Security-Tests

Unsere Security-Tests basieren auf den jahrzehntelangen Erfahrungen von Vector mit Tests. Wir sind weltweit führend bei Testgeräten für E/E im Automobilbereich. Wir verwenden eine spezifische Methodik für risikobasierte Tests. Brute-Force-Tests mögen zwar ansprechend klingen, um Schwachstellen an jedem Ort aufzudecken, sind aber teuer und nicht effektiv. Kein Test ist vollständig, und der Brute-Force-PenTest übersieht mit Sicherheit spezifische Merkmalskorrelationen.

Vector hat eine eigene Grey-Box-Sicherheitstestsuite entwickelt, in der wir eine Mini-TARA durchführen und daraufhin die Angriffsvektoren identifizieren und den Testschwerpunkt auf der Grundlage von Assets und Risiken festlegen. Sie ist Grey-Box, weil wir dem Black-Box-Sicherheitstestansatz folgen und dabei spezifische Risiken aufgrund von Angriffen und Implementierung berücksichtigen. So lädt beispielsweise eine bestimmte Architektur oder ein bestimmtes Protokoll - sofern bekannt - zu bestimmten Angriffen ein, wie z.B. CAN zu DOS-Angriffen. Auf dieser fundierten methodischen Grundlage werden die Sicherheitselemente im Rahmen des Security-Engineering-Prozesses identifiziert und vereinbart.

Feedback

"Vector Consulting Services ist ein guter Partner für Claas zur Realisierung von Cybersecurity. Claas hatte guten Nutzen vom Vector Team bei TARA und Security Engineering."

- Alexander Grossmann, Manager, Claas

 

"Vector Consulting Services unterstützte Panasonic für Cybersecurity mit herausragender Expertise. Das Ziel einer umfassenden TARA, integriert in ein Sicherheitskonzept, wurde erreicht. Die Unterstützung war intensiv und sehr erfolgreich!"

- Michael Prantke, Project Manager, Panasonic

Fuzztesting

  • Frame Fuzzing wird verwendet, um die allgemeine Robustheit des Geräts zu überprüfen.  Um etwaige "stille" Dienste zu erkennen, die im System verfügbar sind, aber erst nach Empfang eines CAN-Frames mit einer bestimmten ID aktiviert werden, wird ein CAN-Frame-Fuzzer verwendet, der in der Lage ist, zufällige CAN-Frames innerhalb eines konfigurierbaren Adressbereichs zu erzeugen.
  • Das Signal-Fuzzing wird auf die in der Datenbank definierten Nachrichten angewendet, um die Anwendungssoftware des Device under Test (DUT) mit gefälschten Signaldaten anzusprechen, die unerwartetes Verhalten, wie z.B. Resets, aufdecken können. Ein solches Verhalten des Zielobjekts kann auf eine Software-Schwachstelle hinweisen, die ausnutzbar sein kann.

Pentesting

  • Schnittstellen-Entdeckung: Es werden alle verfügbaren Hardwareschnittstellen des Systems ermittelt, und es werden Tests durchgeführt, welche die Reaktionsfähigkeit des Systems auf Kommunikationsversuche über die jeweilige externe Schnittstelle ermitteln.
  • Netzwerk-Erkennung: Der Netzwerkverkehr wird analysiert, um verwendete Protokolle und Kommunikationsmuster zu bestimmen und das Basisverhalten des Systems zu bestimmen.
  • Netzwerk-Penetrationstest: Mit den Informationen aus der Netzwerkermittlung sind wir in der Lage, netzwerkbasierte Angriffe gegen das System zu starten, wobei der Low-Level-Zugriff auf den Bus genutzt wird, um das DUT mit gefälschten Frames zu belasten.
  • Software-Penetrationstest: Durch Reverse Engineering werden Schwachstellen gesucht und mögliche Angriffsvektoren bestimmt.

FACTSHEET

Security Verification and Testing

Multi-level Security Verification, Validation and Hardening

“Vector Consulting supported Panasonic in cybersecurity, demonstrating outstanding expertise. The goal of a comprehensive TARA, integrated into a security concept, was achieved!” -  Michael Prantke, Panasonic