近期，默安科技雳鉴IAST交互式应用安全检测系统发布3.0版本，在功能上取得两项重要进展，支持车联网MQTT协议（“Car/Server”）和桌面程序（C/S）插桩检测，实现创新型双“C/S”架构检测。

01 车联网及桌面程序检测面临的安全挑战

车云通信中的云服务器成为网络攻击的新焦点

随着汽车网联化、智能化、共享化、电动化的新四化发展，汽车功能逐渐丰富。随之而来的，则是汽车控制代码逐渐增多，可攻击端口增加，面临的安全威胁加大。

从安全事件分布来看，目前的汽车信息安全事件主要攻击面之一集中在服务器层面。服务器是车联网安全第一大端口，黑客可通过入侵操作系统、数据库、TSP服务器、OTA服务器等系统漏洞，对数据进行篡改、破坏，造成车端安全事故。服务器的攻击工具大多为远程接入，成本相对较低，同时服务器存储的数据资产极其重要，这些特性导致服务器攻击占比一直高居首位。

2021年9月工信部发布《关于加强车联网网络安全和数据安全工作的通知》，通知中要求加强车联网网络设施和网络系统安全防护能力、加强车联网服务平台安全防护等内容，并且明确了各项具体事项。因此车云通信中云端服务器的安全建设，成为车联网安全中重要的一环。

车联网中的数据安全不仅仅关乎汽车本身

随着车载设备的类型与数量的不断增加，包含各类摄像头、传感器等，每时每刻都会产生海量的数据记录，包含道路状况、天气、交通标识、街道标志等，并且产生隐私数据的场景也大大增多，比如智能驾驶、智能出行、数据服务等。通过中国汽车论坛“智能网联汽车产业发展与安全分论坛”上的报道，一辆智能网联汽车每天至少收集10TB的数据。与此同时，智能汽车的数据泄露影响不仅仅波及车辆本身的安全，还关乎与车辆相关的人员。2022年12月，国内某车企被爆出数据泄露事件，共计泄露了2万余条车企员工信息、39万余条用户信息、65万余条地址信息等，对企业影响极其恶劣。

插桩模式“重”Server端检测，“轻”客户端安全

在业内常见的插桩模式安全检测产品中，无论B/S还是C/S架构，都是针对http/https协议Server端的漏洞进行检测，而且常用的编程语言也已基本覆盖。但是对于医疗、工控等行业来说，并不是所有的业务系统全部都是B/S架构，不仅存在着相当规模的C/S架构业务系统，甚至还会存在部分客户端直连数据库的情况。因此在开发安全落实过程中，客户端的安全也同样至关重要，在现有传统服务端安全保证的情况下，如何落实客户端安全依旧是需要关注的问题。

02 车联网及插桩桌面程序检测现状

MQTT协议及车联网发展现状

MQTT（Message Queuing Telemetry Transport，消息队列遥测传输协议）由IBM在1999年发布，是一种基于发布/订阅模式的"轻量级"通讯协议。该协议构建于TCP/IP协议上，可以以极少的代码和有限的带宽，为连接远程设备提供实时可靠的消息服务，在各行业应用广泛，车联网便是MQTT最常见的应用场景之一。根据IDC发布的《全球智能网联汽车预测报告（2020-2024）》数据预测，2024年全球出货的新车中超过71%将搭载智能网联系统，但在安全检测领域目前国内尚属空白，缺乏针对车云通讯的高效可靠的应用安全检测技术手段。

插桩桌面程序检测发展现状

.NET Framework是用于Windows的新托管代码编程框架，是专注构建具有视觉上引人注目的用户体验的应用程序，借此来实现跨技术边界的无缝通信，并且能支持各种业务流程，在Windows客户端使用广泛。在传统的插桩技术检测漏洞中，插桩agent通常被安装在服务端，基于B/S架构的各类信息系统进行web安全漏洞检测。即使是.NET Framework语言下的插桩检测，也仅仅是将agent部署在IIS等这类服务器中，针对Windows环境下的Server端进行漏洞检测。可无论是B/S还是C/S架构，检测的对象始终是Server端，而.NET Framework另一个应用场景，C/S架构下桌面端Client的领域，目前业内各厂商的插桩模式均无法覆盖。

03 创新双“C/S”架构检测 领跑开发安全

雳鉴IAST保障云服务安全

相较于传统的云平台安全，车联网云平台使用MQTT协议与车辆进行通信，而不是传统的http或https协议。基于此，雳鉴IAST依托于成熟的Java语言插桩体系，将MQTT协议更新至插桩模式中。相较于传统云平台的插桩模式检测，MQTT协议下的车联网云平台的部署检测步骤完全一致，并不需要客户进行额外的操作。同时，雳鉴IAST还提供相关插件，能协助客户以更低成本、快速地与流水线进行集成，使得车联网云平台的安全检测能够高质量地快速推进。除此之外，由于MQTT协议的特性，其还可能被用于工控云平台、物联网云平台等环境中，雳鉴IAST都可以很好地支持这些场景的检测。

雳鉴IAST保障数据安全

雳鉴IAST具备成熟的个人隐私泄露检测方案，原生支持《个人信息保护法》、《通用数据保护条例（GDPR）》、《支付卡行业数据安全标准（PCI DSS）》等各类法律法规，因此对于车牌号、身份证号、快递地址、银行卡号、邮箱等十余种敏感数据类型都可以进行检测。同时依托于灵活的规则系统，还能针对车联网的数据安全中所规定的特殊数据类型，或者任何用户想要自定义的特殊数据类型，都可以完成数据泄露风险的安全检测。

雳鉴IAST保障.NET Framework桌面端安全

雳鉴IAST插桩模式对于.NET Framework语言在原有服务端检测的基础上，新增加桌面应用程序客户端的漏洞检测，针对桌面应用程序中不会发出网络请求的处理逻辑进行检测。且无论是检测服务端还是客户端，均使用同一个agent、部署检测方式均一致，大大降低了使用门槛，扩展检测场景的同时并不会增加用户工作量。尤其针对医疗、工控等大量使用.NET Framework语言桌面程序的行业，检测效果更佳。

结语

目前，雳鉴IAST获得了众多客户与第三方机构的推荐与认可：作为亚太唯一IAST推荐厂商入选2021 Gartner应用安全技术成熟度曲线，同时在关键信息基础设施技术创新联盟等单位主办的2021网信自主创新优秀产品评选活动中荣获“盘古奖”，被第三方研究机构数世咨询评为DevSecOps领域的主力玩家，并荣获第二届数字安全大会“创新赛道领航者”奖项。雳鉴IAST已在政府、银行、保险、证券、能源、制造、IT以及互联网等多个行业得到成功应用。

随着MQTT协议和.NET Framework桌面端插桩检测的推出，雳鉴IAST 3.0版本将更贴合车联网、物联网、医疗和工控等行业的业务场景，助力客户更高效地进行安全检测与管控，向DevSecOps不断演进。未来，默安科技将进一步加强在应用安全领域的创新能力，加速开展不同场景下创新型技术的研究与落地，为客户提供更多的安全价值，为数字中国的建设贡献更多力量。

升级说明

维保期内客户可联系对应销售经理或技术支持工程师，免费获得此次升级。