ESCRYPT CycurRISK meets ONEKEY

Wir freuen uns, eine gemeinsame Lösung von ONEKEY und ESCRYPT CycurRISK vorstellen zu können, die sich mit den Problemen der Automobilindustrie beim Schwachstellenmanagement in softwaredefinierten Fahrzeugen befasst.

Gemäß der UN R 155 sind OEMs verpflichtet, Schwachstellen in ihren Fahrzeugen zu überwachen, zu erkennen und darauf zu reagieren. Eine effektive Überwachung von Schwachstellen kann sich jedoch als schwierig erweisen, da die Softwarekomponenten und -versionen, die auf jedem Fahrzeug laufen, identifiziert werden müssen. Die Pflege dieser Informationen in einer Software Bill of Material (SBOM) kann eine komplexe Aufgabe sein. Darüber hinaus erzeugt das Scannen von Schwachstellen oft eine lange Liste potenziell relevanter Ergebnisse, was es den Entwickler:innen erschwert, Prioritäten zu setzen und diese zu beheben.

Um diese Probleme zu bewältigen, stellen wir unsere gemeinsame Lösung vor: ONEKEY bietet eine Plattform zur Verwaltung und Validierung von SBOMs sowie zur Erkennung und automatischen Priorisierung von Sicherheitslücken. Sie ermöglicht die automatische Erstellung einer Liste von Softwarekomponenten (SBOM) aus einer Binärdatei, ohne dass ein Zugriff auf den Quellcode erforderlich ist. Außerdem werden bekannte Schwachstellen (CVEs) und unbekannte Schwachstellen (Zero-Days) innerhalb von Minuten identifiziert und priorisiert. Auf der anderen Seite unterstützt ESCRYPT CycurRISK die Erstellung und Verwaltung von Threat-Analysen und Risikoanalysen (TARAs). Anwender:innen können wertvolle Kontextinformationen über die analysierte Funktionalität oder Komponente erfassen und so die Auswirkungen potenzieller Angriffe auf Anlagen in einem bestimmten Kontext bewerten. Die Informationen aus ESCRYPT CycurRISK werden dann zur Priorisierung der kritischsten Schwachstellen in der Software verwendet.

Mit dieser gemeinsamen Lösung wird die große Zahl der identifizierten Schwachstellen einfacher zu handhaben. Die Entwickler:innen erhalten eine gefilterte und nach Prioritäten geordnete Liste von Schwachstellen, so dass sie sich auf die Verbesserung der Software in den wichtigsten Bereichen konzentrieren können.

Mit Blick auf die Zukunft freuen wir uns, weitere Themen anzukündigen. Zunächst werden wir den erweiterten Anwendungsfall des Rückflusses von Informationen aus dem Schwachstellenmanagement zurück in die TARA untersuchen, um sicherzustellen, dass die Risikobewertung aktuell bleibt. Perspektivisch werden wir ein erweitertes Ökosystem schaffen, indem wir andere ETAS-Cybersecurity-Produkte und -Lösungen wie ESCRYPT CycurGUARD und ESCRYPT CycurFUZZ eng miteinander verknüpfen, um die Effizienz und Effektivität des Schwachstellenmanagements in softwaredefinierten Fahrzeugen weiter zu verbessern.

Bleiben Sie dran für weitere Updates zu diesen spannenden Entwicklungen!

 

Über ONEKEY

ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.