ESCRYPT CycurRISK와 ONEKEY의 조인트 솔루션

Software-defined vehicles의 취약점을 관리할 때 자동차 업계가 마주하는 문제를 해결할 수 있는 ONEKEY와 ESCRYPT CycurRISK의 조인트 솔루션을 소개합니다.

UN R 155 규정에 따르면 OEM은 차량의 취약점을 모니터링하고, 탐지하고, 이에 대응해야 합니다. 그러나 각 차량에서 실행되는 소프트웨어 구성 요소와 버전을 식별해야 하기 때문에 효과적으로 취약점을 모니터링하기 어려울 수 있습니다. 이 정보를 소프트웨어 자재 명세서(SBOM, Software Bill of Material)로 관리하는 것은 복잡한 작업입니다. 또한 취약점 스캐닝은 관련이 있을 수 있는 광범위한 목록을 생성하기 때문에 개발자가 우선순위를 정하여 해결하기가 어렵습니다.

이러한 문제점을 개선하기 위해 이타스와 ONEKEY가 조인트 솔루션을 제시합니다: ONEKEY는 SBOM을 관리 및 검증할 뿐 아니라 취약점을 감지해 우선순위를 자동 지정하는 플랫폼을 제공합니다. 소스 코드에 액세스하지 않고도 바이너리에서 소프트웨어 구성 요소 목록(SBOM)을 자동으로 생성할 수 있습니다. 또한 알려진 취약점(CVE)과 알려지지 않은 취약점(Zero-Days)을 신속하게 식별하고 우선순위를 정할 수 있습니다. 한편 ESCRYPT CycurRISK는 위협 분석 및 위험 평가(TARA, Threat Analysis and Risk Assessment)의 생성 및 유지 관리를 지원합니다. 분석된 기능 또는 구성 요소에 대해 중요한 상황 정보를 파악하여 주어진 상황에서 잠재적 공격이 자산에 미치는 영향을 평가할 수 있습니다. 이후 ESCRYPT CycurRISK의 정보를 사용하여 소프트웨어에서 가장 중요한 취약점의 우선순위를 정합니다.

이 조인트 솔루션을 사용하면 식별된 수많은 취약점을 보다 쉽게 관리할 수 있습니다. 개발자는 필터링 되고 우선순위가 지정된 취약점 목록을 제공받음으로써 중요도가 높은 영역의 소프트웨어를 개선하는 데 집중할 수 있습니다.

향후 다음과 같은 내용을 추가 발표할 예정입니다. 첫째, 취약점 관리의 피드백 정보를 TARA에 다시 반영하여 위험 평가를 최신 상태로 유지함으로써 유스 케이스를 확장할 것입니다. 둘째, software-defined vehicle의 취약점 관리의 효율성과 효과를 더욱 향상시키기 위해 이타스의 다른 사이버 보안 제품 및 솔루션인 ESCRYPT CycurGUARD와 ESCRYPT CycurFUZZ를 긴밀하게 연동하여 확장된 생태계를 구축할 것입니다.

새롭게 업데이트 될 소식에도 많은 관심 부탁드립니다.

 

ONEKEY 소개

ONEKEY 는 제품 사이버 보안 및 규정 준수 관리 분야에서 선도적인 유럽의 전문 기업이며 PricewaterhouseCoopers Germany(PwC)의 투자 포트폴리오 기업 중 하나입니다. 자동화된 제품 사이버 보안 및 규정 준수 플랫폼(PCCP)과 전문 지식 그리고 컨설팅 서비스를 결합하여 제품 구매부터 설계, 개발, 생산, 폐기 단계까지 제품 사이버 보안 및 규정 준수를 개선하는 신속하고 포괄적인 분석과 지원 및 관리를 제공합니다.