C2A終極指南:汽車(chē)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和規(guī)則
汽車(chē)網(wǎng)絡(luò)安全專業(yè)人員不得不應(yīng)對(duì)一個(gè)徹底的變化:汽車(chē)架構(gòu)日益復(fù)雜。與此同時(shí),汽車(chē)網(wǎng)絡(luò)還要符合新出臺(tái)的ISO 21434標(biāo)準(zhǔn)和WP.29 R155法規(guī)的要求。C2A Security深入各個(gè)領(lǐng)域,為安全人員提供標(biāo)準(zhǔn)和法規(guī)的終極指南。
汽車(chē)行業(yè)迎來(lái)了變革時(shí)代。網(wǎng)聯(lián)自動(dòng)駕駛汽車(chē)(CAVs)軟硬件架構(gòu)極其復(fù)雜,易于遭受網(wǎng)絡(luò)攻擊,因此車(chē)輛生命周期的每個(gè)階段都需要保護(hù)。同時(shí),整車(chē)廠、一級(jí)供應(yīng)商和行業(yè)供應(yīng)商面臨著來(lái)自國(guó)際和區(qū)域監(jiān)管機(jī)構(gòu)的壓力,要求在不影響車(chē)輛開(kāi)發(fā)計(jì)劃的情況下滿足新的ISO 21434標(biāo)準(zhǔn)和WP.29 R155法規(guī)——也就是要將網(wǎng)絡(luò)安全能力擴(kuò)展至整個(gè)供應(yīng)鏈,并確保新車(chē)型的合規(guī)性。同時(shí),美國(guó)的NHTSA、歐洲的ENISA和成員貿(mào)易協(xié)會(huì)AutoISAC已經(jīng)發(fā)布了針對(duì)行業(yè)引領(lǐng)者的最佳實(shí)踐指南。在本文中,C2A Security為安全專業(yè)人員詳細(xì)講解了每個(gè)合規(guī)領(lǐng)域。
首先是標(biāo)準(zhǔn)和法規(guī)——對(duì)組織的意義以及安全軟件如何支持團(tuán)隊(duì)實(shí)現(xiàn)網(wǎng)絡(luò)安全合規(guī)。
ISO 21434:實(shí)施之后會(huì)怎樣?
ISO 21434旨在鼓勵(lì)汽車(chē)整車(chē)廠和供應(yīng)商在汽車(chē)從概念到淘汰的整個(gè)生命周期中優(yōu)先考慮網(wǎng)絡(luò)安全。該標(biāo)準(zhǔn)采用了安全第一的理念,為產(chǎn)品開(kāi)發(fā)的每個(gè)步驟都制定了指南。而前身ISO 26262未做到這一點(diǎn),沒(méi)能徹底解決汽車(chē)網(wǎng)絡(luò)安全問(wèn)題。
首先,汽車(chē)企業(yè)應(yīng)該進(jìn)行差距分析,將當(dāng)前政策與ISO 21434的建議進(jìn)行比較,查明網(wǎng)絡(luò)安全協(xié)議中的弱點(diǎn),對(duì)其進(jìn)行強(qiáng)化,確保合規(guī)。完成之后,制造商和供應(yīng)商應(yīng)參考ISO 21434的術(shù)語(yǔ)、目標(biāo)、要求和指南,確定新的政策、實(shí)施新的流程,應(yīng)對(duì)風(fēng)險(xiǎn),在整個(gè)企業(yè)文化中而非僅在車(chē)輛開(kāi)發(fā)中接受“安全設(shè)計(jì)”。
ISO 21434生效后,汽車(chē)安全人員應(yīng)首先考慮網(wǎng)絡(luò)安全管理系統(tǒng)(CSMS)、威脅分析和風(fēng)險(xiǎn)評(píng)估(TARA)以及漏洞問(wèn)題。C2A的AutoSec分析為這一過(guò)程提供支持,進(jìn)行可擴(kuò)展、同步、復(fù)雜的分析,以便整個(gè)組織中無(wú)縫擴(kuò)展ISO 21434的合規(guī)性。現(xiàn)在,整車(chē)廠和一級(jí)供應(yīng)商可以依靠直觀的用戶界面和自動(dòng)化功能,將這些功能擴(kuò)展至整個(gè)網(wǎng)絡(luò)安全生命周期,將安全工作委托給整個(gè)供應(yīng)鏈的內(nèi)外部利益相關(guān)者,以實(shí)現(xiàn)更快、更有效的合規(guī),并利用AutoSec最先進(jìn)的專有風(fēng)險(xiǎn)分析工具,實(shí)現(xiàn)政策執(zhí)行更加平衡、安全和自動(dòng)化。
UNECE WP.29關(guān)于CSMS的R155條例已被采納——這對(duì)車(chē)輛安全有什么影響?
UNECE WP.29關(guān)于CSMS的R155條例幫助OEM和供應(yīng)商更好地理解、應(yīng)對(duì)新興車(chē)輛架構(gòu)的相關(guān)風(fēng)險(xiǎn)。如上所述,它與ISO 21434法規(guī)同時(shí)推出,提出利用網(wǎng)絡(luò)安全和軟件更新來(lái)管理車(chē)輛網(wǎng)絡(luò)安全風(fēng)險(xiǎn),進(jìn)一步強(qiáng)調(diào)“車(chē)輛設(shè)計(jì)”方法,監(jiān)測(cè)并應(yīng)對(duì)車(chē)隊(duì)、品牌和型號(hào)的安全事件,并確保軟件更新完全安全,不損害車(chē)輛安全。它側(cè)重于車(chē)輛生命周期中的開(kāi)發(fā)、生產(chǎn)和后生產(chǎn)階段的網(wǎng)絡(luò)安全監(jiān)管,適用于1958年聯(lián)合國(guó)歐洲經(jīng)委會(huì)運(yùn)輸協(xié)議和公約的54個(gè)國(guó)家內(nèi)經(jīng)營(yíng)的任何制造商和供應(yīng)商。
該條例規(guī)定汽車(chē)組織必須:具備從車(chē)輛數(shù)據(jù)和車(chē)輛日志中分析和檢測(cè)網(wǎng)絡(luò)威脅、漏洞和網(wǎng)絡(luò)攻擊的能力。這種能力應(yīng)尊重第1.3款和車(chē)主或司機(jī)的隱私權(quán),特別是在合規(guī)方面。它強(qiáng)調(diào)要考慮以下措施:
檢測(cè)并防止未經(jīng)授權(quán)的訪問(wèn)保護(hù)系統(tǒng)免受嵌入式病毒和惡意軟件侵害檢測(cè)惡意內(nèi)部信息或活動(dòng)
除了CSMC、TARA和漏洞管理之外,該條例呼吁利益相關(guān)者在網(wǎng)絡(luò)安全協(xié)議中優(yōu)先考慮IDS和運(yùn)行時(shí)的保護(hù)措施。C2A的AutoSec 端點(diǎn)可無(wú)縫保護(hù)車(chē)輛免受供應(yīng)鏈攻擊。有了檢測(cè)、保護(hù)和兼容性軟件,制造商和供應(yīng)商便可以啟用先進(jìn)的SBOM分析來(lái)識(shí)別弱點(diǎn),避免弱點(diǎn)被利用。這些軟件可以保護(hù)整個(gè)供應(yīng)鏈免受零日漏洞的影響,因此不再需要頻繁、非計(jì)劃的OTA活動(dòng)。AutoSec 端點(diǎn)支持無(wú)縫集成,能夠保護(hù)兼容性,支持剝離和非剝離的二進(jìn)制文件,其可用于常見(jiàn)的汽車(chē)操作系統(tǒng)和芯片組。
汽車(chē)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和法規(guī)迎來(lái)新時(shí)代
盡管經(jīng)歷了大規(guī)模的改革,但新法規(guī)為汽車(chē)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者帶來(lái)了積極的變化。制造商和供應(yīng)商正將網(wǎng)絡(luò)安全作為優(yōu)先考慮的安全問(wèn)題。新法規(guī)讓網(wǎng)絡(luò)安全團(tuán)隊(duì)有機(jī)會(huì)摒棄舊有做法,在整個(gè)組織中實(shí)施更加條理化、系統(tǒng)化的網(wǎng)絡(luò)安全方法。在監(jiān)管機(jī)構(gòu)和標(biāo)準(zhǔn)機(jī)構(gòu)的明確指導(dǎo)下,汽車(chē)行業(yè)可以做出永久的改變。畢竟,安全的汽車(chē)架構(gòu)最終意味著一件事:降低公眾風(fēng)險(xiǎn),讓出行更加安全。
終極指南II:汽車(chē)網(wǎng)絡(luò)安全最佳實(shí)踐方法
隨著新標(biāo)準(zhǔn)和法規(guī)開(kāi)始實(shí)施,安全團(tuán)隊(duì)也開(kāi)始摒棄過(guò)時(shí)的做法,在所有汽車(chē)組織中實(shí)施更加條理化、系統(tǒng)化的網(wǎng)絡(luò)安全方法。
汽車(chē)行業(yè)不斷發(fā)展,采用了新興的汽車(chē)架構(gòu),因此,保證汽車(chē)安全的網(wǎng)絡(luò)安全實(shí)踐也必須有所發(fā)展。目前,整車(chē)廠和一級(jí)制造商正在不影響汽車(chē)開(kāi)發(fā)進(jìn)度的前提下采用新的ISO 21434標(biāo)準(zhǔn)和WP.29 R155法規(guī)。但同樣要考慮的還有監(jiān)管機(jī)構(gòu)發(fā)布的最佳實(shí)踐——美國(guó)的NHTSA、歐洲的ENISA和成員貿(mào)易協(xié)會(huì)AutoISAC都發(fā)布了指南,供行業(yè)領(lǐng)導(dǎo)者遵循。接下來(lái),C2A Security將解釋能夠影響安全從業(yè)人員的不同領(lǐng)域——對(duì)組織的意義、以及這些最佳實(shí)踐如何適應(yīng)現(xiàn)有標(biāo)準(zhǔn)和法規(guī)。
最佳實(shí)踐領(lǐng)域:NHTSA、ENISA和AutoISAC
美國(guó)高速公路安全管理局(NHTSA)提出了供汽車(chē)行業(yè)考慮的新建議。其中最重要的是信息技術(shù)(IT)安全標(biāo)準(zhǔn),如ISO 27000系列標(biāo)準(zhǔn)和互聯(lián)網(wǎng)安全中心(CIS)的“有效網(wǎng)絡(luò)防御的關(guān)鍵安全控制”(CIS CSC)。這兩個(gè)標(biāo)準(zhǔn)都廣泛用于其他部門(mén)——包括金融、能源、通信和信息技術(shù)部門(mén),并取得了巨大的成功。
NHTSA的最佳解決方案是“利用基于風(fēng)險(xiǎn)的方法應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)”,其中最重要的是產(chǎn)品網(wǎng)絡(luò)安全。NHTSA強(qiáng)調(diào)滲透測(cè)試、筆測(cè)試、CSMS和網(wǎng)絡(luò)保護(hù),因此建議全面的汽車(chē)網(wǎng)絡(luò)安全方法如下:
● 具備基于風(fēng)險(xiǎn)的優(yōu)先識(shí)別能力、對(duì)安全至關(guān)重要的車(chē)輛控制系統(tǒng)進(jìn)行保護(hù)的能力;
● 盡可能消除車(chē)輛控制系統(tǒng)的風(fēng)險(xiǎn)來(lái)源;
● 及時(shí)發(fā)現(xiàn)、快速應(yīng)對(duì)現(xiàn)場(chǎng)潛在的車(chē)輛網(wǎng)絡(luò)安全事件;
● 具備設(shè)計(jì)方法和程序,以便在事故發(fā)生時(shí)迅速恢復(fù);
● 通過(guò)有效的信息共享,如參加AutoISAC,將業(yè)內(nèi)加速采納經(jīng)驗(yàn)教訓(xùn)(如漏洞共享)的方法制度化。
同時(shí),EINSA在2019年發(fā)布的《智能汽車(chē)安全的良好做法》總結(jié)了所有現(xiàn)有的標(biāo)準(zhǔn)、法規(guī)和政策舉措,作為制造商的集中參考點(diǎn),使其能夠獲得開(kāi)發(fā)互聯(lián)和自動(dòng)駕駛汽車(chē)技術(shù)。它旨在強(qiáng)調(diào)“網(wǎng)絡(luò)安全促進(jìn)安全”,核心建議如下:
● TM-01:在車(chē)輛和后端均部署入侵檢測(cè)系統(tǒng)(IDS),檢測(cè)惡意活動(dòng)或違反政策的活動(dòng);
● TM-21:確保在風(fēng)險(xiǎn)評(píng)估中減輕或解決軟件依賴的漏洞和限制,特別是開(kāi)放源碼庫(kù);
● TM-38:在不同層面(即設(shè)備、網(wǎng)絡(luò)、后端等)應(yīng)用加固方法,減少攻擊面;
● 在開(kāi)發(fā)階段進(jìn)行安全評(píng)估(如滲透測(cè)試),然后以事件驅(qū)動(dòng)的方式定期進(jìn)行評(píng)估;
● 強(qiáng)調(diào)利用CSMS、IDS、漏洞管理、設(shè)備加固、滲透測(cè)試、網(wǎng)絡(luò)保護(hù)等網(wǎng)絡(luò)安全最佳實(shí)踐。
同樣,AutoISAC成員組織可以從網(wǎng)絡(luò)安全最佳實(shí)踐條例中受益。各組織可以根據(jù)監(jiān)測(cè)威脅和收集情報(bào)的優(yōu)先次序,實(shí)施這些技術(shù)來(lái)檢測(cè)車(chē)輛生態(tài)系統(tǒng)內(nèi)的威脅。它提醒各組織繼續(xù)監(jiān)測(cè)診斷錯(cuò)誤代碼、后臺(tái)SYSOPS操作和車(chē)輛的連接,并始終采用入侵或異常檢測(cè)系統(tǒng)。
AutoSec能夠針對(duì)任何最佳建議提供幫助C2A的AutoSec 網(wǎng)絡(luò)能將嵌入式監(jiān)控分布在多個(gè)組件和網(wǎng)絡(luò)中,實(shí)現(xiàn)最佳保護(hù),使最佳實(shí)踐的合規(guī)性比以往更容易。有了可視性、易協(xié)調(diào)性和透明度,制造商和供應(yīng)商現(xiàn)在可以根據(jù)目標(biāo)E/E架構(gòu)啟用先進(jìn)的用戶界面,進(jìn)行模擬控制、實(shí)現(xiàn)安全洞察。AutoSec 網(wǎng)絡(luò)的智能軟件能自動(dòng)識(shí)別網(wǎng)絡(luò)安全重點(diǎn),獲取用戶關(guān)注。通過(guò)在多個(gè)網(wǎng)絡(luò)和組件中使用專有深度學(xué)習(xí)算法,可以用前所未有的方式實(shí)現(xiàn)最佳網(wǎng)絡(luò)保護(hù)。最后,它嵌入了監(jiān)控源代碼和交換機(jī)配置文件,作為每個(gè)組件的交付物。
最佳實(shí)踐在于提高汽車(chē)網(wǎng)絡(luò)安全水平,如何讓其符合標(biāo)準(zhǔn)及法規(guī)?雖然這些都沒(méi)有約束力,但它們卻為汽車(chē)行業(yè)提供了關(guān)鍵支持,開(kāi)啟了安全第一的網(wǎng)絡(luò)安全新時(shí)代。最佳實(shí)踐與新標(biāo)準(zhǔn)、新法規(guī)完美契合,不斷強(qiáng)調(diào)在整個(gè)供應(yīng)鏈中采取方法化、系統(tǒng)化的網(wǎng)絡(luò)安全方法。作為一個(gè)網(wǎng)絡(luò)安全管理系統(tǒng)(CSMS),AutoSec可以在每個(gè)步驟起作用,使業(yè)內(nèi)利益相關(guān)者能夠在當(dāng)今充滿挑戰(zhàn)的環(huán)境中識(shí)別、減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)。在可視性、控制性和保護(hù)性法規(guī)的支持下,整車(chē)廠和供應(yīng)商能以前所未有的方式在不同汽車(chē)項(xiàng)目中無(wú)縫擴(kuò)展網(wǎng)絡(luò)安全。最終,新的法規(guī)、標(biāo)準(zhǔn)和最佳實(shí)踐將會(huì)減少公眾風(fēng)險(xiǎn),實(shí)現(xiàn)道路安全。
關(guān)于C2A Security
C2A Security是一家可信賴的端對(duì)端汽車(chē)網(wǎng)絡(luò)安全解決方案供應(yīng)商。公司推出了嵌入式車(chē)載網(wǎng)絡(luò)安全解決方案,使用多層次方法解決網(wǎng)絡(luò)安全問(wèn)題,提供與汽車(chē)有關(guān)的保護(hù)措施和安全兼容性。C2A旗下的AutoSec是全面的網(wǎng)絡(luò)安全生命周期管理平臺(tái),為整車(chē)廠和一級(jí)供應(yīng)商提供所需的可視性,滿足網(wǎng)聯(lián)汽車(chē)全生命周期內(nèi)的所有網(wǎng)絡(luò)安全需要。C2A保持市場(chǎng)中立性,完全滿足汽車(chē)行業(yè)需求,易于兼容,重新定義汽車(chē)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。C2A是市場(chǎng)上最靈活、全面和透明的網(wǎng)絡(luò)安全解決方案的唯一供應(yīng)商。C2A由NDS聯(lián)合創(chuàng)始人及現(xiàn)任CEO Michael Dick于2016年創(chuàng)立。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
11月19日立即報(bào)名>> 【線下論壇】華邦電子與恩智浦聯(lián)合技術(shù)論壇
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 蔡司新能源汽車(chē)三電質(zhì)量解決方案
-
精彩回顧立即查看>> 蔡司新能源汽車(chē)三電質(zhì)量解決方案
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
- 1 從小鵬、理想、蔚來(lái)布局看自動(dòng)駕駛發(fā)展趨勢(shì)
- 2 被逼墻角的Mobileye,祭出 CAIS 大旗,挑戰(zhàn)端到端大模型智能駕駛
- 3 SiC、Chiplet、RISC-V,汽車(chē)半導(dǎo)體發(fā)展的三大動(dòng)力
- 4 676億地平線港股上市,要與英偉達(dá)、華為搶市場(chǎng)
- 5 6 輸給新勢(shì)力,賽力斯失去“華為溢價(jià)”
- 7 如何跑贏汽車(chē)智能化下半場(chǎng)?
- 8 激光雷達(dá)即將降價(jià),純視覺(jué)回到鄙視鏈底層?
- 9 “端到端”風(fēng)口已至?
- 10 小馬智行招股書(shū)曝光:成立8年融資92億,近2年半虧掉23億
- 項(xiàng)目經(jīng)理(汽車(chē)內(nèi)飾&汽車(chē)電子) 伯恩光學(xué)(惠州)有限公司
- 產(chǎn)品工程師(汽車(chē)) 易思維(杭州)科技股份有限公司
- IE工程師(汽車(chē)智聯(lián)) 惠州碩貝德無(wú)線科技股份有限公司
- 結(jié)構(gòu)工程師-汽車(chē)電子事業(yè)部(J10116) 深圳奧尼電子股份有限公司
- 銷(xiāo)售總監(jiān)-汽車(chē)電子方向 深圳市智立方自動(dòng)化設(shè)備股份有限公司
- 銷(xiāo)售經(jīng)理(汽車(chē)新能源行業(yè)) 廣州瑞松智能科技股份有限公司
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷(xiāo)售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷(xiāo)售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市