在上一篇關(guān)于UN R155和ISO/SAE 21434的博文中,我說明了汽車業(yè)及汽車行業(yè)供應(yīng)商如何被賦予了為每輛車配備網(wǎng)絡(luò)安全性的責(zé)任。汽車網(wǎng)絡(luò)安全是一項(xiàng)重大的挑戰(zhàn),UN R155和ISO/SAE 21434等新規(guī)已經(jīng)生效,從2024年款起,所有車輛都將強(qiáng)制執(zhí)行。我們來深入探討一些汽車廠商及其供應(yīng)商現(xiàn)在和將來面臨的問題。
規(guī)模驚人
ISO/SAE 21434要求汽車廠商提供清晰、可理解且有辯護(hù)依據(jù)的理由,并有證據(jù)和文件支持,以證明某物項(xiàng)或組件在應(yīng)用時(shí)有足夠的網(wǎng)絡(luò)安全性。為實(shí)現(xiàn)這一目標(biāo),汽車廠商必須確定網(wǎng)絡(luò)安全與各物項(xiàng)或組件的相關(guān)性;對于相關(guān)的物項(xiàng)或組件,汽車廠商可以進(jìn)行分析和風(fēng)險(xiǎn)評估 (TARA)。評估后,他們可以得出一套網(wǎng)絡(luò)安全目標(biāo)和要求,實(shí)現(xiàn)可驗(yàn)證的安全水平。
由于每輛車都有數(shù)百個(gè)可能帶來網(wǎng)絡(luò)安全問題的組件,再加上最后期限緊迫,這一流程不僅對汽車廠商構(gòu)成了嚴(yán)峻的挑戰(zhàn),對其供應(yīng)商也是如此。現(xiàn)代汽車越來越依賴無線通訊來與周圍環(huán)境交互并利用基于云的服務(wù)。這種連接在汽車內(nèi)部得以延續(xù),因此車內(nèi)幾乎每個(gè)電子組件都可能成為黑客的潛在目標(biāo)。
2021年9月,恩智浦宣布符合ISO/SAE 21434汽車網(wǎng)絡(luò)安全新標(biāo)準(zhǔn),剛剛通過了第一次年度重新審計(jì)。了解此舉的重要意義,點(diǎn)擊這里>>
安全設(shè)計(jì)和遺留組件
理想情況下,這一挑戰(zhàn)應(yīng)在設(shè)計(jì)的最初階段解決。“安全設(shè)計(jì)”也逐漸成為許多汽車供應(yīng)商的標(biāo)準(zhǔn)做法。然而,當(dāng)今許多汽車系統(tǒng) (ECU) 的半導(dǎo)體和軟件組件在標(biāo)準(zhǔn)獲得批準(zhǔn)甚至制定之前就已經(jīng)完成設(shè)計(jì)。這并不意味著它們不安全,而是需要對這些系統(tǒng)進(jìn)行威脅分析和風(fēng)險(xiǎn)評估 (TARA);根據(jù)評估得出最新的安全要求;收集和分析現(xiàn)有文檔以確定是否能夠滿足這些安全要求。如果現(xiàn)有文檔已經(jīng)足夠,則必須執(zhí)行其他安全活動,如回顧性設(shè)計(jì)審核或滲透測試,以彌合差距。這樣做可能代價(jià)高昂,因此必須仔細(xì)確定是否應(yīng)該進(jìn)行評估,尤其是對于可能即將報(bào)廢的“遺留”組件。在某些情況下,升級到較新的組件可能是更經(jīng)濟(jì)高效的方法
模糊性
汽車廠商和供應(yīng)商的密切合作和共識至關(guān)重要。幸運(yùn)的是,ISO/SAE 21434通過詞匯表及其定義的安全工程框架提供了基礎(chǔ)。不過,“產(chǎn)品是否合規(guī)?”這個(gè)簡單的問題很難回答。很難回答是因?yàn)樵摌?biāo)準(zhǔn)留有充分的解釋空間。例如,流程步驟只是廣義的定義,而要求是相當(dāng)通用的。因此,“合規(guī)性問題”是由客戶 (汽車廠商和Tier 1供應(yīng)商) 根據(jù)他們對標(biāo)準(zhǔn)的解釋來判斷的。因此,問題在于產(chǎn)品以及在開發(fā)和后續(xù)生命周期階段應(yīng)用的流程是否符合其解釋。如果該標(biāo)準(zhǔn)的第二版能減少模糊性,將會很有幫助。
組件“脫離使用場景”
我們還觀察到,汽車廠商和Tier 1供應(yīng)商的采購程序通常采用“使用場景”組件,使用場景組件是為滿足特定使用情形 (即使用場景) 的特定要求而開發(fā)的。然而,大多數(shù)半導(dǎo)體被設(shè)計(jì)成通用的“脫離使用場景”的組件,因?yàn)樗鼈兛捎糜诟鞣N用例。組件的使用場景通常不明確,僅僅基于假定用途,以及與客戶的接觸或與客戶簽訂的協(xié)議。使用場景的不匹配會導(dǎo)致效率低下,帶來各種挑戰(zhàn)。
《網(wǎng)絡(luò)安全/開發(fā)接口協(xié)議》(CIA/DIA協(xié)議) 適用于供應(yīng)商與客戶合作,在已知使用場景的情況下進(jìn)行共同開發(fā),如果沒有合作開發(fā),客戶仍堅(jiān)持必須符合CIA/DIA協(xié)議,則可能會造成效率低下。然而,這類協(xié)議并沒有為脫離應(yīng)用背景的開發(fā)增添多少價(jià)值。此外,客戶通常擁有獨(dú)立的CIA/DIA協(xié)議模板,這會進(jìn)一步增加工作量,因?yàn)閯?chuàng)建每個(gè)組件時(shí)需為每個(gè)客戶創(chuàng)建單獨(dú)卻內(nèi)容相同的文檔。能精簡這種冗余問題的流程將提高這一方法的效率。
了解恩智浦如何幫助加速向安全設(shè)計(jì)轉(zhuǎn)變,點(diǎn)擊下載白皮書>>
對半導(dǎo)體和軟件的要求
當(dāng)客戶根據(jù)其對標(biāo)準(zhǔn)的理解向采購流程添加新的具體要求時(shí)可能會帶來挑戰(zhàn)。安全編碼規(guī)則就是個(gè)很好的例子。該標(biāo)準(zhǔn)有一項(xiàng)一般性要求,即編程語言未涉及的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)應(yīng)包含在編碼指南或開發(fā)環(huán)境中。該標(biāo)準(zhǔn)提供了一些提示,但沒有提供編碼指南。因此,客戶會定義自己的編碼規(guī)則并通常要求嚴(yán)格遵守。有些甚至指定了必須用來檢查合規(guī)性的具體工具版本。
這帶來了一些挑戰(zhàn),特別是對半導(dǎo)體和通用軟件而言。首先,不同的客戶可能有不同的要求,這與開發(fā)通用組件以服務(wù)于多個(gè)客戶和用例 (以實(shí)現(xiàn)規(guī)模經(jīng)濟(jì)) 的目標(biāo)相悖。其次,脫離背景組件的采購流程通常在其開發(fā)項(xiàng)目結(jié)束后進(jìn)行,并且考慮自定義要求,流程的后期可能不可行或成本過高。
因此,非常需要一套明確的半導(dǎo)體和軟件編碼指南和其他通用要求;理想情況下,指南應(yīng)盡可能地重復(fù)使用。MISRA C是個(gè)很好的起點(diǎn),已使用多年,是用C語言開發(fā)汽車軟件的實(shí)際標(biāo)準(zhǔn),其中功能安全和網(wǎng)絡(luò)安全至關(guān)重要。
常見威脅情景、攻擊可能性評級和保障級別
另一個(gè)挑戰(zhàn)是缺乏衡量威脅情景和攻擊可能性評級的通用基準(zhǔn)。盡管R155提供了車規(guī)級的一般威脅列表,但并未針對半導(dǎo)體做出規(guī)定。因此,很難與客戶就特定產(chǎn)品的攻擊類型達(dá)成一致。
要就風(fēng)險(xiǎn)評級和更具體的攻擊可能性達(dá)成一致也很困難。ISO/SAE 21434附件G為基于攻擊可能性、基于CVSS和基于攻擊向量這三種不同的評級方法提供了指南。雖然這些指南非常有用,但是并不十分一致——采用不同的方法可能會導(dǎo)致對同一攻擊的評級完全不同。業(yè)界如果就半導(dǎo)體和軟件選擇哪種方法達(dá)成共識將有所幫助。或許更重要的是,利益相關(guān)方明白,盡管這些評級有助于確定問題的優(yōu)先級,但肯定不是完美的,因?yàn)榭傆小罢`差幅度”。因此,這種評級不應(yīng)作為業(yè)務(wù)流程或法律協(xié)議中的硬指標(biāo)而忽視了專家判斷的必要性。
同樣,業(yè)界在保障水平方面尚未達(dá)成共識。該標(biāo)準(zhǔn)的附件E介紹了網(wǎng)絡(luò)安全保障等級(CAL),可用于具體說明并傳達(dá)一套嚴(yán)格的保障要求,確保組件保護(hù)得到充分發(fā)展和驗(yàn)證。這些指南也并不是很具體,因此,如今很少有機(jī)構(gòu)提及這些指南也就不足為奇了。但是,定義明確的保障級別將提供有用的指標(biāo),使客戶能夠確信產(chǎn)品滿足其安全要求,其安全能力值得信任。
業(yè)界已經(jīng)采取了一些舉措來彌合這些差距。例如,ISO/SAE PWI 8475正在解決目標(biāo)攻擊可能性 (TAF) 和網(wǎng)絡(luò)安全保障級別 (CAL) 問題。此外,在MITER ATT&CK的啟發(fā)下,汽車信息共享與分析中心 (Auto-ISAC) 正在研究汽車威脅矩陣,有望作為通用汽車威脅模型的基礎(chǔ)用于汽車及其組件。最后,在涉及經(jīng)濟(jì)高效的方法時(shí),有幾項(xiàng)舉措可以保證產(chǎn)品符合其安全目標(biāo)。其中一項(xiàng)是SESIP,這是一個(gè)新的認(rèn)證方案,旨在滿足對通用、優(yōu)化方法的需求,以便評估不斷發(fā)展的物聯(lián)網(wǎng)生態(tài)合作體系中連接設(shè)備的安全性。
知識共享讓知識翻倍
這不僅關(guān)乎要求和指標(biāo)。如今,許多公司都有核心能力團(tuán)隊(duì),他們對UN R155和ISO/SAE 21434有著廣泛的了解。然而,這些專業(yè)知識也必須轉(zhuǎn)移到其他團(tuán)隊(duì),從設(shè)計(jì)和開發(fā)到產(chǎn)品管理、客戶經(jīng)理、現(xiàn)場支持工程師、質(zhì)量保障、采購等。安全是一項(xiàng)團(tuán)隊(duì)運(yùn)動,所有相關(guān)人員都必須至少具備基本的安全知識才能在職責(zé)范圍內(nèi)做正確的事情。沒有基本的安全知識,就可能出現(xiàn)明確而現(xiàn)實(shí)的危險(xiǎn),即最終在合規(guī)方面采取“復(fù)選框”的做法。眾所周知,這種方式不能帶來有效的安全性和抗風(fēng)險(xiǎn)能力。
長期安全支持
UN R155要求在整個(gè)產(chǎn)品生命周期中對安全性進(jìn)行管理。一般而言,這意味著必須監(jiān)控威脅狀況以發(fā)現(xiàn)新的威脅,并在出現(xiàn)漏洞和事件時(shí)對其進(jìn)行管理。最大的挑戰(zhàn)在于車輛及其組件的壽命很容易達(dá)到20年以上。ISO/SAE 21434更寬容一些,允許產(chǎn)品在生命周期結(jié)束前終止網(wǎng)絡(luò)安全支持。爭取網(wǎng)絡(luò)安全長期支持是必要的一步。然而,這種支持不是免費(fèi)的;由于需要經(jīng)常性投資,付費(fèi)服務(wù)模式可能不可避免。例如,保留知識、工具、IT設(shè)備和實(shí)驗(yàn)室環(huán)境所需的經(jīng)常性投資。
協(xié)作是關(guān)鍵所在
到那時(shí),我希望大家已經(jīng)清楚地認(rèn)識到:合作是汽車業(yè)及其供應(yīng)商在有限時(shí)間內(nèi)滿足UN R155和ISO/SAE 21434廣泛要求的唯一途徑。這意味著,在實(shí)踐中,客戶與供應(yīng)商的直接接觸至關(guān)重要。
正如我之前在博客中所述,Auto-ISAC (汽車信息共享和分析中心) 是連接汽車業(yè)網(wǎng)絡(luò)安全專家的關(guān)鍵平臺。這提供了一個(gè)極好的機(jī)會,專家可以通過交流經(jīng)驗(yàn)和最佳做法來應(yīng)對一些共同挑戰(zhàn)。在整個(gè)行業(yè)開展公開對話可以大大減少提供安全解決方案所需的時(shí)間。時(shí)不我待。

本文作者
Timo van Roermund領(lǐng)導(dǎo)恩智浦汽車安全團(tuán)隊(duì)。他在嵌入式設(shè)備的應(yīng)用安全方面擁有深厚的專業(yè)知識,如車聯(lián)萬物(Vehicle-to-X)通信系統(tǒng)、車載網(wǎng)絡(luò)、架構(gòu)和系統(tǒng)、物聯(lián)網(wǎng)設(shè)備、移動電話和可穿戴設(shè)備等。他是國際會議的常客。他為行業(yè)聯(lián)盟(汽車ISAC、C2C-CC)和汽車安全標(biāo)準(zhǔn)的制定做出了各種貢獻(xiàn)。Timo在埃因霍溫理工大學(xué)獲得計(jì)算機(jī)科學(xué)與工程碩士學(xué)位。
原文標(biāo)題:2024年起強(qiáng)制執(zhí)行!面對汽車網(wǎng)絡(luò)安全新規(guī),你準(zhǔn)備好了嗎?
文章出處:【微信公眾號:NXP客棧】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
-
NXP
+關(guān)注
關(guān)注
61文章
1326瀏覽量
187309
原文標(biāo)題:2024年起強(qiáng)制執(zhí)行!面對汽車網(wǎng)絡(luò)安全新規(guī),你準(zhǔn)備好了嗎?
文章出處:【微信號:NXP客棧,微信公眾號:NXP客棧】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
舜宇智領(lǐng)榮獲DEKRA德凱ISO/SAE 21434汽車網(wǎng)絡(luò)安全認(rèn)證
杰發(fā)科技通過ISO/SAE 21434汽車網(wǎng)絡(luò)安全管理體系認(rèn)證
光伏“搶裝潮”來襲,你準(zhǔn)備好了?嗎?

中科創(chuàng)達(dá)通過ISO/SAE 21434汽車網(wǎng)絡(luò)安全管理體系認(rèn)證
一文讀懂| 歐盟RED網(wǎng)絡(luò)安全標(biāo)準(zhǔn)FprEN 18031

歐盟RED指令等強(qiáng)化安全門檻,閃存安全技術(shù)升級加以應(yīng)對

華銳捷榮獲TüV南德ISO/SAE 21434汽車網(wǎng)絡(luò)安全認(rèn)證
時(shí)代智能獲TüV南德ISO/SAE 21434汽車網(wǎng)絡(luò)安全認(rèn)證
TüV南德授予時(shí)代智能ISO/SAE 21434 汽車網(wǎng)絡(luò)安全流程認(rèn)證證書
智達(dá)誠遠(yuǎn)榮獲TüV南德ISO/SAE 21434汽車網(wǎng)絡(luò)安全認(rèn)證
經(jīng)緯恒潤榮獲ISO/SAE 21434汽車網(wǎng)絡(luò)安全流程認(rèn)證

ETAS推出兩種全新網(wǎng)絡(luò)安全解決方案
愛芯元智通過ISO/SAE 21434:2021汽車網(wǎng)絡(luò)安全流程認(rèn)證
邀請函 | Vector中國汽車網(wǎng)絡(luò)安全技術(shù)日

能可瑞獲頒TüV南德ISO/SAE 21434 汽車網(wǎng)絡(luò)安全流程認(rèn)證證書

評論