汽车-网络安全

互联移动中的网络安全问题:汽车行业复苏的灵丹妙药

自动驾驶汽车、联网汽车和电动汽车 (EV) 制造的最新进展使汽车架构变得更加复杂。越来越复杂的汽车软件集成为网络攻击者造成故障创造了机会。例如,最近的 Jeep 黑客攻击是在受控环境中执行的,在该环境中,软件的集成使车辆容易受到网络攻击。同样,德克萨斯州一家汽车制造公司的一名心怀不满的员工通过破坏联网汽车平台的功能来远程禁用数百辆汽车。由于数字能力对联网汽车至关重要,网络犯罪分子甚至会干扰车门锁、前灯、天窗和其他组件的工作。最近的一次攻击是通过车辆的 Wi-Fi 系统执行的,允许攻击者控制灯光、禁用警报和解锁车门。另一个容易受到攻击的领域是乘用车单元 (PCU),它可以通过数据中心入侵来进行身份盗用。

对网络安全的关注对于确保采取必要措施以防止车辆整个生命周期中的攻击变得越来越重要。这意味着在开发生命周期之外保护生产过程。特定于项目的网络安全管理应从网络安全评估开始,以确定是在车辆级别还是组件级别实施安全要求。

下一代汽车制造商倾向于集成许多第三方解决方案,通常来自利基技术供应商或初创企业。这些解决方案通常与移动的四大支柱保持一致:自主、互联、电动和共享。这些有时被称为ACES。 ISO 21434 等标准在分布式网络安全活动的参数下消除了与这些外部组件相关的网络安全漏洞。这些参数适用于供应商/供应商的能力,从而使选择解决方案和协调整体车辆安全责任的流程更加简化。

标准概述

ISO 21434 和 WP.29 是用于保护联网车辆的标准。 ISO 21434 的草案版本于 2020 年 2 月发布,最终版本预计在 2021 年第三季度发布。ISO 21434 定义了 OEM 从 2022 年第三季度推出的新车型以及从 2024 年第三季度开始的任何新车的标准。WP.29 是主要在欧洲执行;该草案于 2020 年 6 月发布,为所有联网车辆规定了从任何汽车模型的生命周期开始到结束都围绕减轻网络安全风险的要求。这两个行业标准在监控、检测和响应网络威胁的任务上有很大的重叠,每个标准都提供相关数据来支持对未遂或成功的网络攻击进行分析。数据支持审计机制或登录机制,使网络安全分析师能够调查和了解与特定事件相关的方法。

根据这些新指南,汽车和运输生态系统中的组织需要创建网络安全管理系统 (CSMS),定义政策和程序。 CSMS 详细信息以及所有证据和可审核的参考资料,需要在车辆类型的批准过程中生成。该指南确保针对已识别风险的程序到位,并且不限于特定车辆类型。接下来是测试车辆类型的网络安全基础设施,包括跨 ECU 级别、PCU 级别、信息娱乐级别、通信级别和整个车辆的渗透测试、模糊测试和安全评估。

有必要计划适当的测试用例。持续评估保护的持久性。随着网络攻击的性质不断变化和日益复杂,当今车辆的内置安全控制可能不够用。

组织需要制定策略来监控常见漏洞和暴露 (CVE) 数据库,并随时了解不断变化的网络威胁形势。它还需要进行彻底的分析,以确定车辆是否容易受到新型网络攻击,并找到减轻威胁的方法。应简化缓解活动,例如创建相关补丁和升级补丁,以遵守法规。

遵守原始设备制造商和供应商的规定以防止网络攻击

如前所述,这些指南(根据 ISO 21434 和 WP.29 定义)相互重叠,迫使 OEM 和一级供应商重新审视其网络安全战略,以跨越开发和后期制作阶段。 ISO 21434 并未单独解决组件或项目级别的安全问题;它将网络安全视为组织文化的一部分。

管理特定项目的网络安全(特定车辆类型的安全)应包括设计、开发、测试、生产和后期生产阶段。法规还包括风险评估。在概念或设计层面关注网络安全有助于产品工程阶段解决威胁缓解问题。此外,法规确保供应商也分担网络安全的责任。因此,OEM 需要确保从供应商处采购的组件符合 ISO 21434 并符合整车的整体安全管理。

另一方面,WP.29 包含四个主要领域:1) 管理车辆网络风险,2) 检测和响应生产后安全事件,3) 通过采用安全设计来降低价值链中的风险概念(与供应商合作),以及 4) 提供安全可靠的无线 (OTA) 更新。这四个领域需要沿着两条线解决:首先,通过定义组织遵循 CSMS 的政策和程序;其次,一旦识别出风险,就对其进行评估和分类。在项目级别,需要为制造商指定跨领域(例如组件级别的风险评估)遵守 WP.29,然后扩大规模。

产品工程、制造工程和后期生产活动中的网络安全

ISO 21434 正逐渐成为车辆开发 V 循环的组成部分——从车辆概念化阶段到整个验证阶段,再到遵守网络安全概念和要求。 ISO 21434 定义了整个车辆生产生命周期的网络安全目标——概念设计、架构设计、硬件和软件架构定义和设计要求——同时验证每一步。最后,该过程以彻底的渗透测试、模糊测试和漏洞评估结束。

WP.29 指南也涵盖了开发后阶段——必须在开发和规划阶段解决车辆发射后的网络防御机制。此类措施将涵盖漏洞,例如对被敲击的密钥的妥协、围绕运营和维护流程的漏洞以及复杂的威胁。 WP.29 侧重于许多分布式活动,包括企业如何评估供应商能力、协调责任和遵守准则。组件交付后,OEM 会收到有关供应商如何审核、测试和标准化组件的指导。此外,该标准还涉及如何停用特定车辆或组件。

强制要求详细且安全的 OTA/SOTA 机制

WP.29 规定了详细的软件更新流程,尤其是 OTA 升级,每个 OEM 都必须在道路上车辆的软件更新管理系统 (SUMS) 的帮助下遵循该流程。 SUMS 必须得到保护、彻底测试和管理,以防止违规或攻击。此外,OTA 升级包的交付机制必须是安全的,OEM 确保发送的包的完整性和真实性。由于 OTA 包在发送到车辆或组件之前经过加密、签名和编码,因此可以确保额外的安全层。然后解码包,验证签名,解密文件,最后将解密的文件交给更新管理器。必须保护软件标识号,OEM 应设置从数据中读取该标识号的机制。

WP.29 采用了一种围绕 CSMS OTA 的结构化方法,并要求汽车制造商遵循五个参数:

  1. 通过网络安全风险评估和缓解框架识别和缓解与供应商相关的风险
  2. 拥有详细的风险评估和缓解策略以及可证明的测试结果
  3. 针对特定车型进行设计和相应的设计流程
  4. 在后期制作活动中维护数据取证能力,展示车辆的监控方式、检测漏洞并确保保护免受网络攻击
  5. 制定措施以检测和响应与特定车辆、后端系统或完整生态系统相关的特定网络攻击。

WP.29 还着眼于其他一些领域,例如管理软件更新、通知用户更新或更新的可用性、确保有足够的电力来完成更新以及车辆的执行能力更新。它还涵盖了如何安全地执行更新,包括更新失败时的回滚机制。

标准与系统集成商角色的重叠

许多系统集成商(例如 LTTS)已经创建了框架来绘制 WP.29 和 ISO 21434 之间的相似性,以帮助 OEM 和一级供应商遵守这些标准。例如,LTTS 已经确定了 WP.29 的八个领域,这些领域可以映射到 ISO 21434 的各种流程和条款——涵盖从组织范围的网络安全到与特定车辆类型相关的安全的所有内容。它包括监控、检测和响应网络威胁的流程,以及捕获相关数据以支持安全漏洞分析所需的流程。

系统集成商首先倾向于分析车辆模型或他们将为客户开发的特定组件的威胁状况。彻底的威胁评估和风险分析应该有助于制定缓解策略、架构和高层和低层设计(HLD 和 LLD)。对于组件开发已经在进行中且安全性不在范围内的情况,系统集成商在进行威胁评估和风险分析(TARA)后进行差距分析。接下来是定义阶段,在此阶段定义框架和流程,同时对工程师进行培训,并对流程进行试点和完善,以符合组织要求。最后,流程作为产品工程的一部分实施。

大多数全球系统集成商几十年来一直与汽车原始设备制造商和一级供应商合作,预计可以通过所需的培训简化流程的推出。需要丰富的工程和研发服务经验来衡量流程和分析潜在威胁,并为网络安全提供实施和验证支持。这涉及为组件或车辆类型布置各种子流程,例如 TARA、HLD、LLD、架构设计、产品流程、后期生产策略以及供应商和产品验证策略。

结论

在互联移动中的网络安全方面,现有的最大挑战是缺乏对 ISO 21434 和 WP.29 标准细微差别的认识。全球汽车价值链中的许多重要市场参与者并不了解监管标准或确保供应商遵守的可能性。这为系统集成商和咨询公司创造了一个空白的机会,他们可以介入以确保这种遵守,并使企业能够定义他们的网络安全政策并对其进行验证。价值主张将是简化和全面的 OEM 网络安全计划。

ISG 指出,一些一级供应商对 OEM 收紧 ISO 21434 和 WP.29 合规性政策的行为感到困惑。例如,无线充电器等车辆基础设施组件如果遭到黑客攻击,可能会危及多个关键组件。这迫使 OEM 确保这些组件符合相关标准下的安全准则。

威胁评估和风险分析是另一个更重要的领域。供应商需要具备设计完整安全系统的能力——包括定义网络安全计划、TARA、特定于组件的安全和网络安全规范——以便他们能够提供跨越软件/硬件和系统级架构设计以及总体产品工程的漏洞评估。供应商有机会发展他们的网络安全计划,以涵盖安全验证和验证、生产和控制以及后期生产。

世界各地涌现出许多下一代汽车网络安全技术供应商,提供具有专有数据分析平台的无代理、基于云的解决方案。这些公司,例如总部位于以色列的 Upstream,也在探索与保险等其他企业部门合作的可能性。凭借车队、远程信息处理和消费者数据的可用性,这些公司可以使用分析引擎为最终用户确定最合适的汽车保险政策。

作为即将进行的研究的一部分, 制造业服务 2021, ISG Provider Lens 从产品的角度分析了这个空间。该研究分析了整个移动安全市场的产品和解决方案供应商为企业提供威胁分析的能力,以及为 OEM 和一级供应商提供高级驾驶辅助系统 (ADAS)、ECU 和 EV 电池系统等组件的能力。

关于作者

Avimanyu 是 ISG 印度业务的首席分析师(研究),拥有超过 10 年的市场研究和咨询经验。在 ISG,Avi 专注于与企业网络以及工程和研发实践相关的颠覆性技术和创新。