Das emlix CVE- und Lifecycle-Management für Embedded Linux-Systeme entlastet Unternehmen von dem regulatorisch geforderten, kontinuierlichen Monitoring potenzieller Sicherheitsrisiken über den gesamten Produktlebenszyklus. Unsere CVE Management Toolchain detektiert zuverlässig und weitgehend automatisiert alle bekannten Sicherheitslücken für Ihre Embedded Linux-Plattform. Das – ebenfalls obligatorische - Expert Assessment durch unsere Kernel- und Security-Experten reduziert die Zahl der tatsächlich zu bearbeitenden CVEs auf ein sinnvolles Minimum.

Mit dem emlix CVE Management werden Sicherheitsrisiken frühzeitig und effizient erkannt und die regulatorischen Anforderungen von beispielsweise CRA, RED und IEC 62443 erfüllt. Dabei profitieren Sie von dem kumulierten Embedded Linux- und Security-Know how aus mehr als 25 Jahren Embedded Linux Lifecycle-Erfahrung.

Cybersecurity-Anforderungen für Embedded Systeme steigen

Mit der Radio Equipment Directive (RED) und dem Cyber Resilience Act (CRA) sowie den daraus abgeleiteten Normen steigen die Anforderungen an die Cybersicherheit vernetzter Produkte erheblich. Hersteller müssen künftig nachweisen, dass Sicherheitslücken kontinuierlich überwacht, bewertet und behoben werden.

Für den sicheren Betrieb von Embedded-Linux-Systemen bedeutet das unter anderem:

■  Kontinuierliches Vulnerability-Management 
■  Bewertung sicherheitsrelevanter Risiken durch Experten 
■  Software-Updates über den gesamten Produktlebenszyklus 
■  Nachvollziehbare Dokumentation aller Maßnahmen

Unternehmen benötigen dafür nicht nur leistungsfähige Tools, sondern auch tiefgehendes Know-how in Linux-Sicherheit, Kernel-Technologien und regulatorischer Compliance.

Ihre Vorteile auf einen Blick

■  CRA- und IEC62443-konforme Prozesse 
■  Über mehr als 15 Jahre optimierte, hoch-effiziente CVE Management Toolchain für Embedded Linux 
■  Reduktion der tatsächlich zu prozessierenden Security Issues durch Filtering und Expert Assessment bei gleichzeitig höherer Verlässlichkeit
■  Unterstützung über den gesamten Produktlebenszyklus
■  Tiefgehende Linux-, Kernel- und Security-Expertise aus mehr als 25 Jahren

Auf Wunsch übernimmt emlix zusätzlich das vollständige Security Update Management inklusive automatisierter Release- und Regressionstests.

emlix bietet professionelles CVE-Management für Embedded Linux-Systeme

Kennen wir Ihr Embedded Linux-System nicht bereits aus der Entwicklung, starten wir mit einem gemeinsamen Workshop zur Analyse des aktuellen Software- und Sicherheitsstatus. Anschließend integrieren wir Ihr System auf Basis der vorhandenen SBOM (Software Bill of Materials) in unsere CVE Management Toolchain.

Mehrstufiger CVE Management-Prozess

Die regelmäßige Überwachung erfolgt beispielsweise zweiwöchentlich oder monatlich in mehreren Schritten:

1. Automatisiertes CVE/Vulnerability Scanning

Gemäß der vorliegenden SBOM werden für alle Komponenten Ihres Embedded Linux-Systems (oder auch mehrerer Systeme) die relevanten Sourcen für Sicherheitsissues automatisiert gescannt. Hierbei werden die einschlägigen Datenbanken (NVD/Mitre) ebenso berücksichtigt wie diverse weitere potenzielle Fundorte für Sicherheitsmeldungen. Welche dies sind, wird im Set-up des Monitorings für Ihr System festgelegt.

2. Mehrstufige Relevanzprüfung der Sicherheitslücken

Die oft hohe Anzahl gefundener CVEs wird durch automatisierte Relevanzprüfungen deutlich reduziert. Der entsprechende Filtermechanismus berücksichtigt unter anderem:

■  die exakten Komponenten-Versionen 
■  die Kernel- und Paket-Konfigurationen 

3. Expert Assesment

Die verbliebenen Schwachstellen werden durch unsere Kernel- und Security-Spezialisten bewertet. Dies erfolgt spezifisch für Ihr Produkt und dessen Kontext und Use Cases. Im Ergebnis ändert sich nicht selten die Kritikalitäts-Bewertung eines Issues deutlich, und zwar in beide Richtungen.

4. Security Reporting & Handlungsempfehlungen

Die Ergebnisse des Scanning und des anschließenden Expert Assessment erhalten Sie als formalen Bericht oder in gängigen Formaten wie CycloneDX oder SPDX. Eine Weiterverarbeitung in Tools wie Dependency-Track ist grundsätzlich ebenfalls möglich. Enthalten sind:

■  die applizierbaren CVEs mit Bewertung, ob und warum (bzw. warum nicht) sie ein Sicherheitsrisiko darstellen
■  Kritikalitätsbewertung 
■  Handlungsempfehlungen 

5. Gemeinsame Auswertung

In einem Online-Meeting besprechen wir die Ergebnisse gemeinsam mit Ihrem Team und definieren konkrete Maßnahmen zur Risikominimierung. Hierbei findet ein Optimierungsprozess statt. Das Security-relevante Systemveständnis wächst, einmal bewertete CVEs werden nicht erneut assessiert.

 

Mehr Informationen

Rufen Sie uns gerne an oder senden Sie uns eine E-Mail. In einem ersten Austausch bewerten wir gemeinsam den Status Ihres Embedded Linux-Systems sowie die erforderlichen Maßnahmen.

Ihr Ansprechpartner

Sie erreichen unsere Experten aus dem emlix CVE Management Team unter
Tel. +49 551 304460
solutions@~@emlix.com