사이버 보안 테스트

벡터의 사이버 보안 테스트는 10년간의 테스트 경험을 바탕으로 합니다. 당사는 자동차 전기/전자 테스트 장비의 세계적인 리더이며, 위험 기반 테스트를 위한 특정 방법론을 사용하고 있습니다. 무차별 대입 테스트는 모든 부분의 약점을 감지할 수 있을 것 같지만, 비용이 많이 들고 효과적이지 않습니다. 완벽한 테스트란 존재하지 않겠지만 무차별 대입 PenTest는 분명히 특정 기능과의 연관성을 놓칠 수 있습니다.

따라서 벡터는 mini-TARA를 수행하기 위한 그레이박스 보안 테스트 제품군을 자체 개발했으며 이를 바탕으로 공격 경로 식별과 자산 및 위험 기반 테스트에 초점을 맞췄습니다. 이 테스트는 공격 및 구현으로 인한 특정 위험을 고려하면서 블랙박스 보안 테스트 방식을 따르기 때문에 그레이박스입니다. 예를 들어, 특정 아키텍처나 프로토콜은 DOS 공격을 포함한 CAN과 같은 특정 공격에 취약합니다. 이러한 근거 있는 방법론을 바탕으로 보안 엔지니어링 프로세스 범위 내 보안 항목을 식별하고 합의합니다.

Fuzz 테스트

  • 프레임 Fuzzing은 장치의 일반적인 견고성을 확인하는데 사용됩니다. 시스템 내에서 특정 ID를 가진 CAN 프레임을 수신할 때만 활성화되는 '사일런트' 서비스를 감지하기 위해, 구성 가능한 주소 범위 내에서 임의의 CAN 프레임을 생성할 수 있는 CAN-Frame Fuzzer가 사용됩니다. 
  • 시그널 Fuzzing은 데이터베이스에 정의된 메시지로 사용되며, 리셋과 같은 예기치 않은 동작을 발생시킬 수 있는 위조된 신호 데이터로 DUT의 응용 소프트웨어를 표적으로 삼습니다. 이러한 표적의 동작은 악용될 수 있는 소프트웨어 취약점을 찾아낼 수 있습니다.

Pen 테스트

  • 인터페이스 탐색: 시스템의 사용 가능한 모든 하드웨어 인터페이스가 결정되고, 각 외부 인터페이스를 통한 통신 시도로 표적의 응답성을 감지하기 위한 예비 테스트가 수행됩니다.
  • 네트워크 탐색: 네트워크 트래픽을 분석하여 사용된 프로토콜, 통신 패턴, 시스템 기준 동작을 결정합니다.
  • 네트워크 침투 테스트: 네트워크 탐지 정보를 통해, 위조 프레임으로 DUT에 스트레스를 가하기 위해서 버스에 로우 레벨로 접근하여 시스템에 대한 네트워크 기반 공격을 수행할 수 있습니다.
  • 소프트웨어 침투 테스트: 리버스 엔지니어링 취약점을 탐색하고 가능한 공격 경로를 결정합니다.

FACTSHEET

Security Verification and Testing

멀티 레벨 보안 검증, 확인, 강화

“벡터 컨설팅은 사이버 보안 분야에서 파나소닉을 지원하여 탁월한 전문 지식을 보여줬습니다. 보안 컨셉에 포괄적인 TARA를 통합하는 목표를 달성하게 되었습니다!” -  Michael Prantke, Panasonic