|
汽車網絡安全專業人員不得不應對一個徹底的變化:汽車架構日益復雜。與此同時,汽車網絡還要符合新出臺的ISO 21434標準和WP.29 R155法規的要求。C2A Security深入各個領域,為安全人員提供標準和法規的終極指南。 汽車行業迎來了變革時代。網聯自動駕駛汽車(CAVs)軟硬件架構極其復雜,易于遭受網絡攻擊,因此車輛生命周期的每個階段都需要保護。同時,整車廠、一級供應商和行業供應商面臨著來自國際和區域監管機構的壓力,要求在不影響車輛開發計劃的情況下滿足新的ISO 21434標準和WP.29 R155法規——也就是要將網絡安全能力擴展至整個供應鏈,并確保新車型的合規性。同時,美國的NHTSA、歐洲的ENISA和成員貿易協會AutoISAC已經發布了針對行業引領者的最佳實踐指南。在本文中,C2A Security為安全專業人員詳細講解了每個合規領域。 首先是標準和法規——對組織的意義以及安全軟件如何支持團隊實現網絡安全合規。 ISO 21434:實施之后會怎樣? ISO 21434旨在鼓勵汽車整車廠和供應商在汽車從概念到淘汰的整個生命周期中優先考慮網絡安全。該標準采用了安全第一的理念,為產品開發的每個步驟都制定了指南。而前身ISO 26262未做到這一點,沒能徹底解決汽車網絡安全問題。 首先,汽車企業應該進行差距分析,將當前政策與ISO 21434的建議進行比較,查明網絡安全協議中的弱點,對其進行強化,確保合規。完成之后,制造商和供應商應參考ISO 21434的術語、目標、要求和指南,確定新的政策、實施新的流程,應對風險,在整個企業文化中而非僅在車輛開發中接受“安全設計”。 ISO 21434生效后,汽車安全人員應首先考慮網絡安全管理系統(CSMS)、威脅分析和風險評估(TARA)以及漏洞問題。C2A的AutoSec分析為這一過程提供支持,進行可擴展、同步、復雜的分析,以便整個組織中無縫擴展ISO 21434的合規性。現在,整車廠和一級供應商可以依靠直觀的用戶界面和自動化功能,將這些功能擴展至整個網絡安全生命周期,將安全工作委托給整個供應鏈的內外部利益相關者,以實現更快、更有效的合規,并利用AutoSec最先進的專有風險分析工具,實現政策執行更加平衡、安全和自動化。 UNECE WP.29關于CSMS的R155條例已被采納——這對車輛安全有什么影響? UNECE WP.29關于CSMS的R155條例幫助OEM和供應商更好地理解、應對新興車輛架構的相關風險。如上所述,它與ISO 21434法規同時推出,提出利用網絡安全和軟件更新來管理車輛網絡安全風險,進一步強調“車輛設計”方法,監測并應對車隊、品牌和型號的安全事件,并確保軟件更新完全安全,不損害車輛安全。它側重于車輛生命周期中的開發、生產和后生產階段的網絡安全監管,適用于1958年聯合國歐洲經委會運輸協議和公約的54個國家內經營的任何制造商和供應商。 該條例規定汽車組織必須:具備從車輛數據和車輛日志中分析和檢測網絡威脅、漏洞和網絡攻擊的能力。這種能力應尊重第1.3款和車主或司機的隱私權,特別是在合規方面。它強調要考慮以下措施: 檢測并防止未經授權的訪問保護系統免受嵌入式病毒和惡意軟件侵害檢測惡意內部信息或活動 除了CSMC、TARA和漏洞管理之外,該條例呼吁利益相關者在網絡安全協議中優先考慮IDS和運行時的保護措施。C2A的AutoSec 端點可無縫保護車輛免受供應鏈攻擊。有了檢測、保護和兼容性軟件,制造商和供應商便可以啟用先進的SBOM分析來識別弱點,避免弱點被利用。這些軟件可以保護整個供應鏈免受零日漏洞的影響,因此不再需要頻繁、非計劃的OTA活動。AutoSec 端點支持無縫集成,能夠保護兼容性,支持剝離和非剝離的二進制文件,其可用于常見的汽車操作系統和芯片組。 汽車網絡安全標準和法規迎來新時代 盡管經歷了大規模的改革,但新法規為汽車網絡安全領導者帶來了積極的變化。制造商和供應商正將網絡安全作為優先考慮的安全問題。新法規讓網絡安全團隊有機會摒棄舊有做法,在整個組織中實施更加條理化、系統化的網絡安全方法。在監管機構和標準機構的明確指導下,汽車行業可以做出永久的改變。畢竟,安全的汽車架構最終意味著一件事:降低公眾風險,讓出行更加安全。 終極指南II:汽車網絡安全最佳實踐方法 隨著新標準和法規開始實施,安全團隊也開始摒棄過時的做法,在所有汽車組織中實施更加條理化、系統化的網絡安全方法。 汽車行業不斷發展,采用了新興的汽車架構,因此,保證汽車安全的網絡安全實踐也必須有所發展。目前,整車廠和一級制造商正在不影響汽車開發進度的前提下采用新的ISO 21434標準和WP.29 R155法規。但同樣要考慮的還有監管機構發布的最佳實踐——美國的NHTSA、歐洲的ENISA和成員貿易協會AutoISAC都發布了指南,供行業領導者遵循。接下來,C2A Security將解釋能夠影響安全從業人員的不同領域——對組織的意義、以及這些最佳實踐如何適應現有標準和法規。 最佳實踐領域:NHTSA、ENISA和AutoISAC 美國高速公路安全管理局(NHTSA)提出了供汽車行業考慮的新建議。其中最重要的是信息技術(IT)安全標準,如ISO 27000系列標準和互聯網安全中心(CIS)的“有效網絡防御的關鍵安全控制”(CIS CSC)。這兩個標準都廣泛用于其他部門——包括金融、能源、通信和信息技術部門,并取得了巨大的成功。 NHTSA的最佳解決方案是“利用基于風險的方法應對網絡安全挑戰”,其中最重要的是產品網絡安全。NHTSA強調滲透測試、筆測試、CSMS和網絡保護,因此建議全面的汽車網絡安全方法如下: ● 具備基于風險的優先識別能力、對安全至關重要的車輛控制系統進行保護的能力; ● 盡可能消除車輛控制系統的風險來源; ● 及時發現、快速應對現場潛在的車輛網絡安全事件; ● 具備設計方法和程序,以便在事故發生時迅速恢復; ● 通過有效的信息共享,如參加AutoISAC,將業內加速采納經驗教訓(如漏洞共享)的方法制度化。 同時,EINSA在2019年發布的《智能汽車安全的良好做法》總結了所有現有的標準、法規和政策舉措,作為制造商的集中參考點,使其能夠獲得開發互聯和自動駕駛汽車技術。它旨在強調“網絡安全促進安全”,核心建議如下: ● TM-01:在車輛和后端均部署入侵檢測系統(IDS),檢測惡意活動或違反政策的活動; ● TM-21:確保在風險評估中減輕或解決軟件依賴的漏洞和限制,特別是開放源碼庫; ● TM-38:在不同層面(即設備、網絡、后端等)應用加固方法,減少攻擊面; ● 在開發階段進行安全評估(如滲透測試),然后以事件驅動的方式定期進行評估; ● 強調利用CSMS、IDS、漏洞管理、設備加固、滲透測試、網絡保護等網絡安全最佳實踐。 同樣,AutoISAC成員組織可以從網絡安全最佳實踐條例中受益。各組織可以根據監測威脅和收集情報的優先次序,實施這些技術來檢測車輛生態系統內的威脅。它提醒各組織繼續監測診斷錯誤代碼、后臺SYSOPS操作和車輛的連接,并始終采用入侵或異常檢測系統。 AutoSec能夠針對任何最佳建議提供幫助C2A的AutoSec 網絡能將嵌入式監控分布在多個組件和網絡中,實現最佳保護,使最佳實踐的合規性比以往更容易。有了可視性、易協調性和透明度,制造商和供應商現在可以根據目標E/E架構啟用先進的用戶界面,進行模擬控制、實現安全洞察。AutoSec 網絡的智能軟件能自動識別網絡安全重點,獲取用戶關注。通過在多個網絡和組件中使用專有深度學習算法,可以用前所未有的方式實現最佳網絡保護。最后,它嵌入了監控源代碼和交換機配置文件,作為每個組件的交付物。 最佳實踐在于提高汽車網絡安全水平,如何讓其符合標準及法規?雖然這些都沒有約束力,但它們卻為汽車行業提供了關鍵支持,開啟了安全第一的網絡安全新時代。最佳實踐與新標準、新法規完美契合,不斷強調在整個供應鏈中采取方法化、系統化的網絡安全方法。作為一個網絡安全管理系統(CSMS),AutoSec可以在每個步驟起作用,使業內利益相關者能夠在當今充滿挑戰的環境中識別、減輕網絡風險。在可視性、控制性和保護性法規的支持下,整車廠和供應商能以前所未有的方式在不同汽車項目中無縫擴展網絡安全。最終,新的法規、標準和最佳實踐將會減少公眾風險,實現道路安全。 關于C2A Security C2A Security是一家可信賴的端對端汽車網絡安全解決方案供應商。公司推出了嵌入式車載網絡安全解決方案,使用多層次方法解決網絡安全問題,提供與汽車有關的保護措施和安全兼容性。C2A旗下的AutoSec是全面的網絡安全生命周期管理平臺,為整車廠和一級供應商提供所需的可視性,滿足網聯汽車全生命周期內的所有網絡安全需要。C2A保持市場中立性,完全滿足汽車行業需求,易于兼容,重新定義汽車網絡安全生態系統。C2A是市場上最靈活、全面和透明的網絡安全解決方案的唯一供應商。C2A由NDS聯合創始人及現任CEO Michael Dick于2016年創立。 |
