Security-Tests

Vector ist bekannt für das gesamte Portfolio an Testwerkzeugen. Vector Consulting bietet auch externe und unabhängige Sicherheitstests an. Wir unterstützen Unternehmen weltweit bei Code-Qualitätsanalyse, Unit-Tests, Fuzzing und PenTest. Unsere neuartigen Grey-Box-PenTests bieten bessere Ergebnisse bei geringeren Kosten. Remote-Tests sind ebenfalls verfügbar.

Wir bei Vector Consulting Services verwenden eine spezifische Methodik für risikobasierte Tests. Brute-Force-Tests mögen zwar ansprechend klingen, um Schwachstellen an jedem Ort aufzudecken, sind aber teuer und nicht effektiv. Kein Test ist vollständig, und der Brute-Force-PenTest übersieht mit Sicherheit spezifische Merkmalskorrelationen.

Vector hat eine eigene Grey-Box-Sicherheitstestsuite entwickelt, in der wir eine Mini-TARA durchführen und daraufhin die Angriffsvektoren identifizieren und den Testschwerpunkt auf der Grundlage von Assets und Risiken festlegen. Sie ist Grey-Box, weil wir dem Black-Box-Sicherheitstestansatz folgen und dabei spezifische Risiken aufgrund von Angriffen und Implementierung berücksichtigen. So lädt beispielsweise eine bestimmte Architektur oder ein bestimmtes Protokoll - sofern bekannt - zu bestimmten Angriffen ein, wie z.B. CAN zu DOS-Angriffen. Auf dieser fundierten methodischen Grundlage werden die Sicherheitselemente im Rahmen des Security-Engineering-Prozesses identifiziert und vereinbart.

Feedback

"Vector Consulting Services ist ein guter Partner für Claas zur Realisierung von Cybersecurity. Claas hatte guten Nutzen vom Vector Team bei TARA und Security Engineering."
- Alexander Grossmann, Manager, Claas

"Vector Consulting Services unterstützte Panasonic für Cybersecurity mit herausragender Expertise. Das Ziel einer umfassenden TARA, integriert in ein Sicherheitskonzept, wurde erreicht. Die Unterstützung war intensiv und sehr erfolgreich!"
- Michael Prantke, Project Manager, Panasonic

Fuzztesting

  • Frame Fuzzing wird verwendet, um die allgemeine Robustheit des Geräts zu überprüfen.  Um etwaige "stille" Dienste zu erkennen, die im System verfügbar sind, aber erst nach Empfang eines CAN-Frames mit einer bestimmten ID aktiviert werden, wird ein CAN-Frame-Fuzzer verwendet, der in der Lage ist, zufällige CAN-Frames innerhalb eines konfigurierbaren Adressbereichs zu erzeugen.
  • Das Signal-Fuzzing wird auf die in der Datenbank definierten Nachrichten angewendet, um die Anwendungssoftware des Device under Test (DUT) mit gefälschten Signaldaten anzusprechen, die unerwartetes Verhalten, wie z.B. Resets, aufdecken können. Ein solches Verhalten des Zielobjekts kann auf eine Software-Schwachstelle hinweisen, die ausnutzbar sein kann.

Pentesting

  • Schnittstellen-Entdeckung: Es werden alle verfügbaren Hardwareschnittstellen des Systems ermittelt, und es werden Tests durchgeführt, welche die Reaktionsfähigkeit des Systems auf Kommunikationsversuche über die jeweilige externe Schnittstelle ermitteln.
  • Netzwerk-Erkennung: Der Netzwerkverkehr wird analysiert, um verwendete Protokolle und Kommunikationsmuster zu bestimmen und das Basisverhalten des Systems zu bestimmen.
  • Netzwerk-Penetrationstest: Mit den Informationen aus der Netzwerkermittlung sind wir in der Lage, netzwerkbasierte Angriffe gegen das System zu starten, wobei der Low-Level-Zugriff auf den Bus genutzt wird, um das DUT mit gefälschten Frames zu belasten.
  • Software-Penetrationstest: Durch Reverse Engineering werden Schwachstellen gesucht und mögliche Angriffsvektoren bestimmt.
  • Grey-Box-Penetrationstest: Vector hat eine eigene Grey-Box-Sicherheitstestsuite entwickelt, in der wir eine Mini-TARA durchführen und daraufhin die Angriffsvektoren identifizieren und den Testschwerpunkt auf der Grundlage von Assets und Risiken festlegen. Sie ist Grey-Box, weil wir dem Black-Box-Sicherheitstestansatz folgen und dabei spezifische Risiken aufgrund von Angriffen und Implementierung berücksichtigen. Grey-Box PenTest verbessert die Testeffektivität und Kosteneffizienz dank der Kenntnis der Architektur, der guten Traceability, der angriffsfreien Genauigkeit und der Risikoanalyse.

Code-Qualitätsanalyse

  • Architekturanalyse: Verifikation der implementierten Architektur gegen die geplante Architektur
  • Design- und Codeanalyse: Identification typischer Design-Schwächen, Verifikation des Quellcodes hinsichtlich der Einhaltung von Programmiervorgaben oder kritischer Codebereiche
  • Präventive Defektanalyse: Werkzeuggestützte verdachtsunabhängige Analyse auf fehlerhafte bzw. kritische Programmierkonstrukte sowie Wartbarkeitsrisiken
  • Lizenzanalyse: Frühzeitige Identifikation von Open-Source-Bestandteilen  zur Prüfung der rechtlichen Anforderungen

FACTSHEET

Security Verification and Testing

Multi-level Security Verification, Validation and Hardening

“Vector Consulting supported Panasonic in cybersecurity, demonstrating outstanding expertise. The goal of a comprehensive TARA, integrated into a security concept, was achieved!” -  Michael Prantke, Panasonic 

Kontaktieren Sie uns

Lena Kast

Ingersheimer Str. 24
70499 Stuttgart, Germany
Tel.: +49 711 80 670 1535
E-Mail: Lena.Kast@vector.com