汽车信息安全进阶之路----ISO/SAE21434解读(一)

      “Cybersecurity”,中文通常译为“信息安全”或“网络安全”,在许多行业中都被视为一项关键的挑战。由于个人计算机设备的大量使用、日益增长的在线金融交易行为等,消费者和监管机构很容易关心与之相关的安全问题。

        而在更广泛的概念中,“security”、“ITsecurity”和“Cybersecurity”等术语经常互换使用。与之对应的,同时还有另一个安全相关的英语词汇“Safety”,这两者通常会由于翻译之后同时对应“安全”而被人们混淆。在此我们首先需要知道的是,英语语境中“Safety”意指某一资产对环境带来的影响,“Security”则是偏重于环境对资产的安全影响。

        而“Cybersecurity“指需要保护和捍卫计算机/网络/信息资产免受恶意攻击,这些攻击可能会给这些资产的利益相关者带来不必要的结果。已发生的典型“Cybersecurity“相关事件包括:

  • 恶意软件的特定部署,例如Wannacry“勒索病毒软件”。
  • 拒绝服务攻击,例如2016 年针对DNS 服务提供商Dyn 的攻击,导致主要互联网网站无法访问。

        除了具体事件外,资产开发人员和安全研究人员之间还经常发生“猫捉老鼠”游戏。虽然安全研究人员经常遵循协议将发现的漏洞传达给资产开发人员,从而留出时间来部署修复程序,但漏洞最终会发布——然后它们可能会成为尚未更新的资产实例中的“zero day”漏洞——这意味恶意行为者可能会立即在“实时”资产上利用它们。已广为宣传的此类漏洞示例包括:“Heartbleed”Open SSL漏洞、 “幽灵”和“崩溃”漏洞、WPA2启用Wi-Fi“KRACK”密钥重新安装攻击的漏洞等。

        有许多不同类型的恶意行为者具有不同的动机,这些在文献中都有很好的记录。其中一个共同的主题是,这些参与者积极寻找资产中的“漏洞”——这些是资产中的弱点或设计缺陷,不排除用于邪恶目的的可能。同样,相关文献中也包含对典型漏洞的详细讨论,这些漏洞缺陷可以再次用于类似目的。

       对于汽车行业而言,网络安全已成为从业者关注的重要兴趣点。许多因素结合在一起产生了这种兴趣,例如:

  • 汽车电子产品的持续增长,与移动设备一样,汽车现在是面向消费者的主要软件密集型产品之一。一辆现代车辆可能包含100多个嵌入式微控制器,并且某些车辆引用了多达1.5亿行源代码的软件。鉴于典型的估计表明,即使遵循最佳开发实践,软件中的残余缺陷率也约为每1000行代码1-3个缺陷。.简单的数字表明,车辆中的软件对于安全研究人员来说可能是一个有吸引力的提议。
  • 现代车辆与外部环境的链接,通常,这些连接采用两种t途径:原始设备制造商(OEM)或消费者。OE集成了通信设施,以实现远程诊断、远程软件更新和车与车通信等功能。在现代车辆中,这些通常采用蜂窝调制解调器或短距离无线的形式。当消费者将蜂窝设备连接到车辆时,这些通信路径中的任何一条都可能包含攻击者可以利用的漏洞,将恶意数据传输到车辆。
  • 自动驾驶功能的增长意味着车辆的内部通信架构正在发生变化,以适应分布式功能。实际上,这意味着车辆运动功能,如推进扭矩、制动和转向,可由许多不同的控制器通过网络进行指挥。如果攻击者可以接管对网络中一项资产的控制权,那么,如果没有足够的安全防御,他们可从网络中的任何其他资产请求功能。
  • 自动化水平的提高和人工智能的使用意味着车辆系统越来越多地根据从车外接收的数据做出决策。这些数据可以通过数字通信渠道(如车对车通信)或通过环境传感器(如雷达或摄像头)接收,这些传感器对外部世界进行模拟测量。这些来源容易被篡改;因此,需要一种对从它们获得的数据建立信任或信心的方法。因为直接操作数据本身也可对恶意行为者具有吸引力。

       评估安全风险时,通常同时考虑潜在结果的严重性(就利益相关者可能遭受的损失而言)以及攻击者能够利用特定漏洞来实现该结果的可能性。一般来说,信息技术(IT)安全的潜在损失通常与财务损失,隐私损失和操作限制(例如,“拒绝服务”攻击)有关。 然而,在汽车行业,应该注意的是,资产通常控制着车辆中的物理部件,其结果是安全攻击也可能对车辆的运动产生物理影响,从而产生与安全相关的结果,以及与安全事件相关的更典型结果。这种系统称为网络物理系统; 出于这个原因,汽车行业的普遍做法是使用术语“cybersecurity”来专门指控制物理组件的车辆中嵌入式系统的安全方面,因此除了更传统的损失形式(如财务、隐私、和操作)。除了汽车环境之外,IT行业中更传统的安全方法仍然适用,例如,涵盖蜂窝设备,最终用户应用程序(“应用程序”)开发,基于云的服务,后台功能和开发数据的管理。信息安全通常围绕三个安全属性:可信性、完整性和可用性。虽然IT安全的重点历来是机密性属性(例如,限制对数据和系统的访问),但随着连接的,软件驱动的电子系统开始控制和受物理过程的影响,完整性和可用性属性变得越来越重要。

                                                         待续

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值