导语:随着智能汽车的发展,汽车面临更多的网络攻击和潜在的功能失效问题,汽车网络信息安全已经上升到国家战略。日前,BlackBerry发布了汽车网络信息安全白皮书,内含7个汽车网络信息安全的建议。

一. 问题描述

汽车网络安全已经上升到国家战略,为什么呢?因为汽车行业发展的四大趋势使汽车面临更多的网络攻击和潜在的功能失效问题。

1-1.JPG

1. 网联化。汽车与外界的互联变多,包括无线和有线的连接。

2. 软件化。软件会控制所有重要的驾驶功能,如果恶意攻击者获得软件的访问权限,并修改了软件,就可以导致事故和其他潜在的危险事件发生。汽车中的软件数量越多,攻击面就越大。

3. 无人驾驶。无人驾驶设计之初就考虑了通信问题,包括汽车之间和汽车与基础设施之间的无线通信。无线AP数量的增多加剧了通过AP进行攻击的风险,一旦一辆车被攻击,可以进一步通过车与车的通信感染其他车辆。

4. 人工智能、深度神经网络和学习算法的应用。汽车可以从内容中学习,这意味着软件在安装时是安全的,但是需要有新的方法确保汽车在整个生命周期内的security和safety问题。

cyberthreat_background.jpg

汽车面临的安全威胁被汽车的一些特征放大了:

汽车中的电子电器(软硬件)来源于不同的Tier的数十个供应商,这些供应商之间没有同意的安全标准。这就让供应链的安全问题变得非常复杂。每个厂商和每个组件都是一个漏洞点。

汽车内的电子器件——分布式ECU组成了一个复杂的网络。每个ECU都是软件和硬件的结合,控制汽车中的一个重要功能,如刹车、转向、娱乐系统、空凋等等。ECU又是通过总线bus连接的,用的是已经定义好的协议传输信息。这种交互的网络就允许ECU与其他ECU通信, safety critical ECU和非safety critical ECU也通过这个网络进行交互。一些ECU可以通过无线或者有线访问,比如USB。这种访问有潜在的感染威胁。所以需要将safety critical ECU和非safety critical ECU进行隔离。

一辆车的生命周期在7~15年。在车的生命周期内,安装的软件需要升级,这就会带来风险。黑客的攻击手段会越来越复杂、越来越熟练,用户下载的软件可能包含恶意软件或代码。

目前的安全实践和标准是不充分的。功能安全safety标准ISO 26262 (ASIL-A to ASIL-D),信息共享标准Auto-ISAC,软件编码规范MISRA、NHTSA等目前已有的标准规范不能解决cybersecurity和safety的问题。还有point solution是不切实际的。

二. Blackberry的7个安全建议

Safety和security是不可分割的。Blackberry的方法是纵观整个系统,尽可能地创建一个没有不合理风险的系统:

1.JPG

1、安全的供应链

a. Root of trust

确保汽车中的每个ECU和芯片都经过适当的认证,并通过可信的软件加载,不管是哪个厂家或者制造商生产的。这包括在制造阶段对每个芯片注入撕咬,通过建立可信链的方式来验证软件的每一步加载。

b. Code Scanning

在软件开发阶段用静态二进制扫描工具来进行评定:开源代码的内容,开源代码的漏洞和安全敏捷软件的暗示。这些数据可以用来增强软件安全性,减少安全风险。

c. Approved for Delivery

确保所有的厂商和厂商站点都通过漏洞评定的认证,而且需要维持“approved for delivery”的状态。对厂商和厂商站点的评估需要持续进行。

2、 使用可信组件

a. Proven Components with Defense in Depth

使用推荐的组件(软件和硬件),这些组件应该有适当的safety和security特征,并通过验证可以抵御一定的安全攻击。创建一个分层的安全架构,应用深度防御技术,比如,硬件(System on Chips – SOCs)的架构必须安全,端口要进行保护。SOC应该保存密钥,作为验证加载的软件secure boot的可信根。操作系统必须有多层的安全特征,比如访问控制策略、加密文件系统、非root执行,路径空间控制等。

b. Application Management

所有下载的应用必须经过合适的签名,经过签名的声明文件要设定对系统中资源的访问权限。应用还要在沙箱中运行,在整个生命周期内都要进行管理。

3、 隔离

a.ECU隔离

汽车使用电子架构隔离了safety critical和non-safety critical ECUs之后,在检测到异常后,仍然可以run-safe。

b. 可信消息

确保汽车与外部世界所有的通信以及ECU之间的消息都是真实可信的。

4、现场健康检查

a. 分析和诊断

确保所有的ECU软件集成了分析和诊断软件,可以获取事件和日志消息,并报告给基于云服务的工具来进行之后的分析和预防。

b. 安全态势

确保能够定期扫描定义好的metric集合,周期性地评定软件的安全态势,并通过OTA软件更新或车辆服务中心等方式解决发现的安全问题。

5、 快速应急响应网络

a. 威胁互联网络

创建企业级网络威胁分享平台来分析提交的CVE信息,这样企业专家就可以互相交流、学习,发布修复这种威胁的公告。

b. 早期预警

CVE在发现后,在发现漏洞和修复有一个时间窗口——也就是风险期,对stakeholders发出告警消息直到漏洞修复。

6、全生命周期管理系统

发现漏洞后,用安全OTA软件更新来解决问题。通过动态证书管理来管理安全credentials,应用统一的端点管理策略。

7、 Safety/security文化

确保每个供应电子器件的厂商都经过企业最佳实践的safety/security培训,培训包括设计、开发文化和IT系统安全。

源链接

Hacking more

...