在上一篇關(guān)于UN R155和ISO/SAE 21434的博文中，我說明了汽車業(yè)及汽車行業(yè)供應(yīng)商如何被賦予了為每輛車配備網(wǎng)絡(luò)安全性的責(zé)任。汽車網(wǎng)絡(luò)安全是一項(xiàng)重大的挑戰(zhàn)，UN R155和ISO/SAE 21434等新規(guī)已經(jīng)生效，從2024年款起，所有車輛都將強(qiáng)制執(zhí)行。我們來深入探討一些汽車廠商及其供應(yīng)商現(xiàn)在和將來面臨的問題。

規(guī)模驚人

ISO/SAE 21434要求汽車廠商提供清晰、可理解且有辯護(hù)依據(jù)的理由，并有證據(jù)和文件支持，以證明某物項(xiàng)或組件在應(yīng)用時(shí)有足夠的網(wǎng)絡(luò)安全性。為實(shí)現(xiàn)這一目標(biāo)，汽車廠商必須確定網(wǎng)絡(luò)安全與各物項(xiàng)或組件的相關(guān)性；對于相關(guān)的物項(xiàng)或組件，汽車廠商可以進(jìn)行分析和風(fēng)險(xiǎn)評估 (TARA)。評估后，他們可以得出一套網(wǎng)絡(luò)安全目標(biāo)和要求，實(shí)現(xiàn)可驗(yàn)證的安全水平。

由于每輛車都有數(shù)百個(gè)可能帶來網(wǎng)絡(luò)安全問題的組件，再加上最后期限緊迫，這一流程不僅對汽車廠商構(gòu)成了嚴(yán)峻的挑戰(zhàn)，對其供應(yīng)商也是如此。現(xiàn)代汽車越來越依賴無線通訊來與周圍環(huán)境交互并利用基于云的服務(wù)。這種連接在汽車內(nèi)部得以延續(xù)，因此車內(nèi)幾乎每個(gè)電子組件都可能成為黑客的潛在目標(biāo)。

2021年9月，恩智浦宣布符合ISO/SAE 21434汽車網(wǎng)絡(luò)安全新標(biāo)準(zhǔn)，剛剛通過了第一次年度重新審計(jì)。了解此舉的重要意義，點(diǎn)擊這里>>

安全設(shè)計(jì)和遺留組件

理想情況下，這一挑戰(zhàn)應(yīng)在設(shè)計(jì)的最初階段解決。“安全設(shè)計(jì)”也逐漸成為許多汽車供應(yīng)商的標(biāo)準(zhǔn)做法。然而，當(dāng)今許多汽車系統(tǒng) (ECU) 的半導(dǎo)體和軟件組件在標(biāo)準(zhǔn)獲得批準(zhǔn)甚至制定之前就已經(jīng)完成設(shè)計(jì)。這并不意味著它們不安全，而是需要對這些系統(tǒng)進(jìn)行威脅分析和風(fēng)險(xiǎn)評估 (TARA)；根據(jù)評估得出最新的安全要求；收集和分析現(xiàn)有文檔以確定是否能夠滿足這些安全要求。如果現(xiàn)有文檔已經(jīng)足夠，則必須執(zhí)行其他安全活動，如回顧性設(shè)計(jì)審核或滲透測試，以彌合差距。這樣做可能代價(jià)高昂，因此必須仔細(xì)確定是否應(yīng)該進(jìn)行評估，尤其是對于可能即將報(bào)廢的“遺留”組件。在某些情況下，升級到較新的組件可能是更經(jīng)濟(jì)高效的方法

模糊性

汽車廠商和供應(yīng)商的密切合作和共識至關(guān)重要。幸運(yùn)的是，ISO/SAE 21434通過詞匯表及其定義的安全工程框架提供了基礎(chǔ)。不過，“產(chǎn)品是否合規(guī)？”這個(gè)簡單的問題很難回答。很難回答是因?yàn)樵摌?biāo)準(zhǔn)留有充分的解釋空間。例如，流程步驟只是廣義的定義，而要求是相當(dāng)通用的。因此，“合規(guī)性問題”是由客戶 (汽車廠商和Tier 1供應(yīng)商) 根據(jù)他們對標(biāo)準(zhǔn)的解釋來判斷的。因此，問題在于產(chǎn)品以及在開發(fā)和后續(xù)生命周期階段應(yīng)用的流程是否符合其解釋。如果該標(biāo)準(zhǔn)的第二版能減少模糊性，將會很有幫助。

組件“脫離使用場景”

我們還觀察到，汽車廠商和Tier 1供應(yīng)商的采購程序通常采用“使用場景”組件，使用場景組件是為滿足特定使用情形 (即使用場景) 的特定要求而開發(fā)的。然而，大多數(shù)半導(dǎo)體被設(shè)計(jì)成通用的“脫離使用場景”的組件，因?yàn)樗鼈兛捎糜诟鞣N用例。組件的使用場景通常不明確，僅僅基于假定用途，以及與客戶的接觸或與客戶簽訂的協(xié)議。使用場景的不匹配會導(dǎo)致效率低下，帶來各種挑戰(zhàn)。

《網(wǎng)絡(luò)安全/開發(fā)接口協(xié)議》(CIA/DIA協(xié)議) 適用于供應(yīng)商與客戶合作，在已知使用場景的情況下進(jìn)行共同開發(fā)，如果沒有合作開發(fā)，客戶仍堅(jiān)持必須符合CIA/DIA協(xié)議，則可能會造成效率低下。然而，這類協(xié)議并沒有為脫離應(yīng)用背景的開發(fā)增添多少價(jià)值。此外，客戶通常擁有獨(dú)立的CIA/DIA協(xié)議模板，這會進(jìn)一步增加工作量，因?yàn)閯?chuàng)建每個(gè)組件時(shí)需為每個(gè)客戶創(chuàng)建單獨(dú)卻內(nèi)容相同的文檔。能精簡這種冗余問題的流程將提高這一方法的效率。

了解恩智浦如何幫助加速向安全設(shè)計(jì)轉(zhuǎn)變，點(diǎn)擊下載白皮書>>

對半導(dǎo)體和軟件的要求

當(dāng)客戶根據(jù)其對標(biāo)準(zhǔn)的理解向采購流程添加新的具體要求時(shí)可能會帶來挑戰(zhàn)。安全編碼規(guī)則就是個(gè)很好的例子。該標(biāo)準(zhǔn)有一項(xiàng)一般性要求，即編程語言未涉及的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)應(yīng)包含在編碼指南或開發(fā)環(huán)境中。該標(biāo)準(zhǔn)提供了一些提示，但沒有提供編碼指南。因此，客戶會定義自己的編碼規(guī)則并通常要求嚴(yán)格遵守。有些甚至指定了必須用來檢查合規(guī)性的具體工具版本。

這帶來了一些挑戰(zhàn)，特別是對半導(dǎo)體和通用軟件而言。首先，不同的客戶可能有不同的要求，這與開發(fā)通用組件以服務(wù)于多個(gè)客戶和用例 (以實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)) 的目標(biāo)相悖。其次，脫離背景組件的采購流程通常在其開發(fā)項(xiàng)目結(jié)束后進(jìn)行，并且考慮自定義要求，流程的后期可能不可行或成本過高。

因此，非常需要一套明確的半導(dǎo)體和軟件編碼指南和其他通用要求；理想情況下，指南應(yīng)盡可能地重復(fù)使用。MISRA C是個(gè)很好的起點(diǎn)，已使用多年，是用C語言開發(fā)汽車軟件的實(shí)際標(biāo)準(zhǔn)，其中功能安全和網(wǎng)絡(luò)安全至關(guān)重要。

常見威脅情景、攻擊可能性評級和保障級別

另一個(gè)挑戰(zhàn)是缺乏衡量威脅情景和攻擊可能性評級的通用基準(zhǔn)。盡管R155提供了車規(guī)級的一般威脅列表，但并未針對半導(dǎo)體做出規(guī)定。因此，很難與客戶就特定產(chǎn)品的攻擊類型達(dá)成一致。

要就風(fēng)險(xiǎn)評級和更具體的攻擊可能性達(dá)成一致也很困難。ISO/SAE 21434附件G為基于攻擊可能性、基于CVSS和基于攻擊向量這三種不同的評級方法提供了指南。雖然這些指南非常有用，但是并不十分一致——采用不同的方法可能會導(dǎo)致對同一攻擊的評級完全不同。業(yè)界如果就半導(dǎo)體和軟件選擇哪種方法達(dá)成共識將有所幫助。或許更重要的是，利益相關(guān)方明白，盡管這些評級有助于確定問題的優(yōu)先級，但肯定不是完美的，因?yàn)榭傆小罢`差幅度”。因此，這種評級不應(yīng)作為業(yè)務(wù)流程或法律協(xié)議中的硬指標(biāo)而忽視了專家判斷的必要性。

同樣，業(yè)界在保障水平方面尚未達(dá)成共識。該標(biāo)準(zhǔn)的附件E介紹了網(wǎng)絡(luò)安全保障等級(CAL)，可用于具體說明并傳達(dá)一套嚴(yán)格的保障要求，確保組件保護(hù)得到充分發(fā)展和驗(yàn)證。這些指南也并不是很具體，因此，如今很少有機(jī)構(gòu)提及這些指南也就不足為奇了。但是，定義明確的保障級別將提供有用的指標(biāo)，使客戶能夠確信產(chǎn)品滿足其安全要求，其安全能力值得信任。

業(yè)界已經(jīng)采取了一些舉措來彌合這些差距。例如，ISO/SAE PWI 8475正在解決目標(biāo)攻擊可能性 (TAF) 和網(wǎng)絡(luò)安全保障級別 (CAL) 問題。此外，在MITER ATT&CK的啟發(fā)下，汽車信息共享與分析中心 (Auto-ISAC) 正在研究汽車威脅矩陣，有望作為通用汽車威脅模型的基礎(chǔ)用于汽車及其組件。最后，在涉及經(jīng)濟(jì)高效的方法時(shí)，有幾項(xiàng)舉措可以保證產(chǎn)品符合其安全目標(biāo)。其中一項(xiàng)是SESIP，這是一個(gè)新的認(rèn)證方案，旨在滿足對通用、優(yōu)化方法的需求，以便評估不斷發(fā)展的物聯(lián)網(wǎng)生態(tài)合作體系中連接設(shè)備的安全性。

知識共享讓知識翻倍

這不僅關(guān)乎要求和指標(biāo)。如今，許多公司都有核心能力團(tuán)隊(duì)，他們對UN R155和ISO/SAE 21434有著廣泛的了解。然而，這些專業(yè)知識也必須轉(zhuǎn)移到其他團(tuán)隊(duì)，從設(shè)計(jì)和開發(fā)到產(chǎn)品管理、客戶經(jīng)理、現(xiàn)場支持工程師、質(zhì)量保障、采購等。安全是一項(xiàng)團(tuán)隊(duì)運(yùn)動，所有相關(guān)人員都必須至少具備基本的安全知識才能在職責(zé)范圍內(nèi)做正確的事情。沒有基本的安全知識，就可能出現(xiàn)明確而現(xiàn)實(shí)的危險(xiǎn)，即最終在合規(guī)方面采取“復(fù)選框”的做法。眾所周知，這種方式不能帶來有效的安全性和抗風(fēng)險(xiǎn)能力。

長期安全支持

UN R155要求在整個(gè)產(chǎn)品生命周期中對安全性進(jìn)行管理。一般而言，這意味著必須監(jiān)控威脅狀況以發(fā)現(xiàn)新的威脅，并在出現(xiàn)漏洞和事件時(shí)對其進(jìn)行管理。最大的挑戰(zhàn)在于車輛及其組件的壽命很容易達(dá)到20年以上。ISO/SAE 21434更寬容一些，允許產(chǎn)品在生命周期結(jié)束前終止網(wǎng)絡(luò)安全支持。爭取網(wǎng)絡(luò)安全長期支持是必要的一步。然而，這種支持不是免費(fèi)的；由于需要經(jīng)常性投資，付費(fèi)服務(wù)模式可能不可避免。例如，保留知識、工具、IT設(shè)備和實(shí)驗(yàn)室環(huán)境所需的經(jīng)常性投資。

協(xié)作是關(guān)鍵所在

到那時(shí)，我希望大家已經(jīng)清楚地認(rèn)識到：合作是汽車業(yè)及其供應(yīng)商在有限時(shí)間內(nèi)滿足UN R155和ISO/SAE 21434廣泛要求的唯一途徑。這意味著，在實(shí)踐中，客戶與供應(yīng)商的直接接觸至關(guān)重要。

正如我之前在博客中所述，Auto-ISAC (汽車信息共享和分析中心) 是連接汽車業(yè)網(wǎng)絡(luò)安全專家的關(guān)鍵平臺。這提供了一個(gè)極好的機(jī)會，專家可以通過交流經(jīng)驗(yàn)和最佳做法來應(yīng)對一些共同挑戰(zhàn)。在整個(gè)行業(yè)開展公開對話可以大大減少提供安全解決方案所需的時(shí)間。時(shí)不我待。

本文作者

Timo van Roermund領(lǐng)導(dǎo)恩智浦汽車安全團(tuán)隊(duì)。他在嵌入式設(shè)備的應(yīng)用安全方面擁有深厚的專業(yè)知識，如車聯(lián)萬物（Vehicle-to-X）通信系統(tǒng)、車載網(wǎng)絡(luò)、架構(gòu)和系統(tǒng)、物聯(lián)網(wǎng)設(shè)備、移動電話和可穿戴設(shè)備等。他是國際會議的常客。他為行業(yè)聯(lián)盟（汽車ISAC、C2C-CC）和汽車安全標(biāo)準(zhǔn)的制定做出了各種貢獻(xiàn)。Timo在埃因霍溫理工大學(xué)獲得計(jì)算機(jī)科學(xué)與工程碩士學(xué)位。