洞挖掘相关的经验,并受邀参加2022年度 ISC 安全大会,分享相关的模糊漏洞挖掘议题。
多年的技术突破和积累,已让固源科技的安全核心团队在业内脱颖而出。近日,在中国信通院和中国通信标准化协会举办的2023可信云大会上,可信云-软件工程与云安全首批评估结果正式公布,固源智能协议模糊漏洞挖掘平台通过 Q/KXYSS009-2023《模糊测试技术分级能力要求》中标准黑盒模糊测试平台能力8个能力项和黑盒模糊测试引擎能力6个能力项的指标检验,获评“先进级”。
固源科技 CSO(首席安全技术官)李立东表示:“固源科技推出的智能协议模糊漏洞挖掘平台是目前国际第一梯队的协议模糊测试产品,尤其在 WLAN、蓝牙等短距离无线通信领域领先国际同类产品。在 Swift Fuzzer 服务的众多客户中,对 Swift Fuzzer 给出了一致的好评,在同类产品测试效果中具有明显的优势。本次固源成功完成 Pre-A 轮融资,这不仅是对安全团队过去努力的肯定,更是对未来发展的一大支持。随着网络安全日益受到重视,协议作为网络设备和操作系统之间的底层基础信息桥梁,已然成为攻击的主要目标,而我们作为行业的领先者,将持续致力于提供高质量的协议安全相关测试工具链, 打破国外对于协议安全工具的垄断。”
淬炼中创新·未来可期
创新之路道阻且长,固源科技虽已在确保软件系统的健壮性和可靠性提升上获取成绩,却仍未停下追寻塔尖高光的脚步。
“从2018年开始,基于我们的自主研发能力,我们不仅深入探索了模糊漏洞挖掘的前沿技术,还与时俱进地融合了国际上的先进方法。从第一个模糊测试产品版本发布到获得 IoT 领域、汽车领域、军工领域等行业头部客户的认可,团队真正做到了厉兵秣马·归源智变。”固源科技 CTO(技术总监)陈绍东说,未来固源科技将继续立足于协议安全, 并逐步向内核、驱动和芯片等领域的漏洞挖掘技术进行深耕,助力国内安全测试产业的发展与壮大。
后续固源科技团队还将陆续推出下列产品。
硬件协议接口安全检测产品:随着物联网, 网联汽车,智能医疗的快速发展,硬件接口的潜在安全漏洞将逐步成为大家关注的重点。固源科技现已经完成针对 USB,JTAG,EMMC 的漏洞挖掘研究,并已着手研究 PCI,I-Link,VGA, HDMI 等硬件接口的漏洞挖掘。
无线电安全检测产品:无线电在军工国防领域被大规模用于实现武器装备的远程控制和通信调度,因此迫切需要无线电安全检测产品尽快发现无线电通讯的潜在漏洞,降低武器装备系统的潜在风险。固源科技现已与某研究所完成部分技术研究,在不久的将来将推出无线电安全检测相关的产品。
芯片安全(FPGA)安全检测产品:传统安全往往着眼于上层应用和驱动层面的安全,然而如果芯片存在本质的设计缺陷或安全漏洞,传统安全手段往往很难触及底层,芯片级的安全研究是一项长期而艰难的工作,固源科技将与西安电子科技大学芜湖研究院共同进行芯片安全(FPGA)漏洞挖掘方向的研究。
蜂窝移动协议安全检测产品:相比传统网络协议,蜂窝网络协议由多个跨层的有状态子协议构成,协议的消息类型、状态及状态迁移更加复杂,这些特性给蜂窝协议的漏洞挖掘造成了诸多困难,固源科技对以 LTE、5G/NR 为代表的移动蜂窝网络协议进行长期研究,并取得了阶段性的成果。
针对/UART/SPI/JTAG/MMC/I²C/GPIO/SATA的硬件通信 Fuzzing 模块:针对/UART/SPI/JTAG/MMC/I²C/GPIO/SATA的的异步串行通信,调试接口,硬件通信接口以及深入芯片内部进行安全测试,为客户提供深入、专业的硬件接口安全评估,在产品发布之前,确保您的设备安全无虞。