Cybellum—信息安全測試工具

產品概述

由于軟件和數(shù)據(jù)在汽車上的使用越來越多，汽車越來越“智能化”，汽車行業(yè)面臨著重大的信息安全挑戰(zhàn)。2021年8月，ISO/SAE 21434正式發(fā)布，標準中對汽車的信息安全提出了規(guī)范化的要求，汽車信息安全不容忽視。

Cybellum是一款信息安全測試與管理工具，幫助汽車OEM及其供應商在整個汽車生命周期內大規(guī)模評估和降低安全風險。它無需訪問源代碼，通過Cyber Digital Twins技術檢測開源軟件與第三方應用程序的安全風險，提供可實施的修復建議。從SBOM到漏洞管理、合規(guī)性驗證和持續(xù)風險監(jiān)控，團隊可以確保產品長期安全。

Cybellum已經與國內外整車廠和一級供應商合作，加入了多個信息安全標準組織和聯(lián)盟，研發(fā)團隊在汽車、醫(yī)療和工業(yè)行業(yè)的系統(tǒng)、架構、法規(guī)方面有多年的經驗。

產品特點

二進制文件掃描，無需源代碼。支持20+架構，60+文件格式，15+開發(fā)語言

漏洞來源廣泛，支持CVE、CWE、CNNVD等漏洞庫

通過Cyber Digital Twins核心技術，揭示了設備組件的組成和特征，包括硬件架構、操作系統(tǒng)、SBOM、license、配置、api調用等

SBOM軟件物料清單，使供應鏈更加透明

? 包的名稱、版本、路徑信息、供應商

?license類型、license風險

可以從組件、產品、系統(tǒng)三個不同的層面進行管理，明晰不同層面的風險與漏洞

可以進行開源漏洞、零日漏洞評估

?開源漏洞：與已知漏洞庫進行匹配，查找和驗證實際的安全威脅

?零日漏洞：結合SAST和DAST技術，根據(jù)CWE規(guī)范提取所有漏洞的特征自動生成零日漏洞列表

?對于開源漏洞和零日漏洞，提供可實施的修復建議，更快地修復漏洞

虛擬分析可以基于策略以及配置，將20%-90%不相關的漏洞進行篩選，減少了用戶手動檢查的過程

可以進行規(guī)范評估，支持多種類型的規(guī)范

持續(xù)風險監(jiān)控與治理

?持續(xù)監(jiān)控新的漏洞，針對安全性變化發(fā)出警告

?對所有已部署的組件進行管理，從宏觀上把控嚴重級別高的漏洞等

可以生成不同類型的報告，為每一個DT生成符合ISO 21434標準的報告

?SBOM、License與評估結果均可生成報告

?支持PDF、XLS、SPDX、CycloneDX格式

支持云部署和本地部署，不會泄露數(shù)據(jù)

支持多種平臺的集成：軟件安全評估可以集成到DevOps的開發(fā)和測試周期中，軟件構建會自動進行安全性測試，分析結果會返回給相關人員，無需手動發(fā)送報告

?資產管理平臺：Jfrog Artifactory、SAP

?CI/CD：Azure DevOps、Bamboo、BitBucket Pipelines、CircleCI、GitLab、Jenkins、Red Hat Ansible

?ALM/PLM：PTC Windchill RV&S、Siemens Polarion、Siemens PLM、IBM Jazz、Intland codebeamer

?Ticketing & Tracking：Asana、Jira

?OTA：Airbiquity、HARMAN Software Management (OTA) Solution

?SIEM & SOAR：ArcSight、IBM Qradar、IBM Resilient、ServiceNow、Splunk

應用案例

審核編輯 黃宇