產(chǎn)品概述

由于軟件和數(shù)據(jù)在汽車(chē)上的使用越來(lái)越多，汽車(chē)越來(lái)越“智能化”，汽車(chē)行業(yè)面臨著重大的信息安全挑戰(zhàn)。2021年8月，ISO/SAE 21434正式發(fā)布，標(biāo)準(zhǔn)中對(duì)汽車(chē)的信息安全提出了規(guī)范化的要求，汽車(chē)信息安全不容忽視。

Cybellum是一款信息安全測(cè)試與管理工具，幫助汽車(chē)OEM及其供應(yīng)商在整個(gè)汽車(chē)生命周期內(nèi)大規(guī)模評(píng)估和降低安全風(fēng)險(xiǎn)。它無(wú)需訪問(wèn)源代碼，通過(guò)Cyber Digital Twins技術(shù)檢測(cè)開(kāi)源軟件與第三方應(yīng)用程序的安全風(fēng)險(xiǎn)，提供可實(shí)施的修復(fù)建議。從SBOM到漏洞管理、合規(guī)性驗(yàn)證和持續(xù)風(fēng)險(xiǎn)監(jiān)控，團(tuán)隊(duì)可以確保產(chǎn)品長(zhǎng)期安全。

Cybellum已經(jīng)與國(guó)內(nèi)外整車(chē)廠和一級(jí)供應(yīng)商合作，加入了多個(gè)信息安全標(biāo)準(zhǔn)組織和聯(lián)盟，研發(fā)團(tuán)隊(duì)在汽車(chē)、醫(yī)療和工業(yè)行業(yè)的系統(tǒng)、架構(gòu)、法規(guī)方面有多年的經(jīng)驗(yàn)。

產(chǎn)品特點(diǎn)

二進(jìn)制文件掃描，無(wú)需源代碼。支持20+架構(gòu)，60+文件格式，15+開(kāi)發(fā)語(yǔ)言

漏洞來(lái)源廣泛，支持CVE、CWE、CNNVD等漏洞庫(kù)

通過(guò)Cyber Digital Twins核心技術(shù)，揭示了設(shè)備組件的組成和特征，包括硬件架構(gòu)、操作系統(tǒng)、SBOM、license、配置、api調(diào)用等

SBOM軟件物料清單，使供應(yīng)鏈更加透明

? 包的名稱(chēng)、版本、路徑信息、供應(yīng)商

?license類(lèi)型、license風(fēng)險(xiǎn)

可以從組件、產(chǎn)品、系統(tǒng)三個(gè)不同的層面進(jìn)行管理，明晰不同層面的風(fēng)險(xiǎn)與漏洞

可以進(jìn)行開(kāi)源漏洞、零日漏洞評(píng)估

?開(kāi)源漏洞：與已知漏洞庫(kù)進(jìn)行匹配，查找和驗(yàn)證實(shí)際的安全威脅

?零日漏洞：結(jié)合SAST和DAST技術(shù)，根據(jù)CWE規(guī)范提取所有漏洞的特征自動(dòng)生成零日漏洞列表

?對(duì)于開(kāi)源漏洞和零日漏洞，提供可實(shí)施的修復(fù)建議，更快地修復(fù)漏洞

虛擬分析可以基于策略以及配置，將20%-90%不相關(guān)的漏洞進(jìn)行篩選，減少了用戶(hù)手動(dòng)檢查的過(guò)程

可以進(jìn)行規(guī)范評(píng)估，支持多種類(lèi)型的規(guī)范

持續(xù)風(fēng)險(xiǎn)監(jiān)控與治理

?持續(xù)監(jiān)控新的漏洞，針對(duì)安全性變化發(fā)出警告

?對(duì)所有已部署的組件進(jìn)行管理，從宏觀上把控嚴(yán)重級(jí)別高的漏洞等

可以生成不同類(lèi)型的報(bào)告，為每一個(gè)DT生成符合ISO 21434標(biāo)準(zhǔn)的報(bào)告

?SBOM、License與評(píng)估結(jié)果均可生成報(bào)告

?支持PDF、XLS、SPDX、CycloneDX格式

支持云部署和本地部署，不會(huì)泄露數(shù)據(jù)

支持多種平臺(tái)的集成：軟件安全評(píng)估可以集成到DevOps的開(kāi)發(fā)和測(cè)試周期中，軟件構(gòu)建會(huì)自動(dòng)進(jìn)行安全性測(cè)試，分析結(jié)果會(huì)返回給相關(guān)人員，無(wú)需手動(dòng)發(fā)送報(bào)告

?資產(chǎn)管理平臺(tái)：Jfrog Artifactory、SAP

?CI/CD：Azure DevOps、Bamboo、BitBucket Pipelines、CircleCI、GitLab、Jenkins、Red Hat Ansible

?ALM/PLM：PTC Windchill RV&S、Siemens Polarion、Siemens PLM、IBM Jazz、Intland codebeamer

?Ticketing & Tracking：Asana、Jira

?OTA：Airbiquity、HARMAN Software Management (OTA) Solution

?SIEM & SOAR：ArcSight、IBM Qradar、IBM Resilient、ServiceNow、Splunk

應(yīng)用案例

審核編輯 黃宇