HydraVision
Security Test Environment
HydraVision ist eine Plattform as a Service, die automatisierte Sicherheitstests über den gesamten Lebenszyklus eines Steuergeräts ermöglicht und die Einhaltung der neuesten branchenspezifischen Richtlinien und Standards wie UNECE R155 und ISO 21434 gewährleistet. Mit unserer intelligenten Sicherheitstestumgebung können Hersteller und Zulieferer nicht nur die neuen Richtlinien und Standards problemlos einhalten, sondern auch praktische Cybersicherheitstests an ihren Produkten durchführen – automatisch und aus der Ferne. Wir entwickeln proaktiv Testfälle für neue Bedrohungen (CVEs), die von Entwicklern, dissecto Research oder Dritten wie Auto-ISAC oder ASRG gemeldet werden. Auf diese Weise können Angriffsvektoren gegen Ihr System zeitnah verifiziert und validiert werden. Darüber hinaus erhalten Sie volle Kontrolle und Transparenz über alle Komponenten der Plattform, um diese zu überprüfen und zu auditieren und Ihren Arbeitsprozess so individuell wie möglich zu gestalten.
Eigenschaften
- Anpassbares User-Dashboard: Intuitives Dashboard, das jedem Benutzer die Möglichkeit bietet, die Benutzeroberfläche an seine Vorlieben und Arbeitsabläufe anzupassen
- Remote Access: Alle Projektbeteiligten können Sicherheitstests bequem von ihrem Standort aus verwalten und überwachen
- Benachrichtigungen und Alarme: Erhalten Sie sofortige Updates zum Status Ihrer Sicherheitstests und werden Sie über alle Statusänderungen informiert
- Security Reports: HydraVision erstellt detaillierte und aufschlussreiche Sicherheitsberichte, die einen umfassenden Überblick über Testergebnisse, Schwachstellen und Sicherheitslücken geben
- Testcase-Editor: Einfaches Erstellen und Anpassen von Testcases, um sicherzustellen, dass diese die spezifischen Anforderungen Ihres Systems und Ihrer Organisation abdecken
- Benutzer- und Gruppenverwaltung : Weisen Sie Rollen auf Grundlage von Verantwortlichkeiten, Kontrolle des Zugriffs auf systemrelevante Daten und Optimierung der Zusammenarbeit innerhalb der Sicherheitstestumgebung zu
- CI/CD-Integration: Integrieren Sie HydraVision nahtlos in Ihre CI/CD-Pipeline und automatisieren Sie Sicherheitstestprozesse, um Schwachstellen frühzeitig im Lebenszyklus zu erkennen.
Anwendungen
- Embedded Systems
- Automotive Systems
- Industrial Systems
- Aviation & Aerospace Systems
- Maritime Systems
- Defense Systems
- IoT-Geräte (Internet of Things)
- Medical Devices
V-Modell
Vorteile für Projektmanager:
- Verifizierung und Validierung von Sicherheitsfunktionen
- Zeit- und kostensparend
- Einfache Benutzerverwaltung
- Status & Berichte
Vorteile für Entwickler:
- Schnelle Erkennung durch Logfiles
- Unmittelbares Feedback nach Korrekturen
- A-Spice-Konformität
Vorteile für Tester:
- Übersicht über alle DUTs und Projekte
- Debugging-Funktionen gegen das Ziel
- Testcase-Editor
- Intuitive IDE
Vorteile für die Serienbetreuung:
- Neue Bedrohungen werden automatisch von Dritten gemeldet (z.B. Auto-ISAC & ASRG)
- Kontinuierliche Überwachung
- UNECE-Konformität
Test Cases (Auszug)
Die hier gezeigten Testfälle sind nur eine kleine Auswahl dessen, was wir anbieten. Mit HydraVision stellen wir noch viel mehr Testfälle zur Verfügung und aktualisieren sie ständig, um die neuesten Bedrohungsszenarien zu berücksichtigen. Wenn Sie mehr über unser komplettes Angebot an Testfällen erfahren möchten, können Sie gerne ein persönliches Beratungsgespräch vereinbaren.
IsotpScan
Testcase Basic Scan für ISOTP-Endpunkte des Steuergeräts auf dem CANSocket, liefert eine Liste aller gefundenen ISOTP-Endpunkte des Steuergeräts
ObdScan
Testcase Scan des OBD-Protokolls, iteriert über alle Dienste, die Informationen enthalten, Reihenfolge der IDs: 01, 02, 06, 08, 09, 03, 07, 0A.
UdsDtcScan
Testcase Scan des UDS-Protokolls für alle verfügbaren DTC-Informationen, verwendet UdsSystemStates, um jede
verfügbare UDS-Sitzung zu scannen.
UdsRdbiScan
Testcase Scan des UDS ReadDataByIdentifier-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.
SomeIpSniff
Testcase basic scan sucht nach SomeIpEndpoints des Steuergeräts auf dem eth, erstellt eine Liste von SomeIpEndpoints mit den erhaltenen Werten.
DoipPortTest
Dieser Testcase testet, ob ein Port von PortScanResults DoIP unterstützt und erstellt eine Liste der gefundenen DoIPEndpoints.
TlsScanTestSsl
Testcase Scan für TLS-Sicherheit des Steuergeräts auf der eth mit dem Tool testssl.sh, erstellt .json-Dateien und eine Liste der TLSScanResults
EthDoipTest
Testcase testet, ob eine IP neben der Quelle einer Vehicle Announcement Message eine Verbindung zum Ziel erhält.
EthArpEndpointPortScan
Dieser Testfall führt einen umfassenden Portscan auf dem bereitgestellten ArpEndpoint durch. Dabei wird die gesamte Palette der Ports untersucht und auf der Grundlage der Ergebnisse PortScanResults erzeugt. Der Unterschied zum IpEndpoint Portscan ist, dass der Test keine IP-Konfiguration verwenden kann, die eine imcp-Antwort vom Ziel erhalten hat.
EthDoipSniff
Testcase Basic Scan sucht nach Vehicle Announcement Messages über DoIP des Steuergeräts auf der eth, erstellt eine Liste von
DoIPAnnouncement mit den erhaltenen Werten.
EthArpSniff
Testcase Basic Sniffer für ARP-Anfragen des Steuergeräts auf der eth, erstellt eine Liste von ArpEndpoints mit allen erhaltenen Nachrichten. Der Testcase entfernt Duplikate automatisch.
EthIPEndpointPortScan
Dieser Testcase führt einen umfassenden Port-Scan auf dem bereitgestellten IPEndpoint durch, wobei eine bestimmte Anzahl von Ports untersucht und auf der Grundlage der Ergebnisse PortScanResults erzeugt werden.
CanWakeupTest
Testet, ob das Steuergerät durch CAN-Nachrichten wach gehalten werden kann, protokolliert die Ergebnisse und schreibt eine Zusammenfassung.
PowerBehaviourTest
Testcase zur Analyse des PowerBehaviour des Steuergeräts im laufenden Betrieb. Gibt neue PowerBehaviour-Objekte zurück, ein PowerMonitoring, das für das PowerBehaviour des Steuergeräts konfiguriert ist.
UdsStateScan
Testcase-Scan des UDS-Protokolls für alle verfügbaren Zustände in DiagnosticSessionControl und SecurityAccess. Gibt ein UdsSystemStates-Objekt zurück, das Routen zu allen verfügbaren Zuständen des Steuergeräts enthält.
UdsSecurityAccess
Dieser Testcase durchläuft alle im Testplan definierten Untertestfälle und führt sie nacheinander aus. Der Testplan enthält Tests wie Penalty Time Check, Immediate Key Try, Seed Analysis usw., die jeweils darauf abzielen, bestimmte Aspekte des UDS SecurityAccess-Dienstes zu überprüfen.
UdsWdbiScan
Testcase-Scan des UDS WriteDataByIdentifier-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.
UdsRoutineControlScan
Testcase-Scan des UDS RoutineControl-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.
UdsServiceScan
Testcase-Scan des UDS-Protokolls für alle verfügbaren Dienste, verwendet UdsSystemStates zum Scannen aller verfügbaren UDS-Sitzungen
UdsRmbaScan
Testcase-Scan des UDS ReadMemoryByAddress-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.
UdsEcuResetScan
Testcase-Scan des UDS ECUReset-Dienstes, verwendet UdsSystemStates, um jede verfügbare UDS-Sitzung zu scannen.
Customer Journey
Durch die Kombination von Penetrationstests mit unserem HydraVision PaaS können Sie die Integrität und Sicherheit eines Systems kontinuierlich bewerten. Ganz gleich, ob Sie sich in der Entwicklungsphase oder am Ende des Produktlebenszyklus befinden. Die folgende Abbildung beschreibt den Prozess in diesem Fall:
Validierung und Sicherheitstests
HydraVision ist eine robuste Lösung für die Sicherheitsvalidierung und -prüfung, die vier unterschiedliche Ebenen zur Stärkung der digitalen Verteidigung umfasst:
Beginnend mit Tests auf der Schnittstellenebene überprüft HydraVision Low-Level-Treiber auf mögliche Schwachstellen. Auf der zweiten Ebene werden die Protokolle umfassend getestet, um ihre Robustheit zu bewerten und mögliche Schwachstellen zu ermitteln. Zusätzlich führt HydraVision Fuzzing-Techniken ein, um die Präzision der Sicherheitsbewertungen zu erhöhen.
Die dritte Ebene umfasst die Bewertung komplexer Sicherheitskontrollen und -funktionen und gewährleistet eine umfassende Prüfung der Verteidigungsfähigkeiten des Systems.
Schließlich geht HydraVision die Spitze des Eisbergs der Cybersicherheit an, indem es spezielle Sicherheitstests für bekannte Common Vulnerabilities and Exposures (CVEs), um das System gegen identifizierte Bedrohungen zu stärken.
Dieser vielschichtige Ansatz macht HydraVision zu einer funktionsreichen Library, welche die Automatisierung von Sicherheitstests auf verschiedenen Ebenen ermöglicht und so ein breites Spektrum potenzieller Risiken wirksam abdeckt.
FAQ
Was ist HydraVision, und für wen ist es geeignet?
HydraVision ist eine Plattform für Cybersicherheitstests, die speziell für elektronische Steuergeräte (ECUs) in der Automobilindustrie entwickelt wurde. Sie eignet sich für Automobil-OEMs, Tier-1-Zulieferer, Penetrationstester und Entwickler, die an Sicherheitstests für Steuergeräte beteiligt sind.
Wie automatisiert HydraVision die Sicherheitstests für Steuergeräte?
HydraVision automatisiert den Prozess der Penetrationstests durch den Einsatz einer einzigartigen Software-Mittelschicht, die die Erstellung und Wiederverwendung von Sicherheitstests über verschiedene Steuergeräte hinweg ermöglicht. Diese Automatisierung macht den Testprozess reproduzierbar, skalierbar und nachvollziehbar, spart Zeit und reduziert den manuellen Aufwand.
Welche Arten von Tests werden von HydraVision unterstützt?
HydraVision unterstützt eine breite Palette von Tests, darunter Tests auf Schnittstellenebene (CAN, CAN-FD, Automotive Ethernet, JTAG usw.), Tests auf Protokollebene (UDS, DoIP, XCP, GMLAN usw.) und Tests zur Sicherheitskontrolle (Zugriffskontrolle, Fuzzing-Tests). Es umfasst auch spezielle Tests für bekannte Schwachstellen in Automobilsystemen.
Kann HydraVision aus der Ferne verwendet werden?
Ja, HydraVision unterstützt den Fernzugriff über eine webbasierte Benutzeroberfläche, so dass globale Teams effizient zusammenarbeiten können. Penetrationstester, Entwickler und Manager können von jedem beliebigen Standort aus auf die Plattform zugreifen und erhalten so in Echtzeit Einblick in die Testaktivitäten.
Was ist das Platform-as-a-Service-Angebot von HydraVision?
HydraVision bietet ein Platform as a Service (PaaS) Modell an, bei dem Steuergeräte und HydraProbes in einer von dissecto verwalteten, TISAX-zertifizierten Umgebung gehostet werden können. Dieses Modell ermöglicht kontinuierliche Sicherheitstests und die Überwachung von Steuergeräten über längere Zeiträume hinweg und reduziert so den Wartungsaufwand für die Anwender.
Wie kann HydraVision bei der Einhaltung von Vorschriften helfen?
HydraVision hilft Unternehmen bei der Einhaltung globaler Cybersicherheitsvorschriften wie ISO 21434 und UNECE R155, indem es detaillierte, nachvollziehbare und reproduzierbare Testergebnisse liefert. Die Plattform erstellt umfassende Berichte, die die Einhaltung von Industriestandards dokumentieren.
Kann ich die Test Cases in HydraVision anpassen?
Ja, HydraVision ermöglicht es Benutzern, bestehende Test Cases zu modifizieren oder über eine webbasierte IDE eigene zu entwickeln. Die Plattform bietet volle Transparenz und Flexibilität, so dass die Benutzer die Tests an die spezifischen Sicherheitsanforderungen anpassen können.
Wie geht HydraVision mit Testdaten und Berichten um?
HydraVision ermöglicht die Überwachung aller Testaktivitäten in Echtzeit und erstellt detaillierte Berichte, die Stromspurdaten, Testergebnisse, Protokollmeldungen und Benutzerkommentare enthalten. Die Berichte können in Formaten wie Markdown und JSON exportiert werden, so dass sie sich leicht in andere Tools integrieren lassen.
Kann HydraVision mit anderen Tools integriert werden?
Wir arbeiten an der Bereitstellung einer API für eine bessere Integration mit anderen Tools. Derzeit unterstützt dissecto Deep Linking, so dass Benutzer Testläufe und Ergebnisse in externen Tools für das Anforderungsmanagement oder die Dokumentation von Testfällen referenzieren können.
Wie sieht das Lizenzierungsmodell für HydraVision aus?
Das Lizenzierungsmodell von HydraVision umfasst drei Hauptkomponenten: die HydraVision Backend-Instanz (jährliche Lizenzierung), die HydraProbe-Hardware (separat zu erwerben) und Runner-Lizenzen (für jeden Probe erforderlich). Die Lizenzierung ist flexibel und ermöglicht eine Skalierung je nach Anzahl der Projekte und Probes, die verwendet werden.
Kann HydraVision für verschiedene Arten von Steuergeräten verwendet werden?
Ja, HydraVision ist äußerst vielseitig und kann für verschiedene Arten von Steuergeräten in unterschiedlichen Phasen ihres Lebenszyklus eingesetzt werden, einschließlich der Entwicklungs-, Produktions- und Serienunterstützungsphasen.
Welche Art von Support und Dienstleistungen werden mit HydraVision angeboten?
Wir bieten professionelle Dienstleistungen an, darunter die Entwicklung von maßgeschneiderten Testfällen, die auf spezifische Sicherheitsanforderungen zugeschnitten sind. Benutzer können auch Unterstützung bei der Integration von HydraVision in ihre bestehenden Arbeitsabläufe und Systeme erhalten.
Wie erleichtert HydraVision das Debugging und die Analyse?
HydraVision bietet eine integrierte Debugging-Umgebung, in der Benutzer Breakpoints setzen, Variablen untersuchen und Live-Analysen durchführen können. Es bietet einen vollständigen Shell-Zugriff auf das System, so dass Test Cases in Echtzeit ausgeführt und geändert werden können.
Welchen Grad der Testabdeckung kann man von HydraVision erwarten?
Der Grad der Testabdeckung variiert je nach Art des Steuergeräts. Bei Standard-Steuergeräten kann HydraVision etwa 70 % der Anforderungen an Penetrationstests abdecken, insbesondere bei CAN- und Ethernet-basierten Protokollen. Für komplexere Steuergeräte, wie z.B. in Infotainment-Systemen, sind möglicherweise zusätzliche Anpassungen erforderlich.
*Produktspezifikationen und -merkmale können ohne vorherige Ankündigung geändert werden, da wir uns ständig um die Verbesserung unserer Produkte bemühen.