这篇文章不仅针对已经被黑客攻击的组织......即使你(错误地)认为你不可能受到网络攻击,未来的法规和即将到来的认证计划已经计划将网络安全作为核心组成部分,从2024年开始由制造商展示。事实上,联合国欧洲经济委员会世界车辆法规协调论坛在2020年6月通过了两项新的网络安全法规(WP.29法规)--一项是ECU网络安全,一项是软件更新,它们要求汽车制造商在四个领域实施控制流程。
- 管理车辆网络风险
- 通过 "设计 "确保车辆安全,以减少技术架构或通过供应链合作伙伴引入风险的可能性。
- 检测和应对整个车队的安全事件
- 为每辆车的整个生命周期提供软件更新
虽然WP.29网络安全合规性的执行日期可能看起来比较遥远--例如在欧盟,制造商必须能够证明所有车辆(包括新车型和旧车型)在2024年7月之前都符合网络安全合规性,才能获得车辆类型批准(新开发的汽车系列的截止日期提前两年)。鉴于新车型的开发周期通常在三到四年左右,这是一个重大挑战。换句话说,为2022年或2024年法规生效时开发新车型的工程师已经进入他们的开发项目,现在必须在他们的设计中加装网络安全。
网络安全对汽车行业意味着什么?
在几乎所有的行业中,有太多的组织从未将网络安全方面纳入其流程,并认为执行渗透测试就足以识别所有的漏洞,修补它们,并提供所谓的 "安全产品 "或运行一个 "安全的基础设施"。不幸的是,网络安全不能仅仅局限于在目标中增加一些技术安全功能。与功能安全类似,网络安全应被视为一个完整的生命周期,需要一个整体的方法来处理新类型的风险,主要是由越来越多的连接系统引起的。
通过整体的方法,网络安全标准试图从三个方面解决网络风险。
- 技术措施
- 流程
- 人为因素
为了解决汽车行业的网络安全问题,SAE J3061(《网络物理车辆系统网络安全指南》)已于2016年1月发布。这份文件被认为是有史以来第一个汽车相关系统的网络安全参考。即使它被认为是一个参考,这份文件也没有提供任何正式的要求,因为它的目的是作为一个指导,而不是一个真正的标准。基于该文件和其他网络安全的具体文件,并为了满足行业对建立共同网络安全要求的要求,2016年10月启动了一个新文件的开发:"ISO21434 - 道路车辆的网络安全"。这个全新的标准目前正处于最后的草案版本(FDIS发布),其正式发布计划在2021年第一季度至第二季度。
ISO21434与著名的ISO26262紧密结合,后者定义了汽车行业功能安全生命周期的要求。这种一致性背后的战略是明确的:使网络安全实践的整合对汽车利益相关者来说尽可能的实用和容易。目前的问题仍然是在这种情况下对网络安全意义的理解。
既然我的产品已经被认为是安全的,我为什么还要注意网络安全?
ISO26262涵盖了可靠性和功能安全。然而,在风险方面,针对系统的故意和恶意攻击并没有被这些标准所涉及。这些情况在未来会越来越多地出现在联网甚至是自动驾驶汽车上。下面的表述说明了可靠性、功能安全和网络安全问题之间的差异。
传统的方法(质量、可靠性和功能安全)要求从概念阶段就开始进行分析,重点是系统本身和可能影响其环境的潜在后果。对于网络安全,我们现在要谈的是同一硬币的第二面:分析环境对同一系统的潜在影响。
让我们以上面描述的系统为例,从自动驾驶汽车和红绿灯的检测系统进行说明。
- 关于检测功能,如果一些系统的限制导致了风险(例如,没有交通灯检测导致碰撞),我们将谈论安全问题。
- 现在,如果检测系统工作良好,但攻击者能够发送恶意信息,在交通灯为红灯时再现绿灯,那么同样的崩溃风险也是存在的,但风险来源是强烈不同的。我们现在讨论的是网络安全问题。
接口和通信被认为是评估系统网络安全的关键因素。在特定情况下对这种高层次系统威胁的分析被称为威胁模型,在汽车工业中通过所谓的 威胁分析和风险评估(TARA)来记录。这个工作成果应该是记录针对特定系统的全部潜在威胁。网络安全的世界比其他传统领域(如功能安全)更加动态,因为每天都有新发现的0天攻击。这意味着组织应该意识到威胁景观的演变,并定期更新每个特定产品的威胁模型,以确保系统的安全。
这种模式与功能安全有很大的不同,在功能安全方面,只要系统经过认证且未被修改,就会被认为是安全的。对于网络安全来说,一个系统将根据其威胁模型进行评估,该模型每天甚至每秒都在变化。因此,这意味着今天的认证产品在一段时间后可能会失去其安全考虑,如果一个漏洞存在而没有被修补,或至少被处理。
这突出了一个事实,即网络安全应被视为一个持续的过程,而不是要达到的单一目标。这就是为什么我们在讨论任何产品认证之前要讨论网络安全管理系统的认证的关键原因。
如何在我的组织内启动网络安全活动的整合?
如上所述,ISO21434和ISO26262的统一是一个机会,让组织重新使用一些FuSa流程,但具有网络安全的色彩。
一个好的方法是分析当前的一套组织流程,并评估在这些流程中整合网络安全的方式。有两种选择。
- 将网络安全直接整合到现有流程中,或
- 建立一套具体的网络安全流程,并在这些活动和其他相关活动(质量、功能安全或任何其他活动)之间整合一些接口。
两者都有可能,每个组织的情况基本上都不同。主要的目标是确定最有效的解决方案来处理网络安全。只有在建立一个符合要求的CSMS之后,才是你动手的时候,开始考虑你的威胁模型。
一目了然...
即将出台的汽车网络安全标准将不会重新发明车轮。它将基于其他行业已经标准化的最先进的做法(包括技术和流程),但在其生命周期的整合方面具有汽车的特色。事实上,一旦开始开发,ISO21434已经自愿与功能安全生命周期(ISO26262)保持一致,以使其整合对汽车利益相关者尽可能实用。
当然,尽管有这种标准的统一,但在一个组织中整合最佳的网络安全实践并不是那么简单的。它需要建立一个强大的网络安全文化和额外的能力,以便能够以有效的方式处理这些问题。
基于这些考虑,CertX为支持汽车组织提出了几种类型的服务。
- 对工程师和管理人员进行培训和认证
- 网络安全。ISO21434, Sae J3061, ISO27K, EU-GDPR
- 功能安全。ISO26262, IEC61508, ISO13849
- 其他。SOTIF, ASPICE
- 差距分析,根据标准化的要求评估你目前的状况
- 网络安全检查,确定你系统中最薄弱的地方
- 支持建立认证战略
- 网络安全管理系统(CSMS)和汽车部件/系统的认证
如果你有任何关于网络安全的问题,在汽车领域或任何其他工业领域,请不要犹豫,联系我们的网络安全专家。基里安-马蒂