HydraVision

Security Test Environment

HydraVision ist eine Automatisierungsplattform für Cybersicherheit, die automatisierte Sicherheitstests über den gesamten Lebenszyklus eines Steuergeräts ermöglicht und die Einhaltung der neuesten branchenspezifischen Richtlinien wie UNECE R155, ISO 21434 oder GB 44495 gewährleistet. Mit unserer intelligenten Sicherheitstestumgebung können Hersteller und Zulieferer nicht nur die neuen Richtlinien und Standards problemlos einhalten, sondern auch praktische Cybersicherheitstests an ihren Produkten durchführen – automatisch und aus der Ferne. Mit HydraVision erhalten Sie die volle Kontrolle und Transparenz über alle Sicherheitskomponenten und ermöglichen so ein gründliches Cybersicherheitsmanagement bei gleichzeitiger Optimierung des Workflows. Ganz gleich, ob Sie eingebettete Systeme, industrielle Netzwerke oder vernetzte Fahrzeuge sichern, HydraVision bietet einen rationalisierten und skalierbaren Ansatz für Netzwerk-Sicherheitstests.

data sheet
Kontakt
HydraVision_security_test_environment

Eigenschaften

  • Anpassbares User-Dashboard: Intuitives, benutzerfreundliches Dashboard, das es jedem Benutzer ermöglicht, seine Oberfläche zu personalisieren, Arbeitsabläufe zu optimieren und schnellen Zugriff auf relevante Daten zu gewährleistet.
  • Vollständiger Remote Access (PaaS): Ermöglicht allen Projektbeteiligten die sichere Verwaltung und Überwachung der Security über eine Cloud-basierte Infrastruktur und bietet Flexibilität, Skalierbarkeit und nahtlose globale Zusammenarbeit über verteilte Teams und Standorte hinweg.
  • Sicherheitswarnungen & Berichte: HydraVision liefert Echtzeit-Warnungen für proaktive Vulnerability-Scans und die Bewertung von Cyber-Sicherheitsrisiken. Automatisierte Sicherheitsberichte bieten tiefe Einblicke in Testergebnisse und Sicherheitslücken im System.
  • Testcase-Management: Intuitiver Test Case Editor zur Erstellung, Anpassung und Individualisierung von Test Cases gemäß den Sicherheitsanforderungen Ihres Systems. Vordefinierte Test Case Templates bieten eine strukturierte Ausgangsbasis und können problemlos an spezifische Anforderungen angepasst werden, um Flexibilität für verschiedene Angriffsszenarien und sich entwickelnde Bedrohungen zu gewährleisten.
  • Cluster- und Full-Vehicle Testing: HydraVision ermöglicht die Evaluierung von Steuergeräte-Clustern und ganzen Fahrzeugsystemen über CAN und Ethernet. Diese Fähigkeit ermöglicht Sicherheitsevaluierungen, die über einzelne Komponenten hinausgehen.
  • CI/CD-Integration: Lässt sich nahtlos in CI/CD-Pipelines integrieren und ermöglicht automatisierte Penetrationstests in jeder Entwicklungsphase, um Schwachstellen frühzeitig im Lebenszyklus zu erkennen, was zu Kostenreduzierungen führt.
  • Benutzer- und Gruppenverwaltung: Ein flexible, rollenbasierte Zugriffskontrolle, mit welchem Unternehmen Verantwortlichkeiten definieren und einen strukturierten Zugriff auf kritische Daten sicherstellen können, während gleichzeitig individuelle Informationssicherheitsstandards eingehalten werden.
  • Benutzerdefinierte Target Definition: Nutzt eine modulare Architektur, um eine schnelle und nahtlose Ausführung von Testcases nach spezifischen Anforderungen zu ermöglichen. Testparameter wie Protokolle, Sicherheitszugriff und TLS/SSL-Einstellungen können über einfache Konfigurationsdateien bearbeitet werden.
  • Unterstützung für verschiedene Stromversorgungen: Kompatibel mit verschiedenen Stromversorgungen, einschließlich Rigol, mit vollständigen Fernsteuerungs- und Überwachungsfunktionen. Spannungs-, Strom- und Leistungsdaten können in Echtzeit aubgerufen werden.
  • Flexible Bereitstellungsoptionen: Wählen Sie zwischen Cloud-basierten Sicherheitstests über PaaS und dem Deployment vor Ort, welches Unternehmen mehr Flexibilität und Datenschutz bietet. Wählen Sie das Sicherheitsmodell, das am besten zu Ihren Compliance- und Betriebsanforderungen passt.

Vorteile

Konform

Bleiben Sie den neuen Cybersicherheitsvorschriften voraus und stellen Sie sicher, dass Ihre eingebetteten Systeme neueste Sicherheits- und Netzwerkstandards erfüllen. HydraVision ist ein Cybersicherheits-Managementsystem, mit dem Unternehmen die Konformität mit UNECE R155, ISO 21434, Chinas GB 44495 und anderen branchenspezifischen Frameworks wahren können.

Transparent

Verschaffen Sie sich vollen Einblick in Ihren Sicherheitsvalidierungsprozess mit klaren, strukturierten und konsistenten Testergebnissen. HydraVision bietet Netzwerksicherheits-Monitoring Echtzeit und umfassende Berichte, so dass Teams Schwachstellen effizient analysieren und während des gesamten Produktlebenszyklus datengestützte Verbesserungen vornehmen können.

Kostengünstig

Im Gegensatz zu herkömmlichen Securioty Tests, wie z.B. teuren Hardware-in-the-Loop (HIL) Setups, bietet HydraVision eine automatisierte, skalierbare und erschwingliche Automatisierungsplattform für Cybersicherheit. Durch die Reduzierung des manuellen Testaufwands und die frühzeitige Erkennung von Schwachstellen werden die Kosten für die Sicherheitsvalidierung erheblich gesenkt.

Anwendungen

  • Embedded Systems
  • Automotive Systems
  • Industrial Systems
  • Aviation & Aerospace Systems
  • Maritime Systems
  • Defense Systems
  • IoT-Geräte (Internet of Things)
  • Medical Devices

Validierung und Sicherheitstests

HydraVision ist ein leistungsstarkes Tool zur Verwaltung von Test Cases, das eine kontinuierliche Sicherheitsüberprüfung ermöglicht. Es umfasst vier Schichten zur Stärkung der digitalen Verteidigung:

HydraVision beginnt mit Tests auf Schnittstellenebene und prüft Low-Level-Treiber auf potenzielle Bedrohungen. Darauf folgt die umfassende Prüfung von Protokollen, indem deren Robustheit bewertet und potenzielle Schwachstellen aufgedeckt werden. Darüber hinaus führt HydraVision Fuzzing-Techniken ein, um die Genauigkeit der Bewertung von Cybersicherheitsrisiken zu erhöhen.

Die dritte Ebene umfasst die Bewertung komplexer Sicherheitskontrollen und -funktionen und gewährleistet eine umfassende Prüfung der Verteidigungsfähigkeiten des Systems. Abschließend geht HydraVision die Spitze des Cybersecurity-Eisbergs an, indem es spezielle Sicherheitstests für bekannte Common Vulnerabilities and Exposure (CVEs) durchführt. Diese werden von Dritten wie ASRG und Auto-ISAC bereitgestellt.

Dieser vielschichtige Ansatz macht unsere Sicherheitstestumgebung zu einer funktionsreichen Bibliothek, die automatisierte Penetrationstests und Risikobewertungen auf verschiedenen Ebenen bietet und so ein breites Spektrum potenzieller Risiken wirksam abdeckt.

Test Cases (Auszug)

IsotpScan

Testcase Basic Scan für ISOTP-Endpunkte des Steuergeräts auf dem CANSocket, liefert eine Liste aller gefundenen ISOTP-Endpunkte des Steuergeräts

ObdScan

Testcase Scan des OBD-Protokolls, iteriert über alle Dienste, die Informationen enthalten, Reihenfolge der IDs: 01, 02, 06, 08, 09, 03, 07, 0A.

UdsDtcScan

Testcase Scan des UDS-Protokolls für alle verfügbaren DTC-Informationen, verwendet UdsSystemStates, um jede
verfügbare UDS-Sitzung zu scannen.

UdsRdbiScan

Testcase Scan des UDS ReadDataByIdentifier-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.

SomeIpSniff

Testcase basic scan sucht nach SomeIpEndpoints des Steuergeräts auf dem eth, erstellt eine Liste von SomeIpEndpoints mit den erhaltenen Werten.

DoipPortTest

Dieser Testcase testet, ob ein Port von PortScanResults DoIP unterstützt und erstellt eine Liste der gefundenen DoIPEndpoints.

TlsScanTestSsl

Testcase Scan für TLS-Sicherheit des Steuergeräts auf der eth mit dem Tool testssl.sh, erstellt .json-Dateien und eine Liste der TLSScanResults

EthDoipTest

Testcase testet, ob eine IP neben der Quelle einer Vehicle Announcement Message eine Verbindung zum Ziel erhält.

EthArpEndpointPortScan

Dieser Testfall führt einen umfassenden Portscan auf dem bereitgestellten ArpEndpoint durch. Dabei wird die gesamte Palette der Ports untersucht und auf der Grundlage der Ergebnisse PortScanResults erzeugt. Der Unterschied zum IpEndpoint Portscan ist, dass der Test keine IP-Konfiguration verwenden kann, die eine imcp-Antwort vom Ziel erhalten hat.

EthArpSniff

Testcase basic sniffer für ARP-Anfragen des Steuergeräts auf der eth, erstellt eine Liste von ArpEndpoints mit allen erhaltenen Nachrichten. Der Testcase entfernt Duplikate automatisch.

EthDoipSniff

Testcase Basic Scan sucht nach Vehicle Announcement Messages über DoIP des Steuergeräts auf der eth, erstellt eine Liste von
DoIPAnnouncement mit den erhaltenen Werten.

EthIPEndpointPortScan

Dieser Testcase führt einen umfassenden Port-Scan auf dem bereitgestellten IPEndpoint durch, wobei eine bestimmte Anzahl von Ports untersucht und auf der Grundlage der Ergebnisse PortScanResults erzeugt werden.

CanWakeupTest

Testet, ob das Steuergerät durch CAN-Nachrichten wach gehalten werden kann, protokolliert die Ergebnisse und schreibt eine Zusammenfassung.

PowerBehaviourTest

Testfall zur Analyse des PowerBehaviour des Steuergeräts im laufenden Betrieb. Gibt neue PowerBehaviour-Objekte zurück, ein PowerMonitoring, das für das PowerBehaviour des Steuergeräts konfiguriert ist.

UdsStateScan

Testcase-Scan des UDS-Protokolls für alle verfügbaren Zustände in DiagnosticSessionControl und SecurityAccess. Gibt ein UdsSystemStates-Objekt zurück, das Routen zu allen verfügbaren Zuständen des Steuergeräts enthält.

UdsSecurityAccess

Dieser Testcase durchläuft alle im Testplan definierten Untertestfälle und führt sie nacheinander aus. Der Testplan enthält Tests wie Penalty Time Check, Immediate Key Try, Seed Analysis usw., die jeweils darauf abzielen, bestimmte Aspekte des UDS SecurityAccess-Dienstes zu überprüfen.

UdsWdbiScan

Testcase-Scan des UDS WriteDataByIdentifier-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.

UdsRoutineControlScan

Testcase-Scan des UDS RoutineControl-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.

UdsServiceScan

Testcase-Scan des UDS-Protokolls für alle verfügbaren Dienste, verwendet UdsSystemStates zum Scannen aller verfügbaren UDS-Sitzungen

UdsRmbaScan

Testcase-Scan des UDS ReadMemoryByAddress-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.

UdsEcuResetScan

Testcase-Scan des UDS ECUReset-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.

V-Cycle

Eine Testplattform wie HydraVision bietet verschiedene Vorteile für verschiedene Personen, die parallel zum Softwareentwicklungsprozess bzw. im Rahmen von Compliance-Tests arbeiten. Hier sehen Sie, was Sie je nach Ihrer Rolle erwarten können:

Vorteile für Projektmanager:
  • Sorgen Sie für die Einhaltung von Industriestandards.
  • Reduzieren Sie Zeit und Kosten mit automatisierten Tests.
  • Vereinfachen Sie die Benutzerverwaltung und die Berichterstattung.
Vorteile für Entwickler:
  • Gewinnen Sie anhand von Protokolldateien schnelle Einblicke in die Sicherheit.
  • Erhalten Sie Echtzeit-Feedback, um Entwicklungszyklen zu beschleunigen.
  • Konforme Assessments
vcycle_security_test_environment
Vorteile für Prüfer:
  • Verwalten Sie alle zu testenden Geräte (DUTs) effizient.
  • Debuggen Sie Sicherheitslücken in Echtzeit.
  • Nutzen Sie den Testcase-Editor und skalierbare Testfälle für mehr Effizienz.
Vorteile für die Serienbetreuung:
  • Verfolgen Sie automatisch neue Bedrohungen der Cybersicherheit
  • Kontinuierliche und kosteneffiziente Sicherheitsüberwachung
  • Sicherstellung der Konformität mit der Cybersecurity-Richtlinie (z.B. UNECE, CRA).

FAQ

Was ist HydraVision, und für wen ist es geeignet?

HydraVision ist eine Automatisierungsplattform für Cybersicherheitstests in der Automobilindustrie, die speziell auf elektronische Steuergeräte (ECUs) ausgerichtet ist. Sie dient Automobil-OEMs, Tier-1-Zulieferern, Penetrationstestern und Entwicklern und bietet eine Sicherheitstestumgebung, die Sicherheits- und Funktionstests für einzelne Steuergeräte, Gruppen von Steuergeräten oder ganze Fahrzeuge bereitstellt.

Wie automatisiert HydraVision die Sicherheitstests für Steuergeräte?

HydraVision automatisiert Penetrationstests durch den Einsatz eines einzigartigen Software-Software-Middlelayers, welches die Erstellung und Wiederverwendung von Sicherheitstests über verschiedene Steuergeräte hinweg ermöglicht. Dieser Ansatz gewährleistet Skalierbarkeit, Reproduzierbarkeit und Rückverfolgbarkeit und reduziert den manuellen Aufwand erheblich, während die Testeffizienz verbessert wird.

Welche Arten von Tests werden von HydraVision unterstützt?

HydraVision deckt ein breites Spektrum an Tests ab, darunter:

OEM-spezifische Cybersicherheitstests: Markenspezifische Protokolle wie BMW (z.B. BmwRdbiScan)

Sicherheits- und Netzwerktests: CVE-Analyse, UDS SecurityAccess-Validierung

CAN- und Automotive Ethernet-Tests: Fuzzing, Aufwachverhalten, XCP-Scans, DoIP-Sniffing

ISO-TP- und UDS-Diagnosetests: Scannen von Endpunkten, Zurücksetzen von Steuergeräten, Lesen/Schreiben von Daten nach Kennung

OBD-Tests: Standardisierte On-Board-Diagnostik-Abdeckung

Energie- und Verhaltensanalysen: Einschaltverhalten, Aufwachen und Schlafverhalten

Wie viele Testfälle sind standardmäßig enthalten?

HydraVision wird mit rund 100 vorkonfigurierten Test Cases ausgeliefert, die kontinuierlich gepflegt und erweitert werden, um mit neuen Bedrohungen und sich entwickelnden Industriestandards Schritt zu halten.

Kann ich in HydraVision Testfälle erstellen oder ändern?

Ja, HydraVision bietet vollen Zugriff auf Test Cases im Quellcode, so dass Benutzer bestehende Tests ändern oder neue Tests innerhalb des Cybersicherheits-Managementsystems erstellen können. Die webbasierte IDE unterstützt Transparenz und Flexibilität und ermöglicht individuelle Anpassungen, um spezifische Sicherheitsanforderungen zu erfüllen.

Wie erleichtert HydraVision die Einhaltung von Vorschriften?

HydraVision unterstützt Unternehmen bei der Einhaltung von Cybersicherheitsvorschriften für die Automobilindustrie wie ISO 21434, UNECE R155 und GB 44495. Es erstellt detaillierte, nachvollziehbare Berichte, die die Testergebnisse dokumentieren und die Einhaltung der Industriestandards gewährleisten.

Welche Einsatzmöglichkeiten bietet HydraVision?

HydraVision ist sowohl als Vor-Ort-Lösung als auch als Private-Cloud-basiertes PaaS-Angebot erhältlich, so dass Unternehmen das beste Sicherheitsmodell für ihre Compliance- und Betriebsanforderungen wählen können. Das PaaS-Modell, das in einer TISAX-zertifizierten Umgebung gehostet wird, verbessert den Datenschutz und die Flexibilität und ermöglicht kontinuierliche Sicherheitstests ohne zusätzliche Wartung der Infrastruktur.

Kann HydraVision aus der Ferne verwendet werden?

Ja, HydraVision unterstützt den Fernzugriff über eine webbasierte Benutzeroberfläche, die es globalen Teams ermöglicht, in Echtzeit zusammenzuarbeiten. Damit ist sichergestellt, dass Penetrationstester, Entwickler und Manager die Testaktivitäten von jedem beliebigen Standort aus überwachen können.

Wie lässt sich HydraVision in bestehende Testumgebungen integrieren?

Die modulare Architektur von HydraVision ermöglicht die nahtlose Integration in bestehende Infrastrukturen. Es unterstützt die Automatisierung von Test-Workflows und kann in CI/CD-Pipelines integriert werden, was es ideal für moderne Cybersecurity-Risikobewertungen macht.

Wodurch hebt sich HydraVision von anderen Lösungen für Cybersecurity-Tests ab?

Skalierbarkeit & Modularität: Anpassungsfähig sowohl für kleine Teams als auch für große Entwicklungsabteilungen

Automatisierte Arbeitsabläufe: Effiziente Integration in Sicherheits- und Netzwerktestumgebungen

Umfassende Berichterstattung: Bietet Echtzeitüberwachung und detaillierte Analysen

Flexibel: Ermöglicht Tests in verschiedenen Phasen des Steuergeräte-Lebenszyklus, von der Entwicklung bis zur Serienproduktion

Kann HydraVision mit anderen Tools integriert werden?

Ja. Während eine spezielle API noch in der Entwicklung ist, unterstützt HydraVision bereits Deep Linking, so dass Benutzer Testläufe in externen Tools für Anforderungsmanagement und Testdokumentation referenzieren können.

Was ist das Lizenzierungsmodell von HydraVision?

Die Lizenzierungsstruktur von HydraVision besteht aus:

  • HydraVision Backend-Instanz (Jahreslizenz)
  • Hydra Probe Hardware (separat erhältlich)
  • Runner-Lizenzen (für jede Probe erforderlich)

Das Modell ermöglicht eine Skalierung auf Basis der Anzahl der getesteten Projekte und Steuergeräte.

Kann HydraVision ganze Fahrzeuge oder nur einzelne ECUs testen?

HydraVision ist für den flexiblen Einsatz konzipiert und ermöglicht den Test einzelner Steuergeräte, Steuergerätegruppen oder ganzer Fahrzeuge im Rahmen von Cybersecurity-Evaluierungen

Wie geht HydraVision mit Testdaten und Berichten um?

HydraVision ermöglicht die Überwachung aller Testaktivitäten in Echtzeit und erstellt detaillierte Berichte, einschließlich Stromspurdaten, Testergebnisse, Protokollmeldungen und Benutzerkommentare. Die Berichte können im Markdown- oder JSON-Format exportiert werden, was eine einfache Integration in andere Systeme gewährleistet.

Welche Support- und Serviceleistungen bietet HydraVision?

Dissecto bietet professionelle Dienstleistungen an, darunter die Entwicklung maßgeschneiderter Test Cases, Unterstützung bei der Systemintegration und technische Beratung.

Wo kann ich weitere Informationen erhalten oder eine Live-Demo anfordern?

Wenn Sie eine technische Präsentation oder eine Live-Demo von HydraVision wünschen, können Sie uns gerne kontaktieren. Unser Team hilft Ihnen gerne bei der Planung und Implementierung Ihrer Sicherheitstestumgebung.