隨著汽車(chē)軟件升級(jí)逐步在智能網(wǎng)聯(lián)汽車(chē)產(chǎn)品中廣泛應(yīng)用,覆蓋研發(fā)、生產(chǎn)、售后等多個(gè)環(huán)節(jié),對(duì)企業(yè)的技術(shù)水平和管理能力均提出新的要求。若生產(chǎn)企業(yè) OTA 管理不當(dāng)、OTA 技術(shù)不成熟,會(huì)加劇功能實(shí)現(xiàn)的可靠性風(fēng)險(xiǎn),使升級(jí)后的系統(tǒng)將車(chē)輛與駕駛?cè)吮┞对谖粗奈kU(xiǎn)中。本文首先闡述車(chē)聯(lián)網(wǎng)安全現(xiàn)狀,之后結(jié)合 OTA 風(fēng)險(xiǎn)評(píng)估流程對(duì) OTA 帶來(lái)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和功能安全風(fēng)險(xiǎn)進(jìn)行分析,提醒企業(yè)規(guī)避應(yīng)用OTA技術(shù)中面臨的各種安全風(fēng)險(xiǎn)。
一、車(chē)聯(lián)網(wǎng)安全形勢(shì)分析
伴隨智能化、網(wǎng)聯(lián)化的不斷推進(jìn),車(chē)輛開(kāi)放連接逐漸增多,“車(chē)、路、云、網(wǎng)”數(shù)據(jù)交互日益頻繁,車(chē)聯(lián)網(wǎng)領(lǐng)域的安全風(fēng)險(xiǎn)邊界逐漸延伸。車(chē)聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)主要集中在車(chē)端、平臺(tái)、通信、數(shù)據(jù)等方面。
(1)車(chē)端安全風(fēng)險(xiǎn)隱患凸顯
一是車(chē)載軟硬件存在安全隱患。當(dāng)前,汽車(chē)電子電氣架構(gòu)正由分布式向域控集中式架構(gòu)、整車(chē)集中式架構(gòu)不斷發(fā)展,步入軟件定義汽車(chē)時(shí)代。車(chē)載智能網(wǎng)關(guān)、遠(yuǎn)程信息處理控制單元(T-BOX)、電子控制單元(ECU)等車(chē)載聯(lián)網(wǎng)設(shè)備目前尚缺乏較高等級(jí)的安全校驗(yàn)機(jī)制和安全防護(hù)能力,近年來(lái)陸續(xù)披露出一些安全漏洞隱患。
二是車(chē)載網(wǎng)絡(luò)存在安全隱患。CAN 、FlexRay 等車(chē)載網(wǎng)絡(luò)協(xié)議缺乏安全設(shè)計(jì),車(chē)內(nèi)數(shù)據(jù)傳輸主要根據(jù)功能進(jìn)行編碼,按照 ID 進(jìn)行標(biāo)定和接收過(guò)濾,部分僅提供循環(huán)冗余校驗(yàn),缺乏重要數(shù)據(jù)加密、訪問(wèn)認(rèn)證等防護(hù)措施,導(dǎo)致車(chē)載網(wǎng)絡(luò)容易受到嗅探、竊取、偽造、篡改、重放等攻擊威脅,難以保障車(chē)載網(wǎng)絡(luò)的安全性。
(2)車(chē)聯(lián)網(wǎng)平臺(tái)服務(wù)面臨的攻擊威脅加劇
近年來(lái),汽車(chē)遠(yuǎn)程服務(wù)、在線升級(jí)(OTA)平臺(tái)、車(chē)輛調(diào)度平臺(tái)等業(yè)務(wù)服務(wù)快速發(fā)展,用戶(hù)的規(guī)模逐步擴(kuò)大,日漸成為網(wǎng)絡(luò)攻擊的重要目標(biāo)。由于車(chē)端用戶(hù)可通過(guò)車(chē)聯(lián)網(wǎng)平臺(tái)進(jìn)行信息交互、遠(yuǎn)程操作,一旦遭受網(wǎng)絡(luò)攻擊控制,可被利用實(shí)施對(duì)車(chē)輛的遠(yuǎn)程操控,造成嚴(yán)重后果。
(3)車(chē)聯(lián)網(wǎng)通信安全面臨挑戰(zhàn)
當(dāng)前,聯(lián)網(wǎng)車(chē)輛數(shù)量和通信需求不斷增長(zhǎng)。在“車(chē)-云”通信場(chǎng)景下,網(wǎng)絡(luò)隔離不到位、通信協(xié)議存在漏洞隱患、訪問(wèn)接入缺乏安全認(rèn)證等問(wèn)題突出?!败?chē)-設(shè)備”通信場(chǎng)景下,受限于設(shè)備性能等因素,通信安全認(rèn)證機(jī)制尚不完善,存在拒絕服務(wù)攻擊等漏洞隱患,可導(dǎo)致WiFi、藍(lán)牙、智能鑰匙失效[16]。
在OTA功能實(shí)現(xiàn)過(guò)程中,云端、車(chē)端、通信鏈路、升級(jí)包等關(guān)鍵環(huán)節(jié)均存在被攻擊和篡改等安全隱患。OTA網(wǎng)絡(luò)安全態(tài)勢(shì)分析如圖5-1所示。
圖5-1 OTA網(wǎng)絡(luò)安全態(tài)勢(shì)分析圖
二、OTA 風(fēng)險(xiǎn)評(píng)估方法
基于網(wǎng)絡(luò)安全、數(shù)據(jù)安全及功能安全風(fēng)險(xiǎn)評(píng)估理論基礎(chǔ)、現(xiàn)有的威脅分析以及實(shí)踐經(jīng)驗(yàn),結(jié)合汽車(chē)本身的復(fù)雜特性,可建立以資產(chǎn)為核心的汽車(chē)OTA 遠(yuǎn)程升級(jí)安全風(fēng)險(xiǎn)評(píng)估模型。
OTA 風(fēng)險(xiǎn)評(píng)估方法具體參照 ISO 26262《道路車(chē)輛功能安全工程》、ISO/SAE21434《道路車(chē)輛網(wǎng)絡(luò)安全工程》、SAE J3061《信息物理汽車(chē)系統(tǒng)網(wǎng)絡(luò)安全指南》等標(biāo)準(zhǔn),主要評(píng)估對(duì)象包括 OTA 相關(guān)項(xiàng)、組件及漏洞。在相關(guān)標(biāo)準(zhǔn)中定義有 STRIDE、攻擊樹(shù)、EVITA、HEAVENS、OCTAVE、PASTA 等威脅分析和風(fēng)險(xiǎn)評(píng)估方法論,對(duì)這些方法論的對(duì)比和融合后歸納如表5-1所示。
表5-1 OTA 風(fēng)險(xiǎn)評(píng)估歸納表
風(fēng)險(xiǎn)評(píng)估對(duì)象 | 威脅分析方法 | 可行性分析方法 | 影響分析方法 |
OTA相關(guān)項(xiàng)和組件 |
STRIDE模型 攻擊樹(shù)模型 VAST模型 故障樹(shù)模型 … |
基于攻擊潛力的方法 | S(安全)、F(財(cái)務(wù))、O(可操作性)、P(隱私) |
OTA安全漏洞 |
STRIDE模型 故障樹(shù)模型 … |
基于CVSS的方法 |
2.1 OTA 相關(guān)項(xiàng)及組件風(fēng)險(xiǎn)評(píng)估
以威脅分析及風(fēng)險(xiǎn)評(píng)估分析方法TARA 為例, 建立OTA 風(fēng)險(xiǎn)評(píng)估流程,如
圖5-2所示。
圖5-2 TARA 風(fēng)險(xiǎn)評(píng)估流程
2.1.1 安全相關(guān)性判定
在進(jìn)行 TARA 分析前,需要對(duì)相關(guān)項(xiàng)的功能及其運(yùn)行環(huán)境進(jìn)行定義,以充分識(shí)別出資產(chǎn)(包括內(nèi)部實(shí)體、外部實(shí)體、存儲(chǔ)數(shù)據(jù)、數(shù)據(jù)流等),實(shí)體、數(shù)據(jù)被破壞后帶來(lái)的危害場(chǎng)景等。相關(guān)項(xiàng)定義(Item Definition)的目的是了解分析對(duì)象,了解其業(yè)務(wù)、功能、流程、邊界,OTA 相關(guān)項(xiàng)邊界定義如圖5-3所示。
圖5-3 OTA 相關(guān)項(xiàng)邊界定義示意圖
數(shù)據(jù)流圖(Data Flow Diagram)需把該相關(guān)項(xiàng)中每個(gè)功能用到的數(shù)據(jù)標(biāo)識(shí)出來(lái),從哪個(gè)實(shí)體產(chǎn)生,經(jīng)過(guò)哪個(gè)實(shí)體處理,經(jīng)過(guò)哪個(gè)實(shí)體轉(zhuǎn)發(fā)等。數(shù)據(jù)流圖要素的基本符號(hào)如圖5-4所示。
圖5-4 數(shù)據(jù)流圖要素的基本符號(hào)
以 OTA 業(yè)務(wù)為例,參考數(shù)據(jù)流圖如圖5-5所示。
圖5-5 OTA 業(yè)務(wù)參考數(shù)據(jù)流圖
2.1.2資產(chǎn)識(shí)別
資產(chǎn)識(shí)別(Asset Identification),是識(shí)別車(chē)輛在使用的過(guò)程中需要被保護(hù)不受網(wǎng)絡(luò)攻擊的信息,包括了通訊數(shù)據(jù)、用戶(hù)隱私數(shù)據(jù)、ECU 固件、算法等各種類(lèi)型的信息。資產(chǎn)定義的目的是識(shí)別出這些資產(chǎn),確定每項(xiàng)資產(chǎn)的網(wǎng)絡(luò)安全屬性,從而分析出潛在的損害場(chǎng)景。資產(chǎn)識(shí)別過(guò)程表如表5-2所示。
表5-2資產(chǎn)識(shí)別過(guò)程表
資產(chǎn)識(shí)別輸入 | 資產(chǎn)識(shí)別活動(dòng) | 資產(chǎn)識(shí)別輸出 |
已構(gòu)建完成的數(shù)據(jù)流圖 |
1)識(shí)別資產(chǎn):獲得評(píng)估對(duì)象在外部實(shí)體、功能單元、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)流四個(gè)方面的資產(chǎn); 2)識(shí)別危害場(chǎng)景:識(shí)別資產(chǎn)由于喪失安全屬性而出現(xiàn)的危害場(chǎng)景。 |
1)資產(chǎn)和安全屬性; 2)危害場(chǎng) |
資產(chǎn)的網(wǎng)絡(luò)安全屬性通常分為機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真實(shí)性(Authenticity)、授權(quán)性(Authorization)、抗抵賴(lài)性(Non-repudiation)、新鮮性(Freshness)、隱私性(Privacy)。每一個(gè)資產(chǎn)都具有相應(yīng)的網(wǎng)絡(luò)安全屬性如表5-3所示。
經(jīng)以上分析,OTA 過(guò)程中所涉及信息安全資產(chǎn)包括:
零部件資產(chǎn):T-BOX 、CGW、目標(biāo) ECU 及車(chē)載總線;
數(shù)據(jù)資產(chǎn):升級(jí)包、升級(jí)日志和升級(jí)指令等信息;
軟件資產(chǎn):零部件上所運(yùn)行系統(tǒng)和升級(jí)管理程序。
表5-3 OTA 過(guò)程涉及的資產(chǎn)和損害情況(示例)
資產(chǎn)類(lèi)別 | 資產(chǎn)名稱(chēng) | 網(wǎng)絡(luò)安全屬性 | 危害情況 |
零部件資產(chǎn) | T-BOX | 真實(shí)性 | 通過(guò)偽造T-Box 和后臺(tái)的通訊端口,破壞通訊真實(shí)性,使得后臺(tái)的交互指令發(fā)送到非目標(biāo)對(duì)象 |
CGW | 完整性 | 通過(guò)篡改Gateway軟件的工作邏輯,破壞資產(chǎn)的完整性,導(dǎo)致軟件升級(jí)過(guò)程被惡意干擾 | |
ECU | 可用性 | 通過(guò)打亂 ECU 軟件的工作進(jìn)程,使其無(wú)法正常工作,破壞軟件的可用性,導(dǎo)致軟件升級(jí)過(guò)程無(wú)法執(zhí)行 | |
車(chē)載總線 | 可用性 | 通過(guò)干擾車(chē)內(nèi)信號(hào)的交互過(guò)程,破壞車(chē)內(nèi)通訊的可用性,導(dǎo)致軟件升級(jí)過(guò)程無(wú)法正常執(zhí)行 | |
數(shù)據(jù)資產(chǎn) | 升級(jí)包 | 完整性 | 通過(guò)篡改待升級(jí)軟件包的內(nèi)容,破壞其完整性,構(gòu)造出惡意軟件寫(xiě)入車(chē)載ECU,引起車(chē)端功能邏輯錯(cuò)誤 |
升級(jí)日志 | 完整性 | 通過(guò)篡改升級(jí)日志內(nèi)容,破壞數(shù)據(jù)完整性,導(dǎo)致升級(jí)過(guò)程的記錄信息錯(cuò)誤,導(dǎo)致升級(jí)過(guò)程無(wú)法準(zhǔn)確追溯 | |
升級(jí)指令 | 真實(shí)性 | 通過(guò)偽造升級(jí)指令,破壞車(chē)內(nèi)通訊的真實(shí)性,導(dǎo)致軟件升級(jí)過(guò)程出現(xiàn)錯(cuò)誤 | |
軟件資產(chǎn) | 系統(tǒng) | 可用性 | 通過(guò)打亂Gateway軟件的工作進(jìn)程,使其無(wú)法正常工作,破壞軟件的可用性,導(dǎo)致軟件升級(jí)過(guò)程無(wú)法執(zhí)行 |
升級(jí)管理程序 | 可用性 | 通過(guò)干擾升級(jí)管理程序通訊,破壞通訊過(guò)程的可用性,使得升級(jí)交互通訊無(wú)法進(jìn)行 |
2.1.3威脅分析
威脅場(chǎng)景定義是TARA 分析的重要環(huán)節(jié),TARA 最終輸出的風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)處置決策的對(duì)象就是威脅場(chǎng)景。威脅分析過(guò)程如表5-4所示。
表5-4 威脅分析過(guò)程表(示例)
威脅分析輸入 | 威脅分析活動(dòng) | 威脅分析輸出 |
相關(guān)項(xiàng)判定危害場(chǎng)景 |
1)威脅場(chǎng)景識(shí)別,說(shuō)明造成危害的時(shí)機(jī),環(huán)境和攻擊方法等要素(STRIDE 分析) 2)攻擊可行性評(píng)估:確定進(jìn)入目標(biāo)系統(tǒng)的攻擊向量的攻擊潛力 3)影響分析:根據(jù)威脅因素和可能的攻擊路徑推導(dǎo)出相關(guān)項(xiàng)或組件可能受到損害的要素及場(chǎng)景(SFOP定性,HEAVENS) |
1) 威脅場(chǎng)景 2) 攻擊可行性評(píng)級(jí) 3) 影響評(píng)級(jí) |
威脅場(chǎng)景應(yīng)通過(guò)目標(biāo)資產(chǎn)、相關(guān)網(wǎng)絡(luò)安全資產(chǎn)受到的威脅,導(dǎo)致網(wǎng)絡(luò)安全財(cái)產(chǎn)受損的原因推導(dǎo)得出。推導(dǎo)方法包括 EVITA, TVRA, PASTA, STRIDE 等。以O(shè)TA過(guò)程中數(shù)據(jù)資產(chǎn)升級(jí)包的完整性、機(jī)密性、可用性被破壞為例,威脅場(chǎng)景識(shí)別如表5-5所示。
表5-5 威脅場(chǎng)景識(shí)別(示例)
危害情況 | 威脅場(chǎng)景 |
篡改待升級(jí)軟件包內(nèi)容 | 完整性被破壞,升級(jí)無(wú)法正常執(zhí)行 |
破解待升級(jí)軟件包 | 機(jī)密性被破壞,竊取其中的核心算法 |
干擾升級(jí)進(jìn)程 | 構(gòu)造出惡意軟件寫(xiě)入車(chē)載ECU,引起車(chē)端功能邏輯錯(cuò)誤,可用性被破壞或者通過(guò)非法指令導(dǎo)致車(chē)輛運(yùn)行狀態(tài)下,非預(yù)期地進(jìn)入升級(jí)模式 |
攻擊路徑可基于自上而下的攻擊樹(shù);自下而上的告警日志、以往安全事件確定的漏洞等方式推導(dǎo)得出。對(duì)于每一個(gè)攻擊路徑可基于多維度的攻擊潛力難度系數(shù)得出攻擊潛力值,以及攻擊可行性等級(jí),如表5-6所示。
表5-6 攻擊可行性評(píng)估(示例)
影響等級(jí)可分為嚴(yán)重(Server)、主要(Major)、中等(Moderate)、可忽略(Negligible)四個(gè)等級(jí),并通過(guò)危害對(duì)功能安全(Safety)、財(cái)務(wù)(Financial)、可操作性(Operational)、隱私(Privacy)等維度的影響評(píng)估來(lái)確定危害的綜合影響等級(jí)和影響值,如表5-7所示。在實(shí)際的影響等級(jí)評(píng)估中,也可以采用 HEAVENS 方法中提出的定量評(píng)估方法,其中安全和財(cái)產(chǎn)的影響水平具有較高的權(quán)重(0~1000),操作和隱私方面的損害影響相對(duì)較低,權(quán)重也較低(0~100)。
表5-7 OTA 影響等級(jí)分析(示例)
2.1.4確認(rèn)風(fēng)險(xiǎn)值
通過(guò)結(jié)合安全風(fēng)險(xiǎn)的業(yè)務(wù)影響評(píng)級(jí)和攻擊可行性評(píng)級(jí),依據(jù)風(fēng)險(xiǎn)評(píng)估矩陣評(píng) 定風(fēng)險(xiǎn)等級(jí),確定安全風(fēng)險(xiǎn)的處置優(yōu)先級(jí),為后續(xù)的韌性處置方案設(shè)定評(píng)級(jí)目標(biāo)。風(fēng)險(xiǎn)值確認(rèn)過(guò)程參見(jiàn)表 5-8。
表5-8 風(fēng)險(xiǎn)值確認(rèn)過(guò)程表
輸入 | 風(fēng)險(xiǎn)值確認(rèn)活動(dòng) | 輸出 |
1)威脅場(chǎng)景 2)攻擊可行性評(píng)級(jí) 3)影響評(píng)級(jí) |
確定每個(gè)威脅場(chǎng)景的風(fēng)險(xiǎn)值,風(fēng)險(xiǎn)值可分為:可忽略不計(jì),低危,中危,高危,嚴(yán)重 | 風(fēng)險(xiǎn)值 |
根據(jù)表5-9風(fēng)險(xiǎn)評(píng)估矩陣識(shí)別風(fēng)險(xiǎn)值 R。
表5-9 風(fēng)險(xiǎn)評(píng)估矩陣
根據(jù)表5-10進(jìn)行風(fēng)險(xiǎn)值分析。
表5-10 風(fēng)險(xiǎn)值分析(示例)
2.1.5風(fēng)險(xiǎn)處置
根據(jù)風(fēng)險(xiǎn)處置方案思維導(dǎo)圖,借助風(fēng)險(xiǎn)處置庫(kù),設(shè)計(jì)風(fēng)險(xiǎn)處置的韌性方案。在風(fēng)險(xiǎn)處置方案設(shè)計(jì)完成后,通過(guò)再次評(píng)估,判斷參與風(fēng)險(xiǎn)是否降至風(fēng)險(xiǎn)等級(jí)目標(biāo)。若殘余風(fēng)險(xiǎn)仍未達(dá)到風(fēng)險(xiǎn)等級(jí)目標(biāo),需根據(jù)業(yè)務(wù)的實(shí)際情況,考慮是否接受殘余風(fēng)險(xiǎn)或進(jìn)一步增強(qiáng)處置措施形成最終風(fēng)險(xiǎn)處置方案。風(fēng)險(xiǎn)處置活動(dòng)參見(jiàn)表5-11、表5-12。
表5-11 風(fēng)險(xiǎn)處置過(guò)程表
輸入 | 風(fēng)險(xiǎn)處置活動(dòng) | 輸出 |
1)相關(guān)項(xiàng)定義 2)威脅情況 3)風(fēng)險(xiǎn)值 |
對(duì)于每種威脅場(chǎng)景,結(jié)合其風(fēng)險(xiǎn)值及其等級(jí),確定風(fēng)險(xiǎn)接收、風(fēng)險(xiǎn)緩解、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移四種中一種或多種風(fēng)險(xiǎn)處置方案。 | 風(fēng)險(xiǎn)處理決定 |
表5-12 風(fēng)險(xiǎn)處置活動(dòng)(示例)
威脅情況 | 風(fēng)險(xiǎn)值 | 風(fēng)險(xiǎn)處理方案 |
通過(guò)篡改/偽造升級(jí)包內(nèi)容,使升級(jí)無(wú)法正常執(zhí)行——OTA平臺(tái)網(wǎng)頁(yè)漏洞掃描-網(wǎng)頁(yè)掃描/系統(tǒng)漏洞-發(fā)現(xiàn)下載升級(jí)包鏈接-獲取升級(jí)包-篡改升級(jí)包內(nèi)容 | 低危(2) | 降低風(fēng)險(xiǎn):不存在由權(quán)威漏洞平臺(tái)公開(kāi)發(fā)布 6個(gè)月及以上且未經(jīng)處置的高危安全漏洞;關(guān)鍵零部件應(yīng)具有存儲(chǔ)和隔離敏感數(shù)據(jù)的安全區(qū)域或安全模塊;具有防止非授權(quán)獲取或篡改在安全區(qū)域或安全模塊中一次性寫(xiě)入的敏感信息的功能 |
通過(guò)獲取并破解待升級(jí)軟件包,竊取其中核心算法——通過(guò)汽車(chē)遠(yuǎn)程升級(jí)平臺(tái)或管理平臺(tái)數(shù)據(jù)庫(kù)暴露的后門(mén)端口竊取 | 中(3) | 降低風(fēng)險(xiǎn):在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處,如互聯(lián)網(wǎng)邊界處,合理部署可對(duì)攻擊行為進(jìn)行檢測(cè)、阻斷或限制的防護(hù)設(shè)備;關(guān)閉云平臺(tái)不使用的端口,例如TCP、UDP上層應(yīng)用端口默認(rèn)全部關(guān)閉,并根據(jù)實(shí)際業(yè)務(wù)需要開(kāi)啟特定端口(例如 SSH 22、HTTPS 443);按照一定的安全規(guī)則(參數(shù)包括:協(xié)議類(lèi)型、端口范圍、主機(jī) IP、網(wǎng)段 IP 等)進(jìn)行訪問(wèn);配置信息應(yīng)指定端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信,指定端口應(yīng)配置并啟用安全策略。建議只開(kāi)放業(yè)務(wù)端口 |
通過(guò)干擾升級(jí)過(guò)程,導(dǎo)致升級(jí)無(wú)法正常執(zhí)行或非法升級(jí)——偽造升級(jí)指令,使車(chē)輛執(zhí)行非預(yù)期的刷新動(dòng)作和升級(jí) | 低危(2) | 降低風(fēng)險(xiǎn):使用安全機(jī)制確保傳輸數(shù)據(jù)(例如:車(chē)輛控制指令等)的完整性和可用性。包括車(chē)內(nèi)網(wǎng)絡(luò)通信完整性檢驗(yàn)采用 MAC、車(chē)內(nèi)網(wǎng)絡(luò)通信采用SECOC、消息新鮮碼等防重放攻擊機(jī)制;應(yīng)采用控制策略避免大量集中向 CAN 總線發(fā)送數(shù)據(jù)包,以避免造成總線擁塞和拒絕服務(wù) |
2.1.6處置跟蹤驗(yàn)證
對(duì)上述修復(fù)的結(jié)果進(jìn)行測(cè)試驗(yàn)證,由相關(guān)技術(shù)人員或第三方根據(jù)處置方案進(jìn)行測(cè)試驗(yàn)證。
2.1.7殘余風(fēng)險(xiǎn)評(píng)估
殘余風(fēng)險(xiǎn)主要方式產(chǎn)生如表5-13所示。針對(duì)殘余風(fēng)險(xiǎn)應(yīng)重新進(jìn)行特定范圍的風(fēng)險(xiǎn)評(píng)估,并識(shí)別是否達(dá)到可接受風(fēng)險(xiǎn)水平。處于不可接受范圍的殘余風(fēng)險(xiǎn)須進(jìn)一步增加相應(yīng)的管理和控制措施,在所有的殘余風(fēng)險(xiǎn)處于可接受范圍的水平后,應(yīng)發(fā)布風(fēng)險(xiǎn)聲明并加強(qiáng)日常網(wǎng)絡(luò)安全監(jiān)測(cè)。
表5-13 殘余風(fēng)險(xiǎn)產(chǎn)生方式
產(chǎn)生方式 | 解釋 |
有意識(shí)接受的風(fēng)險(xiǎn) | 指的是在風(fēng)險(xiǎn)處置階段,通過(guò)風(fēng)險(xiǎn)接受或風(fēng)險(xiǎn)轉(zhuǎn)移方式所衍生的殘余風(fēng)險(xiǎn); |
已識(shí)別但誤判斷的風(fēng)險(xiǎn) | 指的是在風(fēng)險(xiǎn)評(píng)估階段已完成識(shí)別的風(fēng)險(xiǎn)項(xiàng),但由于風(fēng)險(xiǎn)評(píng)級(jí)識(shí)別錯(cuò)誤,導(dǎo)致在測(cè)試驗(yàn)證階段發(fā)現(xiàn)殘余風(fēng)險(xiǎn)無(wú)法達(dá)到可接受風(fēng)險(xiǎn)水平; |
未識(shí)別風(fēng)險(xiǎn) | 指的是在風(fēng)險(xiǎn)處置或測(cè)試驗(yàn)證階段,識(shí)別出存在其他安全威脅的風(fēng)險(xiǎn); |
2.1.8風(fēng)險(xiǎn)閉環(huán)
梳理風(fēng)險(xiǎn)評(píng)估流程文檔,為后續(xù)網(wǎng)絡(luò)安全日常運(yùn)維或安全審計(jì)提供支持。
2.2 OTA 安全漏洞風(fēng)險(xiǎn)評(píng)估
OTA 安全漏洞指硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在缺陷,從而使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。應(yīng)對(duì)安全漏洞進(jìn)行識(shí)別、風(fēng)險(xiǎn)評(píng)估、修復(fù)、測(cè)試驗(yàn)證等操作以保證系統(tǒng)安全。以下提供了安全漏洞處置流程及技術(shù)方法,可用于針對(duì)某 OTA 業(yè)務(wù)場(chǎng)景所涉及零部件和環(huán)境進(jìn)行漏掃,以得出具體漏洞信息。OTA 安全漏洞評(píng)估流程見(jiàn)圖5-6。
圖5-6 OTA安全漏洞風(fēng)險(xiǎn)評(píng)估流程圖
2.2.1漏洞識(shí)別
漏洞識(shí)別方式:漏洞公告、漏洞掃描、滲透測(cè)試、白帽測(cè)試等;
漏洞類(lèi)型識(shí)別:如 STIRDE 威脅模型中的仿冒、篡改、信息泄露等類(lèi)型。
2.2.2風(fēng)險(xiǎn)評(píng)估定級(jí)
Common Vulnerability Scoring System(CVSS)提供了一種方法來(lái)描述可利用性的主要特征,并生成分值反應(yīng)其嚴(yán)重程度,使得人們確定處理它們的優(yōu)先級(jí)[17]。
CVSS 評(píng)分方法如表5-14所示。
表5-14 CVSS 評(píng)分方法
CVSS 可利用性值與攻擊可行性的映射示例如表5-15所示。
表5-15 基于CVSS的攻擊可利用性映射表
CVSS 可利用性值:E | 攻擊可行性評(píng)級(jí) |
2.96-3.89 | 高 |
2.00-2.95 | 中等 |
1.06-1.99 | 低 |
0.12-1.05 | 非常低 |
2.2.3修復(fù)可行性評(píng)估
修復(fù)可行性評(píng)估首先需要根據(jù)上文風(fēng)險(xiǎn)處置的方式初步篩選出漏洞的處置方式,針對(duì)具體的修復(fù)方式(如補(bǔ)丁升級(jí)、版本升級(jí)、更換組件等)進(jìn)行測(cè)試驗(yàn)證,評(píng)估對(duì) OTA 系統(tǒng)是否造成影響或引入新的高危及以上風(fēng)險(xiǎn)。
2.2.4測(cè)試驗(yàn)證
對(duì)已經(jīng)修復(fù)的漏洞進(jìn)行測(cè)試驗(yàn)證,如重新漏洞掃描、滲透測(cè)試、人工復(fù)現(xiàn)等
進(jìn)行驗(yàn)證。
2.2.5閉環(huán)
在測(cè)試驗(yàn)證階段確認(rèn)漏洞修復(fù)有效后,對(duì)相關(guān)風(fēng)險(xiǎn)評(píng)估和測(cè)試驗(yàn)證過(guò)程文檔進(jìn)行歸檔保存,最后可流程閉環(huán)。
三、OTA 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
根據(jù) OTA威脅分析和風(fēng)險(xiǎn)評(píng)估流程,OTA面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括 OTA平臺(tái)安全風(fēng)險(xiǎn)、通信安全風(fēng)險(xiǎn)、車(chē)端安全風(fēng)險(xiǎn)和升級(jí)包安全風(fēng)險(xiǎn)。
3.1 OTA 平臺(tái)安全風(fēng)險(xiǎn)
OTA 平臺(tái)安全風(fēng)險(xiǎn)主要包括云平臺(tái)自身安全、第三方應(yīng)用安全兩個(gè)主要方面。
(1)云平臺(tái)自身安全風(fēng)險(xiǎn)
OTA 平臺(tái)大多數(shù)部署在云端服務(wù)器中,會(huì)面臨傳統(tǒng)云平臺(tái)的所有安全威脅,包括網(wǎng)絡(luò)威脅、主機(jī)威脅、應(yīng)用威脅、數(shù)據(jù)威脅等。攻擊者利用 Web 漏洞、數(shù)據(jù)庫(kù)漏洞、接口 API 安全注入漏洞等手段發(fā)起 DDoS 攻擊、MITC 攻擊、跨云攻擊、編排攻擊、加密劫持等,可能導(dǎo)致 AccessKey 泄露風(fēng)險(xiǎn)、用戶(hù)敏感信息泄露、推送的升級(jí)包被篡改、升級(jí)策略更改等風(fēng)險(xiǎn)。
(2)第三方應(yīng)用安全風(fēng)險(xiǎn)
隨著車(chē)載平臺(tái)的發(fā)展,第三方應(yīng)用也會(huì)隨之增長(zhǎng),第三方應(yīng)用的 OTA 也將會(huì)成為一個(gè)很重要的部分。升級(jí)后的第三方產(chǎn)品可能存在系統(tǒng)兼容性或者系統(tǒng)漏洞,甚至嚴(yán)重的 BUG,所以 OTA 平臺(tái)也需要考慮到第三方應(yīng)用的升級(jí)流程與規(guī)范要求。
3.2 通信安全風(fēng)險(xiǎn)
OTA 通信安全風(fēng)險(xiǎn)主要包括身份認(rèn)證、傳輸加密、中間人攻擊三個(gè)主要方面。
(1)身份認(rèn)證安全風(fēng)險(xiǎn)
身份認(rèn)證風(fēng)險(xiǎn)體現(xiàn)在通信過(guò)程中未對(duì)通信對(duì)象進(jìn)行有效身份驗(yàn)證,攻擊者通過(guò)使用基站偽造、身份偽造、動(dòng)態(tài)劫持等方式冒充合法參與者,參與車(chē)云通信,非法監(jiān)聽(tīng)通信信息。例如,OTA 云服務(wù)推送軟件升級(jí)包到車(chē)端的過(guò)程,若采用弱認(rèn)證方式或明文傳輸,容易遭受中間人攻擊、竊聽(tīng)攻擊等。終端下載升級(jí)包的傳輸流程中,如果終端在升級(jí)流程中同時(shí)缺少驗(yàn)證機(jī)制,那么被篡改的升級(jí)包即可順利完成升級(jí)流程,達(dá)到篡改系統(tǒng),植入后門(mén)等惡意程序的目的。攻擊者還可能對(duì)升級(jí)包進(jìn)行解包分析、篡改升級(jí)包信息等,或者獲取一些可利用的信息,如漏洞補(bǔ)丁等,可能導(dǎo)致關(guān)鍵信息泄露、代碼業(yè)務(wù)邏輯泄露等風(fēng)險(xiǎn)。
(2)傳輸過(guò)程安全風(fēng)險(xiǎn)
傳輸風(fēng)險(xiǎn)主要發(fā)生在車(chē)輛通信信息在未進(jìn)行加密、加密強(qiáng)度較弱、密鑰信息暴露等情況下,導(dǎo)致容易遭受惡意攻擊,造成通信信息的泄漏、非法篡改和破壞。例如,云端與車(chē)端的通信過(guò)程若采用不安全的通信協(xié)議或通信過(guò)程不采用認(rèn)證機(jī)制、明文通信等,容易遭受中間人攻擊、竊聽(tīng)攻擊、重放攻擊、DoS 攻擊等,可能導(dǎo)致車(chē)端升級(jí)信息錯(cuò)誤、敏感信息泄露、拒絕服務(wù)等風(fēng)險(xiǎn)。
(3)中間人攻擊安全風(fēng)險(xiǎn)
中間人攻擊體現(xiàn)在協(xié)議鏈路層通信未進(jìn)行加密,攻擊者可以通過(guò)抓取鏈路層標(biāo)識(shí)實(shí)現(xiàn)會(huì)話劫持,攻擊者可以基于中間人偽造協(xié)議而實(shí)施對(duì)升級(jí)包的篡改,竊取等。此外,在自動(dòng)駕駛情況下,汽車(chē)使用了篡改后的升級(jí)包,攻擊者通過(guò)利用升級(jí)包中預(yù)植的木馬,干擾車(chē)輛正??刂?,帶來(lái)交通安全風(fēng)險(xiǎn)。
3.3 車(chē)端安全風(fēng)險(xiǎn)
車(chē)端安全風(fēng)險(xiǎn)主要包括版本回退、車(chē)端升級(jí)程序被破解繞過(guò)、拒絕更新三個(gè)主要方面。此外,車(chē)端系統(tǒng)出現(xiàn)公開(kāi)漏洞,若不及時(shí)進(jìn)行修復(fù),可能導(dǎo)致黑客利用漏洞進(jìn)行攻擊,造成車(chē)輛、財(cái)產(chǎn)乃至人身安全風(fēng)險(xiǎn)。
(1)版本回退風(fēng)險(xiǎn)
一般場(chǎng)景下的升級(jí)都是由低版本升級(jí)到高版本系統(tǒng),但如果車(chē)端升級(jí)未對(duì)升級(jí)包版本進(jìn)行判斷,攻擊者可以利用此漏洞,使用存在已知安全漏洞的低版本系統(tǒng)覆蓋現(xiàn)有的系統(tǒng),將導(dǎo)致車(chē)輛面臨安全風(fēng)險(xiǎn)。
(2)車(chē)端升級(jí)程序被破解繞過(guò)
按照OTA和安全相關(guān)的國(guó)際和國(guó)家標(biāo)準(zhǔn)要求,升級(jí)過(guò)程都需要在車(chē)輛端對(duì)升級(jí)包進(jìn)行加密和簽名驗(yàn)證等一系列驗(yàn)證環(huán)節(jié),經(jīng)過(guò)驗(yàn)證的升級(jí)包才能進(jìn)行正常的升級(jí)流程。如果驗(yàn)證的算法過(guò)于簡(jiǎn)單或者驗(yàn)證流程存在漏洞,攻擊者可以利用這些漏洞構(gòu)造有效的升級(jí)包或者繞過(guò)驗(yàn)證流程,在部件上加載運(yùn)行惡意篡改過(guò)的固件,對(duì)車(chē)輛進(jìn)行進(jìn)一步的攻擊或者控制等惡意行為。
(3)拒絕更新風(fēng)險(xiǎn)
在車(chē)輛升級(jí)過(guò)程中,攻擊者可能會(huì)阻止車(chē)輛修復(fù)功能漏洞,通過(guò)控制車(chē)輛拒絕訪問(wèn)更新而無(wú)法解決車(chē)輛潛在漏洞或其他問(wèn)題。常見(jiàn)的攻擊方式包括:通過(guò)阻斷或攔截外部或內(nèi)部網(wǎng)絡(luò)通信流量,阻止車(chē)端 ECU 接收任何更新。
3.4 升級(jí)包安全風(fēng)險(xiǎn)
涉及升級(jí)包的應(yīng)用場(chǎng)景分為升級(jí)包車(chē)云傳輸、升級(jí)包車(chē)內(nèi)傳輸、升級(jí)包安裝。三類(lèi)應(yīng)用場(chǎng)景中,升級(jí)包安全風(fēng)險(xiǎn)主要包括升級(jí)包信息泄露、升級(jí)包信息篡改、升級(jí)包信息偽造三個(gè)主要方面。
(1)OTA 升級(jí)包信息泄露風(fēng)險(xiǎn)
OTA 升級(jí)包的機(jī)密性破壞,攻擊者可輕易捕獲并分析通信數(shù)據(jù),導(dǎo)致升級(jí)包信息泄露風(fēng)險(xiǎn)。
(2)OTA 升級(jí)包信息篡改風(fēng)險(xiǎn)
OTA 升級(jí)包的完整性破壞,攻擊者獲取OTA 通信數(shù)據(jù)并進(jìn)行篡改,造成升級(jí)包被篡改或升級(jí)指令錯(cuò)誤。
(3)OTA 升級(jí)包信息偽造風(fēng)險(xiǎn)
車(chē)云之間失去身份的真實(shí)性,攻擊者偽造非法信息進(jìn)入平臺(tái)或車(chē)輛,導(dǎo)致下發(fā)惡意升級(jí)指令或上傳虛假信息等。
(4)OTA 升級(jí)包代碼安全風(fēng)險(xiǎn)
未對(duì)升級(jí)包進(jìn)行代碼檢測(cè),以及對(duì)代碼所應(yīng)用的第三方開(kāi)源代碼進(jìn)行溯源和分析,導(dǎo)致升級(jí)包中存在缺陷(bug)。
四、OTA 數(shù)據(jù)安全風(fēng)險(xiǎn)分析
汽車(chē)OTA帶來(lái)對(duì)已售車(chē)型大量應(yīng)用服務(wù)的數(shù)據(jù)井噴,還面臨在保證用戶(hù)個(gè)人信息安全的前提下,企業(yè)如何實(shí)施數(shù)據(jù)利用共享,OTA 相關(guān)數(shù)據(jù)如何跨境流通等問(wèn)題。這些安全風(fēng)險(xiǎn)都對(duì)企業(yè)的合規(guī)管理與創(chuàng)新發(fā)展提出新的要求。
4.1 用戶(hù)隱私信息泄漏風(fēng)險(xiǎn)
汽車(chē)遠(yuǎn)程升級(jí)整個(gè)過(guò)程中涉及到云端服務(wù)器安全、車(chē)端安全、車(chē)云通信安全,也關(guān)系到生產(chǎn)者、用戶(hù)及汽車(chē)軟件供應(yīng)商等其他主體之間的數(shù)據(jù)收集、數(shù)據(jù)傳輸?shù)榷鄠€(gè)處理環(huán)節(jié)。在這些過(guò)程之中如果存在網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn),可能導(dǎo)致 OTA 系統(tǒng)遭受破壞,不法分子可以通過(guò) OTA 系統(tǒng)窺探到用戶(hù)的隱私信息,如車(chē)輛位置、行車(chē)路線等行為習(xí)慣。同時(shí),第三方應(yīng)用平臺(tái)可能存在非法獲取其他應(yīng)用和車(chē)載端數(shù)據(jù)的風(fēng)險(xiǎn)。
4.2 數(shù)據(jù)出境合規(guī)風(fēng)險(xiǎn)
隨著系列政策文件均提出汽車(chē)產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)出境管理要求,智 能網(wǎng)聯(lián)汽車(chē)作為重點(diǎn)監(jiān)管對(duì)象,產(chǎn)生的大量數(shù)據(jù)為數(shù)據(jù)跨境管理帶來(lái)新的風(fēng)險(xiǎn)。對(duì)跨國(guó)企業(yè)而言,涉及技術(shù)研發(fā)的數(shù)據(jù)免不了出境或遠(yuǎn)程跨國(guó)訪問(wèn),若分布于各國(guó)的數(shù)據(jù)只能本地存儲(chǔ)而無(wú)法出境交互,將動(dòng)搖跨國(guó)車(chē)企一直以來(lái)采取的開(kāi)發(fā)、維護(hù)、集中化管理模式,導(dǎo)致車(chē)企需重新對(duì)一國(guó)市場(chǎng)進(jìn)行單獨(dú)資源調(diào)配,建立和總部一致的技術(shù)團(tuán)隊(duì),成本不可估量[18]。因此在車(chē)輛售出后, 面對(duì)遠(yuǎn)程升級(jí)需要的軟件版本號(hào)、升級(jí)包名稱(chēng)、升級(jí)時(shí)間等決定功能實(shí)現(xiàn)的數(shù)據(jù)如何合法地出境流動(dòng)仍然存在管理規(guī)定不明晰帶來(lái)的風(fēng)險(xiǎn)。
五、OTA 功能安全風(fēng)險(xiǎn)分析
當(dāng)涉及車(chē)輛核心功能如動(dòng)力、制動(dòng)和電池管理系統(tǒng)等模塊的遠(yuǎn)程升級(jí)時(shí),可能對(duì)車(chē)輛的功能安全帶來(lái)新的挑戰(zhàn),升級(jí)后的系統(tǒng)將車(chē)輛與駕駛?cè)吮┞对谖粗奈kU(xiǎn)中。OTA 功能安全風(fēng)險(xiǎn)可舉例為:
5.1 車(chē)端升級(jí)條件判斷不當(dāng)導(dǎo)致的安全風(fēng)險(xiǎn)
車(chē)輛遠(yuǎn)程升級(jí)是一個(gè)比較長(zhǎng)的過(guò)程,而且升級(jí)過(guò)程中車(chē)輛大部分功能可能無(wú)法正常使用,所以一般都要求車(chē)輛在P檔、電池電量充足等一定條件下才能進(jìn)行。如果車(chē)輛對(duì)于升級(jí)條件的判斷存在問(wèn)題,可能導(dǎo)致在非預(yù)想的情況下觸發(fā)升級(jí)事件,對(duì)車(chē)輛和車(chē)內(nèi)人員人身安全造成威脅。
5.2 車(chē)端升級(jí)失敗導(dǎo)致的車(chē)輛功能不可用
在車(chē)輛升級(jí)過(guò)程中可能出現(xiàn)斷電等異常情況導(dǎo)致升級(jí)失敗的情況,如果沒(méi)有對(duì)升級(jí)失敗的情況進(jìn)行妥善的容災(zāi)處理,可能導(dǎo)致車(chē)輛無(wú)法啟動(dòng),甚至零部件損壞等嚴(yán)重事件。
5.3 OTA 升級(jí)軟件自身缺陷導(dǎo)致的風(fēng)險(xiǎn)
軟件更新后未進(jìn)行充分驗(yàn)證和測(cè)試就直接部署到車(chē)輛上,軟件自身的缺陷可能會(huì)使軟件運(yùn)行出現(xiàn)意外行為,導(dǎo)致系統(tǒng)崩潰、觸發(fā)車(chē)輛失控等安全事故。
5.4 軟件不兼容風(fēng)險(xiǎn)
在車(chē)輛升級(jí)過(guò)程中,升級(jí)軟件可能引入新的功能和接口,如果車(chē)輛硬件不支
持或不兼容,可能導(dǎo)致升級(jí)后系統(tǒng)無(wú)法正常工作,造成行車(chē)安全隱患。
為應(yīng)對(duì)上述 OTA 安全風(fēng)險(xiǎn),總體來(lái)說(shuō),在云平臺(tái)端可采用證書(shū),簽名和加密機(jī)制,負(fù)責(zé)為 OTA 服務(wù)平臺(tái)提供安全服務(wù),包括密鑰證書(shū)管理服務(wù),數(shù)據(jù)加密服務(wù),數(shù)字簽名服務(wù)等,保證升級(jí)包不會(huì)隨意被制作和發(fā)布,升級(jí)包的內(nèi)容不會(huì)被惡意獲取。在通信鏈路端,可通過(guò)可靠的物理鏈路和安全傳輸協(xié)議來(lái)保證網(wǎng)絡(luò)傳輸安全。在車(chē)端,可通過(guò)汽車(chē)的功能域隔離,劃分不同 ASIL 等級(jí),通過(guò)冗余設(shè)計(jì)保證整車(chē)的功能可靠性;車(chē)輛終端 OTA 組件對(duì)升級(jí)包進(jìn)行合法性驗(yàn)證,適配安全升級(jí)流程,通過(guò)安全啟動(dòng)來(lái)保證可信的軟件在 ECU 上加載啟動(dòng)運(yùn)行。
審核編輯:劉清
-
電子控制
+關(guān)注
關(guān)注
1文章
68瀏覽量
21597 -
OTA
+關(guān)注
關(guān)注
7文章
559瀏覽量
35062 -
車(chē)聯(lián)網(wǎng)
+關(guān)注
關(guān)注
76文章
2548瀏覽量
91451 -
智能網(wǎng)聯(lián)汽車(chē)
+關(guān)注
關(guān)注
9文章
989瀏覽量
31021
原文標(biāo)題:詳解汽車(chē)OTA的安全風(fēng)險(xiǎn)
文章出處:【微信號(hào):智能汽車(chē)電子與軟件,微信公眾號(hào):智能汽車(chē)電子與軟件】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論