產(chǎn)品概述
由于軟件和數(shù)據(jù)在汽車上的使用越來越多,汽車越來越“智能化”,汽車行業(yè)面臨著重大的信息安全挑戰(zhàn)。2021年8月,ISO/SAE 21434正式發(fā)布,標(biāo)準(zhǔn)中對汽車的信息安全提出了規(guī)范化的要求,汽車信息安全不容忽視。
Cybellum是一款信息安全測試與管理工具,幫助汽車OEM及其供應(yīng)商在整個汽車生命周期內(nèi)大規(guī)模評估和降低安全風(fēng)險。它無需訪問源代碼,通過Cyber
Digital Twins技術(shù)檢測開源軟件與第三方應(yīng)用程序的安全風(fēng)險,提供可實施的修復(fù)建議。從SBOM到漏洞管理、合規(guī)性驗證和持續(xù)風(fēng)險監(jiān)控,團隊可以確保產(chǎn)品長期安全。
Cybellum已經(jīng)與國內(nèi)外整車廠和一級供應(yīng)商合作,加入了多個信息安全標(biāo)準(zhǔn)組織和聯(lián)盟,研發(fā)團隊在汽車、醫(yī)療和工業(yè)行業(yè)的系統(tǒng)、架構(gòu)、法規(guī)方面有多年的經(jīng)驗。
產(chǎn)品特點
· 二進(jìn)制文件掃描,無需源代碼。支持20+架構(gòu),60+文件格式,15+開發(fā)語言
· 漏洞來源廣泛,支持CVE、CWE、CNNVD等漏洞庫
· 通過Cyber Digital Twins核心技術(shù),揭示了設(shè)備組件的組成和特征,包括硬件架構(gòu)、操作系統(tǒng)、SBOM、license、配置、api調(diào)用等
· SBOM軟件物料清單,使供應(yīng)鏈更加透明
① 包的名稱、版本、路徑信息、供應(yīng)商
② license類型、license風(fēng)險
· 可以從組件、產(chǎn)品、系統(tǒng)三個不同的層面進(jìn)行管理,明晰不同層面的風(fēng)險與漏洞
· 可以進(jìn)行開源漏洞、零日漏洞評估
① 開源漏洞:與已知漏洞庫進(jìn)行匹配,查找和驗證實際的安全威脅
② 零日漏洞:結(jié)合SAST和DAST技術(shù),根據(jù)CWE規(guī)范提取所有漏洞的特征自動生成零日漏洞列表
③ 對于開源漏洞和零日漏洞,提供可實施的修復(fù)建議,更快地修復(fù)漏洞
· 虛擬分析可以基于策略以及配置,將20%-90%不相關(guān)的漏洞進(jìn)行篩選,減少了用戶手動檢查的過程
· 可以進(jìn)行規(guī)范評估,支持多種類型的規(guī)范
· 持續(xù)風(fēng)險監(jiān)控與治理
① 持續(xù)監(jiān)控新的漏洞,針對安全性變化發(fā)出警告
② 對所有已部署的組件進(jìn)行管理,從宏觀上把控嚴(yán)重級別高的漏洞等
· 可以生成不同類型的報告,為每一個DT生成符合ISO 21434標(biāo)準(zhǔn)的報告
① SBOM、License與評估結(jié)果均可生成報告
② 支持PDF、XLS、SPDX、CycloneDX格式
· 支持云部署和本地部署,不會泄露數(shù)據(jù)
· 支持多種平臺的集成:軟件安全評估可以集成到DevOps的開發(fā)和測試周期中,軟件構(gòu)建會自動進(jìn)行安全性測試,分析結(jié)果會返回給相關(guān)人員,無需手動發(fā)送報告
① 資產(chǎn)管理平臺:Jfrog Artifactory、SAP
② CI/CD:Azure
DevOps、Bamboo、BitBucket
Pipelines、CircleCI、GitLab、Jenkins、Red Hat Ansible
③ ALM/PLM:PTC
Windchill RV&S、Siemens Polarion、Siemens PLM、IBM Jazz、Intland codebeamer
④ Ticketing & Tracking:Asana、Jira
⑤ OTA:Airbiquity、HARMAN Software Management (OTA) Solution
⑥ SIEM & SOAR:ArcSight、IBM Qradar、IBM
Resilient、ServiceNow、Splunk
應(yīng)用案例
