1. 基于R155考虑汽车网络安全
车辆从设计之初就必须是安全的,一旦投入使用,汽车制造商还需要VSOC在车辆的整个生命周期内监控和管理网络安全。到2030年,联网车辆的数量预计达9亿辆,是2022年(3.57亿辆)的三倍。此外,汽车越来越多地由软件定义,加大了网络犯罪分子篡改并控制汽车核心功能的风险。因此,汽车制造商必须保护有车辆众多且快速增加的攻击面。R155描述了与后端服务器、通信、升级过程、人员行为、外部连接、数据/代码以及与未充分保护或加固的资产相关的七种风险。未来十年,V2X通信可能成为主流;数据供应链(数据生命周期)将成为智能网联汽车功能安全的关键组成部分;车载主机支持大量第三方应用程序等,这些导致攻击向量带来的风险今后也会相应发生变化,如图1是来自趋势科技对汽车安全风险变化的预测,这些变化为汽车制造商未来安全投资决策提供了部分参考建议。
图 1.当前和未来高风险威胁的百分比。通信风险最高,其次是数据/代码
图片来源:https://www.trendmicro.com/pt_br/research/21/i/The-Evolution-of-Connected-Cars-as-Defined-by-Threat-Modeling-UN-R155.html
为了有效应对车辆遭受的网络攻击,Gartner将汽车网络安全解决方案划分为三个维度,即车辆自身安全(基于边缘的安全)、车辆通信安全和基于云的安全,三方协同,共同做成网络安全解决方案或安全生态系统,以覆盖R155定义的7个攻击向量。如图2所示:
图2:智能网联汽车网络安全生态系统
图片来源:https://www.thalesgroup.com/en/markets/digital-identity-and-security/iot/documents/vehicle-cybersecurity-ecosystem
(一)车辆边缘的网络安全(Edge-based Security)
漏洞可能直接来自车载系统,也可能来自车载系统发送或接收的消息,因此需要部署一系列安全技术来保护车辆自身的系统(资产)安全,应对靠近车辆的攻击。
车载操作系统(Vehicle Operating System):运行车辆应用程序的操作系统和中间件平台的安全性是非常重要的。这些系统负责管理应用程序代码与计算机硬件的交互,启动软件程序并管理软件资源。这意味着,如果操作系统的漏洞被利用,那么攻击者可能安装恶意软件,用户的体验甚至车辆的功能安全都会受到严重影响。
车载应用(Vehicle Application):车辆电子控制单(ECU)运行嵌入式软件或者越来越多的容器化应用。网络犯罪分子能够通过OTA对这些软件进行更改,从而改变车辆的运行方式,使车辆变得不再安全。
车载网络((Vehicle Network):对于车辆本地或者靠近车辆的攻击,如通过CAN-BUS、OBD-II、USB或蓝牙、Wifi访问车载网络,提供了攻击者渗入车辆并控制车内单元通信的路径。一旦这些访问车辆的漏洞被利用,可能导致个人数据丢失或拒绝服务攻击,以及攻击者可能试图破解车辆以解锁需要付费的软件功能等。
(二)基于通信的网络安全(Communication-based Security)
车云通信:网络犯罪分子试图通过蜂窝连接与车辆进行远程通信,如果车云通信漏洞被利用,这比车辆网络的本地入侵带来的风险更大,车辆和驾驶员的私人数据可能会被盗,或者犯罪分子可能会试图更改车辆的代码,包括软件、固件、配置参数,或者安装独立的恶意软件。
V2X通信:网络犯罪分子可以向道路使用者、基础设施或电网等其他周边“物体”发送消息,造成交通中断。例如他们可能会发送车辆执行紧急制动的假消息,导致其他车辆停下来。
远程访问应用程序:犯罪分子能够利用手机应用程序中的漏洞远程解锁和启动车辆,从而导致车辆被盗。
(三) 基于云的网络安全(Cloud-based Security)
联网的车辆会存储数据在云中,云基础设施的漏洞被利用会导致数据泄露。车辆遥测数据可供VSOC检测入侵指标,包括从车辆收集的日志(内核、进程、系统、授权)和网络流量信息来完成。有些入侵检测系统会在车辆上安装代理系统,有些代理允许发送命令,而其他代理则需要其他方式提供修复(车辆召回或者OTA更新)。同样VSOC需要收集从其他车辆或非汽车平台上发现的漏洞,作为网络威胁情报的一部分。
2. 车辆应对网络威胁的几个关键安全产品或服务
汽车制造商需要设计安全的车辆,然后使用VSOC对车辆实时监控,以应关键的威胁。当 VSOC从车辆数据中识别出异常模式时,使用预先准备好的网络安全应急响应手册来解决或最大程度地减少攻击带来的影响。
下面从九个方面介绍缓解车辆的安全技术(这些技术通常体现为当前市面上主要的安全供应商提供的产品或服务),见图3。汽车制造商根据风险评估的结果,选择自行开发或者通过生态合作来构建汽车网络安全解决方案。
图3:智能网联汽车网络安全防护技术与生态
(一) 安全设计
安全启动
安全启动的要求通常建立在芯片组本身的固件中。它确保车辆上运行的代码是合法的,并且来自汽车制造商。当车辆启动时,不同模块上的芯片通过计算机写保护部分(可信锚)的密钥对代码进行加密验证。固件验证引导加载程序,引导加载程序验证内核,内核反过来验证软件映像。它只会在签名有效的情况下继续引导过程,固件将控制权移交给操作系统。
外部端口/接口控制
车辆包含车载诊断(OBD)端口、调试端口(如JTAG、XCP)或数字多媒体端口(如USB、HDMl),攻击者可以利用这些端口访问车辆内部网络,除了防火墙之外,汽车制造商还需要在微处理器上部署加密引擎,对保存在外部存储器中的数据进行加密。该加密引擎有助于防止端口扫描或窥探攻击,传统网络防火墙可能被这些攻击绕过。这种类型的危害可能会导致未经授权的访问和数据泄露,使可重写闪存被损坏或通过注入恶意固件而导致故障。
反欺骗
欺骗是指信号被网络犯罪分子攻击或劫持,与信号干扰不同。汽车制造商正在研究如何利用冗余传感器来识别“没有意义”的信号,并确保传感器输入不被“表面数据值”所接受。这一点很重要,因为车辆依赖于传感器来实现一系列高级驾驶辅助系统(ADAS)和未来的自动驾驶。欺骗信号(如车辆的位置)的能力将使第三方能够间接影响车辆的驾驶方式,例如车辆行驶的速度或使车辆退出高速公路的路口。
(二)主动安全
消息异常检测
消息异常检测系统可以检测和阻止传统防火墙无法自动识别的各种攻击。 异常检测系统基于云部署,并分析从车辆网络收集的日志文件,使用数据库交叉检查来查找异常信号。其中一些异常行为具有探测器可以查找和标记的特征。检测器还可以利用机器学习来了解正常行为,并使用它来识别未定义的异常消息,以检测对联网车辆的未知攻击。
入侵检测和预防系统(IDPS)
利用车载代理可以分析车辆部件的日志文件,使汽车制造商能够检测异常情况并控制攻击者的网络访问。重要的是,本地代理减少了需要在云端分析的不同类型的日志(内核、进程、系统、授权和网络)文件的数量。该代理可以对车辆部件进行实时保护,并仅将日志文件发送到VSOC,以确认被阻止的攻击尝试或由VSOC给出进一步行动建议。
身份验证和数据加密/解密
公钥基础设施(PKl)和更广泛的身份和访问管理(lAM)的使用将变得越来越重要。零信任架构的基础是内置在硬件安全模块中的PKI。它使每条消息都能被认证,即使它来自车内,并确保连接和服务只对授权使用它们的实体可见。PKl技术对OTA软件更新很重要,通过对固件进行签名,使其能够被引导加载的程序识别为真实的。同样,作为V2X通信的一部分发送的消息——特别是V2V和V2G场景——需要签名以保证通信的真实性和完整性。作为更广泛的数字化一部分,汽车制造商通过软件实现了更多的功能,这些功能更多是与个人而不是车辆联系在一起,这使得基于云的客户资料支持lAM变得至关重要。
(三) 取证与响应
汽车制造商会寻求技术和服务提供商的支持,以提供能够对潜在威胁进行取证分析的工具。这些威胁将通过分析汽车制造商联网车队的数据来识别。VSOC需要工具在车型的整个生命周期内进行威胁和风险评估,并继续完善其计划的补救行动和剧本。为了实现这些目标,需要利用如下几个关键安全技术。
渗透测试
汽车制造商需要雇佣道德网络犯罪分子,允许他们探测车辆的可利用漏洞。洞察被输入到代码补丁和更新的安全策略中
持续的网络威胁情报报告
在车辆开发过程中,将根据硬件和软件清单进行威胁和风险评估。但是,随着时间的推移,将会发现新的漏洞。重要的是,汽车制造商必须及时了解这些新威胁,以便准备适当的代码补丁并更新安全策略。数据将从公开的共享系统(如Auto-SAC)和专有系统收集。
车载软件/固件生命周期管理
车辆软件平台需要主动管理安全问题,在车辆整个生命周期中进行风险评估。该平台将用于感知威胁、启动保护措施并通过强化经验教训并将其反馈到TARA工作中,以持续改进安全设计。生命周期管理工具对于识别和启动软件和固件补丁尤其重要。这些需要通过 OTA或访问经销商的方式输入到生产流程和已上路的车辆中。
来源:汽车信息安全
