0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

针对多种汽车网络安全威胁的努力

贾桂林 来源:胡政鹏邮箱 作者:胡政鹏邮箱 2022-07-15 08:17 次阅读

好消息是,有越来越多的汽车网络安全活动来保护车载硬件和软件以及云平台。

大约六年前,汽车行业开始认真对待网络安全,并开始投资设计和部署网络安全解决方案。汽车行业现在正在部署网络安全硬件和软件,但要保护汽车中的每个 ECU 免受越来越多的网络攻击还有很长的路要走。

汽车行业的网络安全比智能手机和个人电脑复杂得多,主要原因有两个:

每辆车中的数十个 ECU 通过多条不同速度和特性的电子总线连接,以及

多个潜在的车载和远程接入点,例如 OBDII、USBSD 端口、无钥匙进入、蓝牙Wi-Fi嵌入式调制解调器、传感器信息娱乐或智能手机应用程序以及通过远程信息处理和其他云系统访问汽车的多重连接系统。

好消息是,越来越多的汽车网络安全活动旨在创建车载硬件和软件以及网络安全云平台。一些网络安全标准和法规正在出现,这将进一步增加在所有联网车辆中部署网络安全解决方案的势头。

下表是本专栏网络安全报道的摘要。其他网络安全信息将包含在另一列中。

网络安全威胁状态

Upstream Security 发布了几份分析汽车网络攻击的年度报告。2021 年初发布的最新报告包含 2010 年至 2020 年的数据,涵盖全球 200 多起汽车网络事件。

该报告包含有关深网和暗网的信息,这些信息使汽车网络犯罪分子能够以显着的匿名性进行通信。有一些论坛详细讨论了如何攻击联网车辆、如何访问敏感数据以及如何接管和窃取车辆。即使在表面网络上,网络犯罪分子也可以找到出售黑客工具、禁用防盗器的服务、代码抓取器和有关如何偷车的教程的在线商店。

一个有趣的数据点是攻击的方向——所谓的攻击向量。右表清楚地表明有两个受欢迎的目标。云服务器是近 33% 的总网络攻击的切入点,因为黑客试图获取可用于危害汽车网络安全的宝贵数据。不安全的无钥匙进入或遥控钥匙经常被利用来获得访问权和偷车。移动应用程序以近 10% 的网络攻击排名第三。

有趣的是,远程攻击占网络攻击总数的近 80%,而物理攻击约占 20%。

Upstream 还跟踪所谓的白帽和黑帽攻击者之间的网络攻击来源。白帽黑客没有恶意。他们大多是侵入系统进行安全验证或漏洞评估的研究人员。白帽研究人员经常因发现漏洞而被黑客公司雇用和/或奖励。黑帽黑客出于个人利益或恶意原因攻击系统。2020 年,黑帽黑客占网络攻击总数的 54.6%,而 2010 年至 2020 年占所有攻击的 49.3%。

白帽黑客正在独立或作为漏洞赏金计划的一部分发现新漏洞。在漏洞赏金计划中,如果他们发现车辆和连接服务中的漏洞,他们就会获得报酬。运行漏洞赏金计划的汽车原始设备制造商的名单正在增加。许多原始设备制造商,包括特斯拉、通用汽车、福特、FCA、戴姆勒等,都在 BugCrowd、HackerOne 或他们自己的网站等平台上参与漏洞赏金计划。

软件组件中的漏洞在 MITRE 于 1999 年启动的一个计划中作为常见漏洞和暴露 (CVE) 发布。报告了 110 个汽车 CVE,其中 2020 年报告了 33 个,而 2019 年为 24 个。

自动ISAC

大多数行业都成立了打击网络安全的组织;这些组织通常被称为信息共享与分析中心 (ISAC)。Auto-ISAC 成立于 2015 年 8 月;它运营着一个中央枢纽,用于共享、跟踪和分析与联网车辆相关的网络威胁、漏洞和事件的情报。总部位于华盛顿特区,网站为Auto-ISAC – 汽车信息共享与分析中心 (automotiveisac.com)。

Auto-ISAC 成员占北美销售的轻型汽车的 99% 以上;该组织还拥有超过 45 个全球 OEM 和供应商成员。Auto-ISAC 的成员资格已扩大到包括重型卡车 OEM 及其供应商,以及商用车行业——包括车队和运营商。供应商包括一级供应商,以及 Argo、英特尔、Motional 和 Waymo 等公司。

也有与其他组织的合作。Auto-ISAC 与其他 23 个 ISAC 协作,涵盖医疗保健、航空、电信和金融服务等关键基础设施领域。

埃尼萨

欧盟网络安全局(ENISA) 是欧盟致力于在整个欧洲实现网络安全的机构。ENISA 为欧盟网络政策做出贡献,通过网络安全认证提高 ICT 产品、服务和流程的可信度。ENISA 活跃于汽车网络安全领域,并发布了多份相关报告。

2021 年 2 月,ENISA 发表了:自动驾驶中采用人工智能的网络安全挑战。该报告提供了有关在自动驾驶汽车中使用人工智能技术所面临的网络安全挑战的见解。它描述了欧洲和国际层面的政策背景。

2019 年 11 月,ENISA 发布:智能汽车安全的良好实践。该报告定义了联网汽车和半自动驾驶汽车安全的良好做法。2017 年,ENISA 发布了:智能汽车的网络安全和弹性,重点介绍汽车 OEM 和供应商在保护嵌入式系统免受网络攻击方面的最佳实践。

网络安全标准和法规的一项主要要求是在车辆的整个生命周期中保护车辆,从开发、生产和客户使用阶段。

经过两年的筹备和修订,联合国于 2020 年 6 月 24 日通过了 UNECE WP.29 网络安全法规。WP.29 适用于欧盟、英国、日本和韩国等 54 个国家。这54个国家约占世界汽车产量的35%。许多其他国家接受符合联合国标准的车辆。54 个国家中不包括美国。所有向这些市场销售产品的制造商,包括美国汽车制造商,都必须遵守其产品和流程的 WP.29 网络安全法规。

联合国法规具有法律效力。如果一个国家或地区采用 WP.29 法规,则 OEM 需要提供合规证明才能获得型式批准才能进入市场。在欧洲,型式认证提供了整车级别合规性的相互认可。如果制造商在某个欧盟国家获得了某种车型的认证,则无需进一步测试即可在整个欧盟范围内销售该车型。

WP.29 法规包括两个关于汽车网络安全的主要指令。更多详细信息包含在下一节中。

ISO/SAE 21434 制定了道路车辆网络安全的新标准,重点是在车辆的工程阶段增加网络安全。该标准规定了网络安全风险管理的要求,强调网络安全流程和沟通和管理网络安全风险的通用语言。该标准不包含针对网络安全解决方案的特定技术或建议。

该标准由 ISO 和 SAE 工作组共同开发,并将由两个组织发布。超过 25 家汽车制造商和 20 家一级供应商正在制定该标准。ISO/SAE 21434 的最终草案于 2021 年马赫发布。可能要到 2022 年才能发布标准。

ISO/SAE 21434 标准化工作与欧盟和 UNECE WP.29 活动相关联并正在协调发展。

另一个重要的标准是 Uptane,它是为 OTA 软件更新而开发的。Uptane 于 2017 年 1 月正式推出。Uptane 联盟于 2018 年成立。它是在 IEEE 国际标准与技术组织 (ISTO) 旗下组织的非营利组织。随着 1.0 版的推出,Uptane 于 2019 年 7 月成为 IEEE/ISTO 6100 标准。Uptane 联盟将监督未来的 Uptane 标准,并于 2021 年 1 月推出 Uptane 1.1 版。有多家公司提供符合 Uptane 的软件产品。

UNECE WP.29 网络安全

2020 年 6 月,通过了两项新的联合国网络安全法规——WP.29 网络安全法规。这两项法规都适用于所有类型的车辆。网络安全法规于 2021 年 3 月更新。2021 年和 2022 年将在一些国家开始部署,并在 2023 年和 2024 年进行大规模部署。

第一项法规侧重于网络安全和网络安全管理系统 (CSMS)。CSMS 文件的最新更新位于:E/ECE/TRANS/505/Rev.3/Add.151 (unece.org)。

WP.29 CSMS 定义:CSMS 是一种基于风险的系统方法,定义组织流程、职责和治理,以处理与车辆网络威胁相关的风险并保护它们免受网络攻击。

CSMS 文档包含有关网络安全威胁的出色信息,并列出了大量漏洞和攻击方法。附件 5 有 10 页的多个类别的漏洞描述。下面的第一个表格总结了威胁和漏洞。CSMS 文档中列出了具有多种漏洞类型 (29) 的六种威胁类型和大量示例 (67)。

下表总结了 CSMS 文档中描述的网络安全威胁的缓解措施。B 表数据用于车辆内部的威胁。C 表数据用于车辆外部的威胁。

如果汽车网络安全是您感兴趣的话题,则值得检查包含所有数据的原始文档。

第二条法规是关于软件更新流程和软件更新管理系统 (SUMS)。SUMS 文件可在以下网址获得:E/ECE/TRANS/505/Rev.3/Add.151 (unece.org)。

WP.29 SUMS 定义:软件更新管理系统是指定义组织流程和程序的系统方法,以符合根据本法规交付软件更新的要求。

联合国关于软件更新和软件更新管理系统统一规定的新规定适用于允许软件更新的车辆。除乘用车、货车、卡车和公共汽车外,该法规还适用于拖车和农用车辆。

WP.29 软件更新法规要求汽车 OEM:

记录每种车辆类型的软件和硬件版本。

记录软件更新过程。

识别与型式批准相关的软件。

验证组件上的软件是否正确。

识别软件更新的软件相互依赖性。

识别车辆目标并验证它们是否与更新兼容。

确定更新是否影响安全或安全驾驶。

评估软件更新是否会影响型式批准。

通知车主更新。

汽车原始设备制造商必须满足以下要求:

为道路上的所有车辆开发软件更新管理系统。

以完整性和真实性保护软件更新过程。

保护软件标识号。

确保从车辆上可以读取软件识别号。

无线软件更新必须:

如果更新失败,则恢复以前的功能

仅在有足够的电量完成时才执行更新

确保安全执行。

证明车辆能够进行更新。

通知用户每次更新和完成。

需要机械师时通知用户。

我正在准备另一个关于网络安全的专栏,其中将包括有关网络安全产品、软件公司和其他提供产品和使用网络安全的公司的参与者的信息。

审核编辑:郭婷


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 传感器
    +关注

    关注

    2550

    文章

    51035

    浏览量

    753053
  • 嵌入式
    +关注

    关注

    5082

    文章

    19104

    浏览量

    304784
  • 调制解调器
    +关注

    关注

    3

    文章

    854

    浏览量

    38802
收藏 人收藏

    评论

    相关推荐

    智能网联汽车网络安全开发解决方案

    经纬恒润网络安全团队密切关注行业发展趋势,致力于为国内外客户提供优质的网络安全咨询服务。在智能网联汽车电子电气架构(EEA)开发阶段,协助客户识别到系统的薄弱点并定义网络安全目标,开发
    的头像 发表于 12-19 17:30 373次阅读
    智能网联<b class='flag-5'>汽车网络安全</b>开发解决方案

    经纬恒润荣获ISO/SAE 21434汽车网络安全流程认证

    近日,经纬恒润顺利通过TÜV南德意志集团总部的审查,获得ISO/SAE21434汽车网络安全流程认证证书。这一荣誉标志着经纬恒润在汽车网络安全管理方面的技术实力和安全保障能力得到认可,已能够在全球
    的头像 发表于 12-03 01:00 153次阅读
    经纬恒润荣获ISO/SAE 21434<b class='flag-5'>汽车网络安全</b>流程认证

    爱芯元智通过ISO/SAE 21434:2021汽车网络安全流程认证

    近日,国际公认的测试、检验和认证机构SGS(以下简称"SGS")为爱芯元智半导体有限公司(以下简称:爱芯元智)颁发ISO/SAE 21434:2021汽车网络安全流程认证证书
    的头像 发表于 11-18 17:31 441次阅读

    网络安全技术商CrowdStrike与英伟达合作

    网络安全技术商CrowdStrike与英伟达合作共同研发更先进的网络防御解决方案;提升CrowdStrike Falcon平台的威胁检测速度和准确性。将通过人工智能原生平台CrowdStrike
    的头像 发表于 08-28 16:30 1356次阅读

    能可瑞获颁TÜV南德ISO/SAE 21434 汽车网络安全流程认证证书

    南京2024年7月24日 /美通社/ -- 日前,南京能可瑞科技有限公司(以下简称"能可瑞")获颁TÜV南德意志集团(以下简称"TÜV南德")ISO/SAE 21434汽车网络安全流程认证证书。该
    的头像 发表于 07-25 09:39 380次阅读
    能可瑞获颁TÜV南德ISO/SAE 21434 <b class='flag-5'>汽车网络安全</b>流程认证证书

    工业控制系统面临的网络安全威胁有哪些

    ,随着技术的发展,工业控制系统也面临着越来越多的网络安全威胁。本文将详细介绍工业控制系统面临的网络安全威胁,并提出相应的防护措施。 恶意软件攻击 恶意软件攻击是工业控制系统面临的最常见
    的头像 发表于 06-16 11:43 1456次阅读

    了解 ADAS 和车舱监控系统对网络安全图像传感器的需求

    作者:Ludovic Rota,安森美产品营销经理 要让人们认识到汽车网络安全的重要性并不容易。随着汽车向半自动驾驶过渡,汽车主机厂 (OEM) 越来越关注汽车网络安全问题。对
    的头像 发表于 05-15 17:17 468次阅读
    了解 ADAS 和车舱监控系统对<b class='flag-5'>网络安全</b>图像传感器的需求

    经纬恒润亮相AutoSec中国汽车网络安全及数据安全合规峰会

    近日,由谈思实验室、谈思汽车、上海市车联网协会联合举办的AutoSec8周年年会暨中国汽车网络安全及数据安全合规峰会在上海举办。本次大会主要聚焦数据合规、汽车网络与数据
    的头像 发表于 05-10 08:00 373次阅读
    经纬恒润亮相AutoSec中国<b class='flag-5'>汽车网络安全</b>及数据<b class='flag-5'>安全</b>合规峰会

    黑芝麻智能获得ISO/SAE 21434:2021汽车网络安全流程认证证书

    4月3日,黑芝麻智能获得 ISO/SAE 21434:2021汽车网络安全流程认证证书,标志着黑芝麻智能已建立起符合ISO/SAE 21434要求的网络安全产品开发流程体系,构筑起网络安全风险管控能力。
    的头像 发表于 04-03 17:22 677次阅读
    黑芝麻智能获得ISO/SAE 21434:2021<b class='flag-5'>汽车网络安全</b>流程认证证书

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    近日,普华基础软件在网络安全领域取得了又一重大突破,成功获得了国际知名第三方检测、检验和认证机构德国莱茵TÜV颁发的汽车网络安全ISO/SAE 21434管理体系认证证书。这一荣誉的获得,标志着普华
    的头像 发表于 03-19 09:48 641次阅读

    英飞凌汽车安全控制器获ISO/SAE 21434认证,引领汽车网络安全新篇章

    近日,全球领先的半导体科技公司英飞凌宣布,其SLI37系列汽车安全控制器成功获得了ISO/SAE 21434汽车网络安全管理体系认证,成为业内首家获得此项殊荣的半导体公司。这一认证不仅彰显了英飞凌在
    的头像 发表于 03-12 10:08 817次阅读

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    2024年2月26日,普华基础软件正式获得由国际独立第三方检测、检验和认证机构德国莱茵TÜV颁发的汽车网络安全ISO/SAE 21434管理体系认证证书
    的头像 发表于 03-05 09:22 1152次阅读
    普华基础软件荣获ISO/SAE 21434<b class='flag-5'>汽车网络安全</b>管理体系认证证书

    Microchip通过ISO/SAE 21434汽车网络安全标准

    随着汽车行业日益依赖无线和车载网络连接,网络安全问题日益凸显。为确保道路车辆网络安全风险得到有效管理,国际标准化组织(ISO)与国际汽车工程
    的头像 发表于 02-19 17:29 971次阅读

    汽车网络安全-挑战和实践指南

    汽车网络安全-挑战和实践指南
    的头像 发表于 02-19 16:37 529次阅读
    <b class='flag-5'>汽车网络安全</b>-挑战和实践指南

    FCA汽车网络安全风险管理

    汽车工业继续在车辆上增加连接,以满足顾客对技术的贪得无厌的需求,但汽车不仅仅是某些计算机网络上的不安全端点--一些人所描绘的--汽车网络安全
    发表于 12-29 10:48 466次阅读
    FCA<b class='flag-5'>汽车网络安全</b>风险管理