汽車安全威脅從未如此嚴峻
我們驚嘆于特斯拉的最新創舉,震驚于谷歌自動駕駛汽車的神奇技術,至少也很享受用車載揚聲器播放手機博客的愉悅。
汽車行業持續創新,從駕駛室到引擎,種種新方法將車輛變成移動的聯網機器。這些新工具改變了人們駕駛和看待汽車的方式。汽車已不再是兩地間的運輸工具,而是車輪上的數據中心,向周圍各種網絡和系統傳送大量可供行動的情報。然而,這同樣的信息也是黑客眼中不惜代價想要偷走的貴重商品。
數據統計機構Statista預測,到2025年,路上將有超過4億輛聯網汽車,幾乎是2021年2.37億輛的兩倍。迅猛增長會帶來風險,所以我們有必要具備保護聯網汽車免遭網絡安全威脅的能力。
持續威脅
雖然汽車制造商“后端”網絡的安全保護知識很是扎實,但實際車輛及其內部相互連接的網絡和部件,卻是汽車安全領域中最不為人所知的部分。WiFi、藍牙、LTE和5G、控制器局域網(CAN)總線、車對外界信息交換(V2X)技術,以及整個車載信息娛樂系統,全都是可給汽車制造商帶來嚴重安全風險的入口點。通過亞馬遜、蘋果和谷歌等聯網生態,語音即接口等新技術可能進一步擴大從車輛到消費者的攻擊面。
然而,汽車網絡安全標準卻是直到最近聯合國歐洲經濟委員會(UNECE)頒布了2022年7月1日生效的UN R155法規才逐漸出現。這些法規治理的是除美國、加拿大和中國之外主流市場上所有汽車的網絡安全和網絡安全管理系統(CSMS)。
想要趕上傳統企業網絡安全標準和最佳實踐,汽車行業的網絡安全還有很長一段路要走。汽車原始設備制造商(OEM)和部件生產商需要管理車輛網絡安全風險,通過從設計階段就保護車輛安全來緩解供應鏈風險,檢測并響應車隊中的安全事件,并提供不會破壞車輛安全的軟件更新。
保護汽車系統
即使聯網汽車出現的時間相對較短,我們仍然看到了許多關于聯網汽車攻擊事件的報道,從車內部件及系統和后端服務,到第三方技術提供商和維護系統,攻擊形式多種多樣。
聯網汽車治理仍是確立行業網絡安全措施的關鍵。車輛網絡安全始于OEM,整個價值鏈上的每一環節都必須遵守相關規定和強制法律要求。
制造商必須在整個產品鏈中安裝、升級和維護CSMS,還必須在多個領域通力合作,建立起不同各方共擔責任的治理框架。從OEM工廠和老舊系統到部件供應商(包括提供傳感器、電子控制單元(ECU)、聯網及其他通信技術來協調各個應用程序的供應商),在整條供應鏈各個環節中發揮作用的各方都有責任。
為確保安全,汽車OEM和供應商必須做到如下幾點:
- 設置事件響應計劃。每家設備公司都需要最佳實踐,其中囊括從網絡威脅恢復正常并修復漏洞的規程。他們應能聯系車主、交易商和其他制造商,從而為出現漏洞的情況做好準備,找出并修復漏洞。UR R155強制要求采用國際標準化組織/汽車工程學會(ISO/SAE)21434標準中概述的CSMS,CSMS的采用在很大程度上涵蓋了這些指南。
- 與相關方合作。類似IT系統的情況,沒有哪種技術產品是孤島。聯網汽車設備制造商必須對其他供應商敞開懷抱,共享安全最佳實踐并發出潛在漏洞警報。
- 管理并消弭風險。不是所有網絡安全威脅的風險都在同一條水平線上。設備制造商需留意可能導致人身安全和數據安全問題的所有危險和威脅,這樣才有助于汽車制造商識別并保護最關鍵的資產,確保汽車的完整性。正如ISO/SAE 21434所述和UN R155所規定的,采用CSMS也涵蓋了這一點。
- 在設計過程和整個汽車生態系統中融入安全。隨著大眾對漏洞風險的認識逐漸加深,包括汽車、網絡通信、云服務和用戶手機上的聯網應用在內的整個汽車生態系統必須高度重視網絡安全。
測試
緩解網絡安全威脅還僅僅是個開端。具體還是要落實到驗證所采取的安全措施有沒有效上。而為了弄清這一點,你需要擁有黑客思維。對于汽車制造商和供應商而言,網絡安全應在多個層次上進行。供應商必須在通信協議層面上測試自己的設備和部件,包括連接的部件。汽車制造商需要確保供應商部件全都經過了全面深入的測試。此外,汽車制造商還必須保證適配其CSMS的原始部件和系統經過了徹底的測試。安全測試應包含功能性網絡安全測試、模糊測試和漏洞測試。
這些測試不僅僅需要全面覆蓋一系列潛在威脅途徑,還需要考慮到攻擊者可能會進入的各個入口點。這意味著要測試當代汽車使用的所有通信接口:蜂窩、Wi-Fi、藍牙、CAN、車載以太網等等。
而且,這還僅僅成功了一半。軟件更新,也就是緩解汽車部件及系統新興威脅的首選方式,同樣需要驗證。軟件更新過程繁瑣乏味,自動化是解決這一問題的關鍵。
UN R155合規需要可重復、可擴展和記錄良好的測試方法。而在不斷擴張的攻擊面、新興威脅和強制合規過程之間,集成和自動化可不是奢侈品,而是必需品。雖然可以將各個硬件和軟件組件都塞進一個汽車網絡安全測試平臺,但管理自制系統的時間投入很容易抵銷甚至超出可能得到的任何潛在好處。
前路
隨著汽車愈趨聯網和自治,并且越來越成為我們日常生活的一部分,保護汽車安全只會變得越來越重要和復雜。市場上下一代汽車想要取得成功,就必須更加重視測試的作用。而管理好汽車網絡安全需求始于設計過程之初,并延續整個車輛生命周期始終。只要行業信心堅定,我們就能在威脅浮現之初加以緩解,讓每個人都能享受這些真正令人神往的機器。
