针对网络安全面临的挑战、合规和最佳实践的概述
车联网今天正处于一个复杂的十字路口。随着行业的持续发展,汽车制造商(OEMs)、设备供应商(第1级和第2级)和司机特别感兴趣:连通性和网络安全。
随着自动驾驶汽车的发展,需要所有类型的可靠的嵌入式连接,能够承受城市环境的严峻性且同时支持关键系统和信息娱乐应用。车联网技术可以访问广泛的数字服务,包括车到车和车辆到路边的单元通信(V2X)、智能交通系统(ITS)、虚拟汽车钥匙等。然而,为了确保这种连接不会成为网络攻击的途径,网络安全已经成为汽车制造商早期实现联网汽车所需无缝安全的优先事项。
网络安全更加重要的是因为它现在是欧洲和国际框架的一部分,该框架对互联汽车和自动驾驶汽车的普及尤其具有决定性意义,特别是在车辆审批和道路安全方面。因此,为了应对汽车行业对网络威胁日益增长的担忧,网络安全现在是UNECE即将举行的世界车辆法规协调论坛的法规的一部分(WP.29)。
通过于2020年6月,专门致力于网络安全管理系统(CSMS)和软件更新管理系统(SUMS)的网络安全方面的UNECE WP.29法规于2021年初生效,并与2022年夏天在欧盟具有约束力。这些联合国指南提供了关于有关网络安全和CSMS部署的车辆批准的统一规定。汽车行业面临的挑战是,在遵守未来的法规和标准的同时,为联网车辆提供最佳的安全性。
因为实现联网和自动驾驶汽车也是一场竞争定位和品牌形象的竞争,OEMs和一级供应商如果要打入这个有前景和不断增长的市场,就需要激发他们对联网汽车产品的信心和信任。他们需要掌握可用的技术来设计联网的汽车,利用先进的安全系统和生命周期管理解决方案,使他们能够满足未来的需求。
该白皮书为实施强大的汽车网络安全基础设施提供了指导,该基础设施不仅在车辆部署时很安全,而且在联网汽车的长寿命中也很安全。
- 互联车辆:未来移动的先驱
汽车市场正在经历一场前所未有的技术、社会和竞争革命。汽车现在是一个真正的联网连接对象,逐渐提供新的功能,如提醒司机危险、检测嗜睡或将智能手机连接到车载电脑。
此外,车辆、用户和他们的环境之间的实时数据交换打开了一个全新的服务世界,其中大部分服务尚未被发明。作为物联网(IoT)更广泛的生态系统的一部分,未来的交通工具将能够与家庭设备、道路基础设施,甚至整个城市(停车场、加油站、商店等)进行交流和互动。
随着我们从联网转向自主驾驶,2020年第一批自动驾驶汽车的上市是很自然的。尽管这项技术已经存在,但在我们看到大量自动驾驶汽车上路之前,我们仍需克服重大挑战。
-
- 一个不断增长的市场:从联网到自动驾驶汽车
虽然全自动汽车对消费者来说还不现实,但联网汽车却是现实。联网汽车市场是全球第三大增长市场,仅次于平板电脑和智能手机市场。汽车行业和消费者都接受了自动驾驶汽车和联网汽车的有希望的未来。据估计,2015年至2025年,联网汽车市场将翻两番,全球销售额将超过1152亿欧元。这将主要有利于两个技术领域:安全和驾驶援助,到2022年将分别达到473.4亿欧元和356.6亿欧元(1)。
至于自动驾驶汽车,人们正在尽一切努力加速其进入市场。IHS Markit预计,到2035年,全球一定程度的汽车销量将达到7600万辆(2)。
-
- 通往全自动驾驶汽车的道路
-
- 对联网车辆建立信任
随着越来越多的电子控制单元(ECUs)和新功能嵌入到车辆中,连通正成为OEMs和供应商的关键问题,因为它是车辆与环境、基础设施和云之间交互和通信的基础。在所有情况下,最佳的、不间断的连接决定了驾驶质量,更重要的是,还决定了强制性eCall等安全相关服务。
然而,连接问题与安全问题密切相关,特别是网络安全。一旦联网的车辆成为连接平台,它们就会成为网络攻击的潜在门户。在车载和互联系统的控制下,联网汽车给制造商提出了业界前所未有的网络安全问题,导致公众对自动联网汽车作为未来汽车的怀疑、不信任和缺乏信心。
- 汽车网络安全领域:保持联网的汽车的安全和保护
- 一种新型车辆的新威胁
这一幕可以追溯到2015年6月。两名网络安全研究人员查理·米勒和克里斯·瓦拉塞克安静地坐在电脑屏幕前,通过一个简单的IP地址控制了一辆由记者驾驶的切诺基吉普车。全世界都发现了联网汽车可能受到网络攻击的脆弱性。从那时起,其他型号和制造的车辆也经历了同样类型的测试攻击。连接汽车的最坏情况是,远程黑客攻击破坏了重要的车辆功能,并可能影响一队车辆,这不再是虚构的,而是真正的可能性。随着自动驾驶汽车的到来,网络安全现在已成为当今互联汽车的一个核心问题。
拥有大约150个ECUs和约1亿行软件代码(3)(用于豪华车型),如今的汽车是一台真正有轮子的电脑。这项使汽车成为超连接物体的技术与软件以及和即时(传感器)和远程(电信)环境通信的能力密切相关。车辆是物联网的连接对象之一,但它与环境的交互需要不断地从私有数据切换到公共数据。因此,对于一辆联网的车辆,通信向量是数量庞大的。除了互联网连接遥测、软件更新、车队跟踪和所有可以想象到的增值服务外,联网的汽车还可能与智能手机相连。还有V2V(车辆到车辆)连接,允许在同一边界内的车辆之间共享驾驶信息,以及V2I(车辆到基础设施)连接,允许车辆与基础设施元素进行通信,再次形成临时网络。建立如此多的临时网络的目的是通过更好的了解环境,来提高安全性和便利性。
所有这些通信方式都有一个共同点:它们都是无线的。无线网络本质上比有线网络更容易受到攻击和干扰。我们的全球移动网络依赖于高度流动的人类,而人类越来越依赖于他们一直存在的无线通信工具。联网车辆的嵌入式连接将对日常生活同样至关重要,这使它们成为网络攻击的主要目标。
联网汽车的安全事件-过去几年的例子
2017年:白帽黑客杰森·休斯成功地黑客入侵了自己的特斯拉,并通过其内部服务器进一步访问了特斯拉的整个车队。资料来源:Electrek
2017年:TrendMicro利用控制器局域网(CAN)协议中的一个漏洞,对汽车的信息娱乐系统进行重新编程,禁用安全气囊,篡改锁定系统,并窃取车辆。来源:ZDNet
2017年:一款现代蓝链应用程序包含一个漏洞,黑客可以通过不安全的Wifi进入,获取私人用户信息,并远程启动汽车。资料来源:Forbes
2018年: Calamp发布了一个配置错误的服务器,为150万个联网设备提供了开放访问,导致允许多个汽车品牌的不必要的车辆定位、密码重置、车门解锁、警报禁用、发动机启动以及发生多个汽车品牌的汽车盗窃案。资料来源:Forbes
2018年:比利时大学KU Leuven的一名安全研究人员通过蓝牙攻击在几分钟内闯入特斯拉Model X,然后开车离开。来源:Wired
2020年:Sky-Go汽车安全研究小组发现,梅赛德斯-奔驰E级汽车存在超过十几个漏洞,使他们可以远程打开车门并启动引擎。资料来源:TechCrunch
2020年:消费者群体“Which?”暴露的安全缺陷,从远程暴露私人、客户信息(如位置历史、联系信息)到禁用福特和大众流行车型的牵引力控制系统。资料来源: edinburghnews.scotsman.com
2020年:本田部分全球业务因勒索软件攻击(文件加密恶意软件)而停止,导致生产、客户和金融服务问题。资料来源:TechCrunch
2020年:戴姆勒机载逻辑单元(OLU)的源代码在线泄露,允许访问密码和访问令牌,并允许任何人在其内部的GitLab服务器上注册。来源:ZDNet
2020年:分秒幻影攻击高级驾驶员辅助系统(ADAs),导致特斯拉Model X和Mobileye 630发出错误通知,并在道路中间停车。资料来源:Schneier
-
- 网络安全的挑战
诊断性的、开放的互联网协议、娱乐系统、重要功能的ECUs、远程预警系统、联网的监视系统保护不良的密钥都是特别敏感的点。安全和数据保护两方面的问题既是不可避免的,又是至关重要的。
挑战很简洁,但包含全面:确保所有关键数字系统和基础设施的安全,免受入侵。
另一个安全热点是允许在车辆和/或驾驶员与制造商的IT系统之间交换信息的网络应用系统。如果身份验证过程不安全,攻击者可以进入驾驶员的帐户并控制车辆。此外,司机的个人驾驶数据还可能存在被收集、使用、出售或传达的风险。
在过去的十年中,汽车网络安全事件的数量急剧增加。仅在2016年到2019年之间,事故的数量就增长了7倍。随着越来越多的联网车辆上路,每起事故的潜在损害都呈指数级增长,使企业、基础设施和消费者处于危险之中。
-
- 各种各样的威胁
联网汽车和自动驾驶汽车提供的不可思议的可能性也增加了它们的弱点。功能故障、临时引擎故障、勒索软件和间谍软件只是黑客在未来可能对司机和汽车造成的一些破坏。在办公室里失去Wi-Fi连接可能非常不方便,但在联网的汽车里失去连接可能会导致导航和整个娱乐系统暂时失效,甚至引擎也会失效。针对蜂窝网络的攻击可能会同时导致数千辆汽车出现重大故障。勒索软件攻击可能会阻止汽车运行直到付款,或者间谍软件可以监控司机的行踪,或者可能获得银行登录信息。
联网车辆中的主要攻击面
主要的动机和攻击方式
- 对最脆弱的系统的攻击
并不是所有的车载系统和网络都是一样的。攻击者将试图识别最不受保护的系统或服务中的漏洞,如娱乐系统,然后侵入车载通信网络,访问更敏感的系统。例如,发动机管理系统与娱乐系统进行通信,以显示警报(“发动机故障!”或“巡航控制激活”)。这些通信可能会受到攻击。
- 系统的稳定性和可预测性
新一代的自动驾驶联网汽车很可能会使用由不同供应商提供的软件,包括开源软件。与传统汽车装备的工业控制系统不同,IT存在不可预测性:计算机系统可以在没有警告的情况下崩溃。当web服务器由于托管服务器重新启动而无法访问时,这一点就不那么重要了。另一方面,当Wi-Fi或机载娱乐系统的故障导致导航系统出现故障时,其后果可能会更加不幸。
- 勒索软件
勒索软件是一种在电脑和智能手机上激增的威胁。然而,自动驾驶汽车同样是一个理想的目标。让我们想象一下这样的场景:一个黑客侵入车载显示系统,通知车主车辆被固定化,直到支付赎金。对于个人电脑或平板电脑,恢复相对简单,当然是假设数据和设置已经备份。一个独立的汽车的情况是完全不同的。车主可能在路上,勒索软件只有在车辆距离他们的家有预定的距离时才会运行。经销商和汽车修理厂并不一定知道如何处理这种逻辑故障,而且必须依靠专业技术来恢复出现故障的组件和系统。赎金金额可能高于传统电脑遭受勒索软件攻击时通常要求的金额,但很可能低于维修成本以激励车主支付赎金。这更不用说攻击造成的其他直接或间接成本了,比如拖曳车辆。
- 间谍软件
黑客会通过联网汽车收集个人数据。无人驾驶汽车收集大量数据,可以提供大量关于车主的信息:最喜欢的目的地、路线、家庭地址、购买行为,甚至是旅行伙伴。一个知道你离家度假的黑客,可以把这些信息转售给窃贼。也有使用被劫持的登录凭证侵入你的银行账户的风险。
- 标准和法规:为汽车网络安全的实施提供一个框架
随着对网络安全的担忧加剧,一波新的全球指导方针、法规和标准正在制定,以防止网络威胁,并确保汽车客户的近长期安全。这些即将出台的法规,如2020年6月通过的联合国UNECE WP.29法规(CSMS和SUMS)中的网络安全方面,要求汽车OEMs在整个价值链上整合网络安全活动。换句话说,OEMs必须采用一种设计安全的方法。
-
- 什么是UNECE WP.29?
UNECE代表联合国欧洲经济委员会。尽管它的名字是这样,但该组织并不希望只为欧洲国家建立规则和要求,但它确保了其56个成员国的规则的合作和整合。
UNECE的车辆法规协调世界论坛(WP.29)设立了六个常设工作组,研究对各种车辆的安全和环境性能的界定要求:汽车、卡车、公共汽车、动力两轮车、农业车辆和非道路移动机械,如起重机或机车。该论坛允许在全球范围内就汽车监管问题进行公开讨论。
2018年6月,一个名为自动化的/自动驾驶的和联网的车辆(GRVA)的新工作组成立,重点关注这些车辆在安全保障方面的具体挑战和要求。在此背景下,关于网络安全和联网车辆软件更新的问题引出了网络安全管理系统(CSMS)和软件更新管理系统(SUMS)的要求,并将在四个方面采取具体措施:
1. 针对车辆的网络风险的管理
2. 在车辆开发过程中实施“设计安全”架构,以使价值链上的风险最小化
3. 检测入侵和保护车队
4. 开发安全的软件更新和为“无线”(OTA)更新奠定的法律基础
-
- 一个指导OEMs实现网络安全的框架
UNECE WP.29法规为汽车制造商提供了一个实施最低要求的框架。它坚持考虑需要的关键因素,并详细列出联网车辆的安全威胁和漏洞以及缓解机会。
一个关键的突出因素是,网络安全应该在车辆的整个生命周期中得到实施,以确保车辆系统在其整个生命周期中都是安全的。这意味着第1级和第2级供应商需要深入参与到这个过程中来,并能够证明他们提供给OEMs的零部件的完整性。这也意味着OEMs需要考虑那些可升级的系统,并且可以以安全的方式进行远程更新。
-
- UNECE WP.29的限制
尽管该规定解释了需要实现的目标,但它并没有广泛解释如何实现已宣布的目标,也没有具体说明需要利用的技术。但实施一个坚实的网络安全基础设施的责任显然落在了汽车制造商的身上,他们需要能够提供证据,证明他们已经实施了系统来保护自己的汽车。
这就是为什么专业的网络安全公司可以支持OEM和一级供应商的全面实施法规。
- Thales在网络安全方面的愿景、技术和专业知识
自2013年以来,Thales公司一直在汽车网络安全领域为汽车制造商和设备供应商提供支持。随着联合国法规和其他汽车安全标准的发展,如新的ISO/SAE 21434,考虑和确保网络安全在汽车生命周期的所有阶段——从其概念,开发和设计,通过组件和系统测试,到运行中的车辆(V-model)——Thales一直是一个不可分割的合作伙伴。
Thales致力于通过对车内共存威胁的不同敏感度和暴露程度来提供最具创新性的网络安全解决方案,保护联网车辆免受网络威胁。
我们正在与汽车制造商和设备供应商合作,部署从设计阶段开始就集成了“设计安全”概念的汽车架构,而这在今天并非总是如此。在汽车的漫长生命周期中,我们帮助保持网络安全在最高水平,不断适应新的威胁并做出相应的反应。
Thales网络安全——从汽车概念到完整的生命周期管理
-
- 许多连接和安全威胁
车辆内的通信:已连接的车辆有几个智能车载系统,专门用于车辆控制、娱乐、乘客网络,甚至是应车主要求的第三方车载系统。这些系统将需要相互通信,以建立新的服务。然而,这些通信必须由防火墙和入侵预防系统密切监控和管理,这些系统能够区分汽车内部网络内的合法和可疑通信。
外部通信:大多数车载系统需要与互联网服务进行通信,原因有很多:制造商的维护、软件更新、乘客访问互联网、引导和导航、购买商品或服务或数据备份。外部通信很可能是推拉式的,从车辆内部启动,或从汽车制造商或互联网启动到车辆。因此,需要使用防火墙和入侵预防功能对这种双向通信进行分析的非法威胁或通信。
连接基础设施:联网汽车使用蜂窝网络。这些网络已经连接了数十亿部智能手机和设备,但在安全性方面存在不足。这给即将实现自动驾驶的联网车辆带来了风险。针对蜂窝网络的攻击,或通过该网络进行攻击,会同时导致数千辆车辆出现重大故障。
访问控制和识别系统:这些系统是专门为机器而不是个人设计的,将需要部署,以便车辆能够验证进入关键系统的连接。互联网服务必须能够确定地验证发送到云的汽车和信息,或车主提出的交易请求,如所需的服务或支付燃料或收费。
因此,联网车辆的网络安全与车辆的安全、用户的保护以及最终的人们对联网汽车的信任是不可分离的。
-
- 使用Thales实现安全-设计方法
Thales的网络安全专业知识根据新的UNECE WP.29法规的要求,以端到端愿景促进了设计安全方法。我们提供先进的网络安全咨询,专门的汽车id生成和生命周期管理,以及安全运营中心(SOC),用于在现场或OEM工厂的实时检测和响应网络攻击。
Thales提供了正确的专业知识、服务和产品的组合,以保持联网汽车的安全和良好运行。让所有利益相关者了解全球最新的法规,需要在设计、工程、开发和以后的每一步都进行良好的沟通。
正在进行的风险分析、定义安全体系结构以解决安全威胁、在部署前测试和评估该体系结构对Thales的网络安全解决方案至关重要。Thales受信任的密钥管理器确保了汽车基础设施的端到端安全性,旨在在整个生命周期中保护大型汽车车队部署的完整性。我们在全球的五个安全行动中心,确保随时随地实时监控和响应网络攻击。
- 汽车网络安全:Thales的六步方法
- 法规遵从性
为制定符合网络法规的合规政策提供咨询和支持
- 为IT/IS范围内的连接设备和嵌入式架构制定特定的网络安全策略
- 实施网络政策,这将有助于在不同的利益相关者之间协调网络战略,并向不同的团队传达网络安全目标和期望(概念、工程、发展……)
- 风险分析
评估与在车辆内引入连接功能相关的风险
对要部署在设备中的不同ECUs和功能执行业务风险分析,以定义威胁模型、攻击者概况、攻击场景和外围的全局暴露/风险。
-
- 安全结构
定义安全架构并指定网络安全措施
根据风险分析的结论,并根据威胁模型,我们定义了一个体系结构,并指定了要在整个体系结构中实施的技术安全措施。
-
- 渗透测试
评估体系结构、ECUs和非车载服务的实际安全级别
使用专门的方法和渗透测试,在不同的暴露表面、界面和组件上发现潜在的可利用的漏洞。
-
- 凭据生命周期管理
由于Thales公司信任密钥管理器,确保汽车基础设施的端到端安全性
包括世界领先的安全网硬件安全模块(HSM),专用密钥管理系统(KMS)和一流的公共密钥基础设施(PKI),Thales信任密钥管理器是一个先进的网络安全解决方案,旨在保护大型物联网设备部署,并确保其在整个生命周期中的完整性和可靠性。
-
- 安全操作中心(SOC)
由于我们的安全行动中心(SOC),确保实时检测和应对潜在的网络攻击
在Thales公司,我们在网络安全方面的专业知识贯穿了连接汽车的整个生命周期。我们在世界各地有五个由网络安全专家组成的安全行动中心(SOC),以协助道路上的联网车辆实时检测和应对潜在的网络攻击。
Thales公司设计、构建和运营网络安全解决方案和服务,以保护汽车行业参与者的所有关键资产。我们在高要求的市场上积累了几十年的安全经验。我们的解决方案通过在移动利益相关者之间建立信任、最小化风险和保护最终用户的隐私,允许部署安全连接服务。
随着联网汽车和自动驾驶汽车的梦想成为现实,像Thales这样的网络安全专家将成为这个新兴技术生态系统的信任驱动力。Thales的设计安全方法,从汽车概念和整个生命周期中嵌入的网络安全,将增加信任,有助于防止网络攻击,并快速应对任何入侵。自2013年以来,Thales一直以其愿景、技术和网络安全专业知识支持汽车制造商和设备供应商,并将继续引领汽车行业进入自动驾驶的未来。