目前市場上的系統無法充分降低軟體風險—為什麼呢?
只關注已知漏洞
漏洞已超越已知的開源漏洞,延伸到零時差漏洞和惡意標的。僅聚焦解決開源漏洞,面對新的軟體定義車輛環境將不足以減輕風險。
不具可操作性的漏洞洞察
受限且不充分的補救資訊導致OEMs 和Tier 1供應商嚴重依賴人工進行漏洞收集、評估和管理。這種方法不僅耗時,而且還存在人為錯誤的風險。
不精準的軟體物料清單(SBOM)難以依據
漏洞管理平台自動產生的軟體物料清單 (SBOM) 可能包含像是不正確的開源元件版本或是路徑詳細資訊這類的錯誤。這迫使產品安全團隊投入大量時間進行手動審核。
優異的汽車漏洞和 SBOM 管理系統
精確的漏洞處理排序
在關鍵的10%上有效分配資源
利用獨特的技術,即 VicOne 漏洞影響評級 (VVIR)*,xZETA 使 OEMs 和Tier 1供應商能夠將精力集中在對其系統運作影響最大的前 10% 關鍵漏洞上。這種創新方法結合了內部洞察(包括系統環境和產品使用行為)以及從我們獨家汽車威脅情報中獲得的外部情報。
可行的洞察
汽車威脅情報盡在掌握
符合 ISO/SAE 21434 標準,xZETA 提供汽車威脅情報資料庫,持續追蹤全球網路安全事件和新聞,並將其與相關漏洞直接關聯起來。這協助車廠(OEM) 和Tier 1供應商能夠準確地優先處理漏洞,了解攻擊者如何利用這些漏洞,並根據必要的上下文繪製出攻擊路徑。
準確的 SBOM
減少不必要的手動審核工作
與現今漏洞掃描工具產生的SBOM易缺少檔案路徑、錯誤版本和省略套件資訊不同,xZETA 提供準確的 SBOM。xZETA 對軟體內容的關注確保了準確的版本檢測結果,即使在軟體版本與其相關設定檔或文件不一致的情況下也是如此。此外,xZETA 超越了 SBOM,還支援硬體物料清單 (HBOM) 和加密物料清單 (CBOM),確保強大且完整的產品安全策略。
更多產品功能
- 在二進位分析中保持原始碼不變。
- 與客戶現有的 CI/CD 流程搭配使用,透過自動化 SBOM 擷取和漏洞監控來提高營運效率。
- 與第三方如Jira等專案管理工具以及BlockHarbor的系統無縫整合,以利於精簡、追蹤專案進度。閱讀解決方案簡介
- 允許在調查後透過修改 CVSS 分數來調整問題的嚴重性。
- 偵測韌體中的敏感數據資料,以降低資料外洩的風險。
- 在 SBOM 內提供開源許可證可視性,以確保符合規範。
- 得支援以 SPDX 和 CycloneDX 等國際標準格式輸出SBOM,以方便與 OEMs 輕鬆共享,並且符合 NTIA SBOM 要求。
- 在業界最大漏洞資料庫的支援下,讓您做好應對軟體定義車輛 (SDV) 風險的準備。
- 允許透過自訂以角色為基礎的存取權限(RBAC)以簡化使用者權限管理。
與車聯網緊密合作
John Heldreth
我們感謝VicOne在創建車輛專屬AutoVulnDB CVE資料庫方面的支援和在車用資安上無出其右的專業知識。
從我們的資源了解更多
深入了解 汽車網路安全
數千輛車輛暴露於風險之中:零日漏洞揭示車用資安的關鍵盲點
這篇文章分析在主流售後車用裝置中發現的多項零日漏洞,並將其對應至汽車威脅矩陣(Automotive Threat Matrix),進一步說明攻擊者在現實生活中可能如何利用這些關鍵弱點進行攻擊。
閱讀更多 →當安全機制成為單點故障:汽車製造商的教訓
本文分析了近期影響某位高奢汽車品牌的車輛癱瘓事件:事件經過、可能發生與未發生的情況,以及汽車製造商如何避免防盜系統影響車輛的可用性和安全性。
閱讀更多 →了解電動車充電通訊中的漏洞:資安洞察與更廣泛的影響
這篇文章分析了近期 DEF CON 33 大會上揭露的電動車 (EV) 充電通訊漏洞,說明其緩解措施和對整個產業所帶來更廣泛深遠的影響。
閱讀更多 →來自Pwn2Own Automotive:零日漏洞如何暴露電動車充電樁網路安全標準的不足Standards
我們分析了Pwn2Own Automotive競賽中發現的電動車充電樁漏洞,揭示現行電動車充電樁網路安全標準的不足之處,以及為何更強大、更統一的資安防護措施對於保障充電基礎設施的安全至關重要。
閱讀更多 →