如何应对汽车电子不断变化的网络威胁

随着车辆变得更智能、更复杂、连接性越来越强，它们也更容易受到网络攻击。现在汽车网络安全工作的挑战是跟上黑客的步伐，他们正在不断设计新的创新方法来攻击车辆中的软件和硬件。

根据Upstream 的《2023 年全球汽车网络安全报告》，与上一年相比，2022 年与应用程序编程接口 (API)相关的深层/暗网活动和事件大幅增加。去年报告的事件中约有 63% 归因于各种攻击媒介的黑帽演员。目标包括远程信息处理和应用服务器、远程无钥匙进入系统、ECU、信息娱乐系统、移动应用程序、EV 充电基础设施和蓝牙。

图 1：2010 年至 2021 年汽车攻击媒介的冲击。来源：Upstream

这不是一个新问题。早在 2015 年，两名安全研究人员就证明了可以远程控制吉普切诺基并将其驶离道路，导致克莱斯勒召回 140 万辆汽车。研究人员证明，可以使用蜂窝连接进入娱乐系统，然后访问其他 ECU。

不过，事实证明这仅仅是个开始。近期，Progressive 和 State Farm 保险公司因盗窃事件频发，理赔成本高昂，暂时停止向现代和起亚部分车型发放保单。被盗车辆数量增加的一个可能原因是社交媒体展示了如何在不使用车钥匙的情况下启动汽车。对此，2023年2月14日，现代宣布为超过100万辆伊兰特、索纳塔和Venue车型免费升级防盗软件。

随着 ECU 和 ADAS 中软件内容和电子硬件的增加，车辆比以往任何时候都更容易受到黑客攻击，而且无处可藏。

英飞凌科技安全工程师 Marcus Janke 表示：“该行业正在通过电气化、越来越多的自动驾驶、软件定义的汽车和连接性进行转变。” “半导体对于微控制器、传感器、分立安全模块或电源组件等组件的未来汽车数字化至关重要。但随着车辆变得更加数字化，车辆的网络安全对于抵御潜在威胁以及实现这些先进机器的安全可靠运行至关重要。”

大多数电子内容和增强的连接性对于保持竞争力至关重要。“积极采用和利用新兴技术趋势的公司和行业参与者将把自己定位为汽车行业未来的领导者和创新者，”Janke 说。“通过采用新技术，他们可以保持领先地位，保持相关性，并在市场上创造竞争优势。”

然而，所有这些都为对车辆的远程攻击打开了大门，目前，远程攻击占各种入口点攻击总数的 90%。

“首先也是最重要的是无钥匙进入钥匙扣，”Rambus 安全 IP 产品管理首席工程师 Thierry Kouthon说。“下一个大目标是手机，用于连接信息娱乐系统或在寒冷天气远程加热汽车。经销商或机械师使用的车载诊断 (OBD) 是另一个切入点。蓝牙、Wi-Fi 和远程信息处理网络都可以被黑客访问，同时随着电动汽车越来越受欢迎，充电端口将成为另一个目标。”

Riscure首席执行官 Marc Witteman表示：“许多传感器将使用无线接口来报告问题（例如胎压传感）。这些传感器将是低成本的，但即使这样它们也需要得到保护。想一想路边攻击者广播“爆胎”警报以在路段上造成严重破坏的场景。我们必须确保与车辆以及车辆内部的所有通信都使用强大且经过验证的安全性。”

车内组件之间的连接提供了更多重要的功能，例如紧急服务，但它也增加了风险，尤其是当车辆连接到互联网或其他网络时。Cyient 的首席技术官 Rajaneesh Kini 说：“对一个系统的一次攻击可能会对整个车辆产生连锁反应。”

Arteris IP解决方案和业务开发副总裁 Frank Schirrmeister指出了黑客的三个主要目标。“首先，通信系统，即车载网络，可能容易受到攻击。其次，控制音频、导航和其他功能的信息娱乐系统可能是一个潜在的切入点。第三，远程无钥匙进入系统等项目可以让攻击者在没有钥匙的情况下解锁和启动车辆。潜在的漏洞包括缺乏加密、弱身份验证和过时的软件。这在汽车系统中尤为重要，因为受到攻击的安全关键性可能会导致安全损失。简单的目标可以是移动应用程序、板载诊断端口以及 Wi-Fi 和蓝牙连接等项目。”

硬件和软件安全措施的结合可以帮助防止漏洞并实时检测问题，例如提醒驱动程序注意片上网络 (NoC) 或某些 I/O 通信系统中的意外数据流量。但这只是解决方案的一部分。

供应链挑战

良好的安全性还需要不同公司之间的合作。原始设备制造商需要管理整个供应链以关闭安全漏洞，这增加了整个过程的复杂性。

“每增加一个智能子系统，坏人的攻击面就会增加，”Keyfactor 物联网战略和运营高级副总裁 Ellen Boehm 说。“知道系统在车辆内部连接，为发动机、动力转向或制动器等关键系统提供了多种途径。任何连接系统中的漏洞都可以菊花链连接到其他系统。这需要汽车制造商与其一级供应商及其供应商之间建立密切、可信赖的关系。”

BlackBerry 首席技术官 Charles Eagan 指出了安全在软件供应链中的重要性，其中包括无数为车辆本身的软件堆栈做出贡献的供应商，以及与公司有业务往来并可能或者可能无法访问客户数据。

好消息是原始设备制造商正在认真对待这一挑战。例如，通用汽车的网络安全组织实施了基于行业和政府最佳实践的三支柱方法，以部署纵深防御、监控和检测以及事件响应，以保护通用汽车及其客户。该公司还积极参与行业方面的努力，例如 Auto ISAC、Cyber Readiness Institute 和 Cyber Auto Challenge。

与此同时，梅赛德斯-奔驰公开表示，随着数字化程度的提高，对网络安全的要求也越来越高。产品安全一直非常重要，公司专注于在每辆汽车的整个生命周期中主动管理漏洞和威胁。

如何应对不断变化的网络威胁

      建立网络安全防御是绝对必要的，但随着网络威胁的迅速发展，有多种方法，从保护通信协议到在设计周期的早期构建安全性、平衡安全性和成本以及实施新的安全标准.

“我们提倡的是，这些入口中的每一个——除了可能需要物理访问的 OBD 端口——都需要一个安全的通信协议，并使用信任根和集中式流程进行安全密钥管理，”Rambus 的 Kouthon 说。“在许多情况下，端口之间的通信，例如无钥匙链，每次都使用相同的数据序列。一旦遭到破坏，黑客就可以进入车辆。”

为了完全安全，每个通信协议都需要使用信任根进行身份验证，确保密钥和机密加密数据保密并安全处理。Kouthon 说：“无论何时发现软件模块受到威胁，都可以使用信任根将其更新为修复漏洞的新版本。” “每当硬件设备受到威胁时，也可以使用信任根重新保护它。硬件设备的妥协通常意味着其密钥已经泄露。这些密钥可以通过信任根辅助的过程被新密钥替换。为此，信任根通常会使用未被破坏的秘密恢复密钥，因为它们位于其硬件保护的安全飞地中。这样，车辆就可以从网络攻击中恢复过来。”

在设计周期的早期构建安全性
    为了有效，需要在设计周期的早期实施安全性，最好是在体系结构级别。但考虑到设计周期的长度，以及沿途新技术的快速发展，这是一个巨大的挑战。

“即使对于今天的原始设备制造商来说，这也不容易做到，”新思科技汽车软件和安全高级经理克里斯克拉克说。“如此多的供应商参与了车辆组件的开发，因此获得架构计划的统一安全视图具有挑战性。”

克拉克通常建议原始设备制造商看看其他行业已经做过的事情。“不要试图从头开始。当您从头开始并尝试想出适合您或您的组织的东西时，这是非常昂贵的。该成本必须转回给消费者。利用在安全方面做得很好的现有技术可以帮助 OEM 实现更好的成本效益。原始设备制造商可以从工业领域的工业控制系统或医疗领域的安全机制中提取不同的安全方面，以确保关键组件以正确的方式运行，并依赖于汽车行业的安全机制。”

此外，必须在系统级主动处理汽车安全问题。

“安全不仅仅是 SDV 和现代车辆中 SoC 上的硬件，” Cadence的 Tensilica Xtensa 处理器 IP 产品营销组总监 George Wall 指出。“这是一个系统级问题，涉及 SoC、软件以及软件定义车辆中数百个 SoC 之间的通信和交互。因此，在设计系统时考虑到安全性并在设计周期的早期分析威胁和漏洞至关重要。”

“可信域是安全架构的一个众所周知的组件，”Wall 继续说道，并指出专用 IP 允许用户将他们的系统划分为安全和不受信任的域，以便只有可信实体才能访问某些关键组件。

这应该有助于原始设备制造商在受到攻击时重新获得控制权，并且将来可能会发生许多此类攻击。

“车内的任何计算单元都是潜在威胁，”红帽车载操作系统和边缘副总裁兼总经理 Francis Chow 说。“最脆弱的区域是可以对车载设备（例如 OBD 连接器）进行物理连接或连接的地方，但这些攻击需要物理访问。许多其他威胁类型需要了解和缓解。一些威胁试图在软件开发过程中引入恶意代码。其他威胁试图通过未经授权的入口点入侵正常运行的系统，而有些威胁则针对软件更新过程。尽管存在许多威胁，开发团队仍可以努力找出根本问题或漏洞，以确定后续步骤。”

平衡安全成本
    找到一种切实可行的方法来实施足够的安全性，同时将成本保持在最低水平也很关键。

“了解黑客在寻找什么很重要，”Synopsys 的克拉克说。“他们通常不会花费大量的精力和金钱来攻击最脆弱的目标。他们会寻找简单的目标，例如钥匙扣。他们可以对密钥卡的工作原理进行逆向工程，以便进入车辆，然后窃取车辆内的物品或车辆本身。原始设备制造商可以提高普通攻击者容易访问的活动的门槛，并巩固和强化这些区域，使车辆难以受到一般攻击。期望 OEM 将车辆加固到任何黑客都无法访问车辆的程度可能是不现实的。届时，一辆价值 50,000 美元的车辆将翻倍至 100,000 美元。大多数消费者不会愿意为此买单。此外，

标准可以帮助建立足够好的基线，而汽车生态系统正在朝着这个方向发展。“例如，NIST 最近刚刚选择了用于轻量级加密的 Ascon 算法，”Riscure 的 Witteman 说。“这个标准非常高效，可以为所有汽车传感器提供低成本的安全保障。使用测试工具和服务来验证所有汽车部件的安全性非常重要，这也可以帮助 OEM 实现 ISO/SAE 21434 合规性。”

最重要的是通信和仪器的可观察性，以及认证，特别是那些与安全直接相关的部分。“随着安全与保障齐头并进，进入 SoC 开发过程的 NoC IP 的安全认证至关重要，”Arteris IP 研究员兼功能安全经理 Stefano Lorenzini 说。出于这个原因，Arteris 正在为其可配置的 NoC IP 提供安全和弹性功能，并与客户密切合作，以根据 ISO 26262 和 ISO/SAE 21434 实现安全可靠的片上通信。随着行业快速走向异构集成基于小芯片，一系列全新的安全挑战正在出现，”

最坏的情况
    如果最好的安全措施被添加到车辆中，但无论如何它都被黑客入侵了怎么办？答案是密钥可以与数字孪生方法一起用于恢复系统。这基本上就像关闭计算机并重新启动，但不一定完全关闭它。

“车辆的任何部分都容易受到网络攻击，” Siemens Digital Industries Software混合和虚拟系统副总裁 David Fritz 说。在摄像头被黑的情况下；一个摄像头看到交通灯为“绿色”，而另一个摄像头看到“红色”，如果做出错误的决定，车辆可能会处于危险境地。如果人类司机仍然负责，问题可能会最小化。但随着车辆变得越来越自主，这种情况可能会产生致命的后果。”

Fritz 表示，解决方案是实施数字孪生，即实际车辆的数字副本。“存储的数据是原始功能副本。当在现场检测到网络攻击时，车辆始终可以恢复到识别异常并纠正漏洞的黄金标准。此外，可以通过 OTA 将软件更新推送到所有车辆，以确保车队车辆的安全。SOAFEE 等框架特别适合采用这种方法。

编辑：黄飞