商業(yè)領(lǐng)域的IT系統(tǒng)和嵌入式產(chǎn)品的IT系統(tǒng)正在融合為一種多功能系統(tǒng)。相應(yīng)地,關(guān)注汽車網(wǎng)絡(luò)安全的ISO 21434標(biāo)準(zhǔn)應(yīng)運(yùn)而生。該標(biāo)準(zhǔn)的意義在于提供了一個(gè)指南,可用于降低產(chǎn)品、項(xiàng)目和組織中存在的安全風(fēng)險(xiǎn)。為了有效實(shí)施ISO 21434標(biāo)準(zhǔn),本文介紹了遵循ISO 21434的系統(tǒng)級(jí)安全工程實(shí)踐方法,并通過實(shí)例進(jìn)行分析。
汽車網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
汽車網(wǎng)絡(luò)領(lǐng)域的犯罪正在急劇增加。在過去幾年,網(wǎng)絡(luò)犯罪的投資回報(bào)發(fā)生了巨大變化。通過應(yīng)用勒索軟件,如今的網(wǎng)絡(luò)犯罪比毒品交易更加有利可圖。據(jù)估計(jì),網(wǎng)絡(luò)犯罪每年造成的損失高達(dá)6000億美元,而毒品交易的同期金額是4000億美元[1]。由圖1可見,網(wǎng)絡(luò)攻擊幾乎呈現(xiàn)出指數(shù)增長(zhǎng)的趨勢(shì)[1]。
01
報(bào)告的針對(duì)車輛的嚴(yán)重網(wǎng)絡(luò)安全攻擊
網(wǎng)絡(luò)犯罪的影響是多方面的,例如改變車輛功能導(dǎo)致車輛意外行為、操縱數(shù)據(jù)和軟件導(dǎo)致故障,或通過DOS攻擊和勒索軟件破壞常規(guī)功能等。在上述所有網(wǎng)絡(luò)攻擊場(chǎng)景中,對(duì)于制造商發(fā)布的各種組件,其質(zhì)量不再能夠得到保證,而這也意味著車輛不應(yīng)該繼續(xù)在道路上行駛,因?yàn)檐囕v本身已成為安全風(fēng)險(xiǎn)。顯然,沒有網(wǎng)絡(luò)安全就無法達(dá)到功能安全。為應(yīng)對(duì)汽車網(wǎng)絡(luò)安全的挑戰(zhàn),主機(jī)廠和供應(yīng)商必須對(duì)整車的電子電氣系統(tǒng)進(jìn)行有效保護(hù)。
以風(fēng)險(xiǎn)為導(dǎo)向的網(wǎng)絡(luò)安全管理方法
面向風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全管理方法會(huì)將安全需求、設(shè)計(jì)決策以及測(cè)試聯(lián)系起來[1, 2, 3, 4]。為實(shí)現(xiàn)安全性,在車輛開發(fā)過程中需要考慮以下事項(xiàng):
對(duì)于面向完整開發(fā)過程的系統(tǒng)級(jí)流程,需要流程模型來對(duì)其進(jìn)行標(biāo)準(zhǔn)化。這一流程模型應(yīng)當(dāng)從需求分析開始,覆蓋設(shè)計(jì)、開發(fā)以及組件和網(wǎng)絡(luò)的測(cè)試環(huán)節(jié)。
通過快速的軟件更新來修復(fù)ECU軟件中的漏洞。
使用最先進(jìn)且滿足長(zhǎng)期安全需求的可靠協(xié)議。由于這些協(xié)議通常要用到加密密鑰,因此,必須要實(shí)現(xiàn)覆蓋車輛全生命周期的密鑰管理。
車載網(wǎng)絡(luò)和系統(tǒng)架構(gòu)必須具備靈活性和可擴(kuò)展性,其在設(shè)計(jì)時(shí)應(yīng)當(dāng)充分考慮網(wǎng)絡(luò)安全問題。
以風(fēng)險(xiǎn)為導(dǎo)向的網(wǎng)絡(luò)安全管理方法,有助于平衡日益嚴(yán)重的網(wǎng)絡(luò)安全威脅與產(chǎn)品在全生命周期中日益增加的復(fù)雜性。而在網(wǎng)絡(luò)安全的概念設(shè)計(jì)階段,要對(duì)遭受攻擊造成損失所帶來的成本與產(chǎn)品全生命周期進(jìn)行安全加固所產(chǎn)生的成本進(jìn)行平衡。圖2顯示ISO 21434所要求的以風(fēng)險(xiǎn)為導(dǎo)向的網(wǎng)絡(luò)安全方法。
02
面向風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全分析流程
ISO 21434標(biāo)準(zhǔn)概括
在2021年發(fā)布之前的幾年,ISO 21434已經(jīng)成為汽車網(wǎng)絡(luò)安全領(lǐng)域的重要參考。由于傳統(tǒng)的信息安全標(biāo)準(zhǔn)主要關(guān)注管理和商業(yè)信息系統(tǒng),對(duì)車輛場(chǎng)景下的安全問題指導(dǎo)意義有限。因此作為ISO 21434標(biāo)準(zhǔn)的最初起草者之一,Vector Consulting長(zhǎng)期投入到ISO 21434標(biāo)準(zhǔn)的起草工作之中。
ISO 21434基于以風(fēng)險(xiǎn)為導(dǎo)向的方法,明確區(qū)分了產(chǎn)品、項(xiàng)目和組織級(jí)別的措施,并與ISO 26262密切相關(guān)。與ISO 26262相比,ISO 21434更加抽象:既沒有規(guī)定任何具體的技術(shù)、解決方案或補(bǔ)救方法,也沒有對(duì)自動(dòng)駕駛汽車或道路基礎(chǔ)設(shè)施提出獨(dú)特的要求。這是為了避免安全標(biāo)準(zhǔn)對(duì)產(chǎn)品造成過度約束。另一方面,雖然ISO 21434涵蓋最先進(jìn)的網(wǎng)絡(luò)安全原則,但并沒有為實(shí)施過程提供太多的指導(dǎo)。因此這一標(biāo)準(zhǔn)將隨著時(shí)間的推移而不斷擴(kuò)展。
ISO 21434問世后,人們常常難以分辨ISO 21434與SAE J3061的區(qū)別。事實(shí)上,幾年前SAE J3061曾被作為汽車網(wǎng)絡(luò)安全問題的短期修復(fù)方案。但由于多方面的原因,ISO 21434在發(fā)布后已直接取代SAE J3061。乍看之下,這兩個(gè)標(biāo)準(zhǔn)的高層面安全流程大體兼容。其中SAE J3061在附錄A中介紹了威脅和風(fēng)險(xiǎn)分析(TARA)的各種方法。而ISO 21434提供了一個(gè)與功能安全解耦的網(wǎng)絡(luò)安全流程,它只關(guān)注網(wǎng)絡(luò)安全。而且為了提高效率和減少冗余,ISO 21434引用了ISO 26262,并與之共享一些方法??傊琁SO 21434對(duì)網(wǎng)絡(luò)安全的工作產(chǎn)品、組織和方法(如TARA)的要求更為精確。Vector Consulting的經(jīng)驗(yàn)表明,如果已經(jīng)成功應(yīng)用了SAE J3061,那么可以很容易地切換到ISO 21434。
ISO 21434可用于構(gòu)建網(wǎng)絡(luò)安全管理系統(tǒng)(UNECE R.155 CSMS),包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和治理。其中,組織層面的活動(dòng)主要是建立所需的網(wǎng)絡(luò)安全管理?xiàng)l例,并在公司中灌輸網(wǎng)絡(luò)安全文化。這還應(yīng)包括在不同項(xiàng)目團(tuán)隊(duì)之間建立信息共享系統(tǒng),采購(gòu)所需的新網(wǎng)絡(luò)安全工具并提供培訓(xùn)。組織應(yīng)重新評(píng)估現(xiàn)有的IT安全系統(tǒng)并計(jì)劃組織層面的審計(jì)。
根據(jù)ISO 21434,要開展項(xiàng)目層面的活動(dòng),首先需要一個(gè)定義明確的管理系統(tǒng),在項(xiàng)目中明確定義角色和職責(zé)。通過應(yīng)用諸如Automotive SPICE(ASPICE)這樣的流程框架,可以滿足ISO 21434標(biāo)準(zhǔn)對(duì)于流程方面的大部分要求。在實(shí)踐中,Vector Consulting在功能安全、網(wǎng)絡(luò)安全和ASPICE領(lǐng)域識(shí)別到了一些相似的弱點(diǎn),比如項(xiàng)目團(tuán)隊(duì)在需求工程、可追溯性、測(cè)試方法、項(xiàng)目管理和風(fēng)險(xiǎn)管理等方面通常存在不足。
ISO 21434標(biāo)準(zhǔn)建議,在網(wǎng)絡(luò)安全規(guī)劃之初,就應(yīng)當(dāng)清晰地定義相關(guān)角色和職責(zé)。同時(shí),ISO 21434還包含了使用復(fù)用組件,引入第三方組件,直接使用像開源模塊這樣的非市場(chǎng)流通組件等的指南。最后,ISO 21434還提供了在項(xiàng)目層面進(jìn)行網(wǎng)絡(luò)安全評(píng)估的相關(guān)信息。
03
ISO/SAE 21434:2021結(jié)構(gòu)(來源:ISO)
基于ISO 21434的安全工程實(shí)踐
本節(jié)通過一個(gè)簡(jiǎn)化后的ADAS客戶項(xiàng)目案例,展示如何在實(shí)踐中逐步應(yīng)用ISO 21434。雖然示例經(jīng)過簡(jiǎn)化,但意義在于介紹安全工程。
第1步:相關(guān)項(xiàng)定義
相關(guān)項(xiàng)定義不僅是確定元素邊界所必須的,而且一直都是定義系統(tǒng)資產(chǎn)所需的重要參考。在該案例中,廣義的相關(guān)項(xiàng)就是整個(gè)ADAS系統(tǒng),其頂層網(wǎng)絡(luò)架構(gòu)如圖4所示。
04
ADAS網(wǎng)絡(luò)架構(gòu)示例
簡(jiǎn)單起見,假設(shè)所有通信都通過CAN總線完成。對(duì)于外部接口,要根據(jù)底層架構(gòu)來識(shí)別。該系統(tǒng)可通過4G網(wǎng)絡(luò)與OEM云基礎(chǔ)設(shè)施進(jìn)行通信,并擁有可連接到網(wǎng)關(guān)的OBD接口。
第2步:資產(chǎn)識(shí)別
下一步是識(shí)別并列出相關(guān)項(xiàng)中的所有資產(chǎn)。在選擇資產(chǎn)時(shí),要基于其價(jià)值或受到損害時(shí)的風(fēng)險(xiǎn)等,比如功能安全目標(biāo)、財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營(yíng)成本和隱私等。以下是ADAS系統(tǒng)的資產(chǎn)示例:
>
A1:ADAS接收或發(fā)送的網(wǎng)絡(luò)報(bào)文
>
A2:ADAS軟件,包括安全機(jī)制
>
A3:安全密鑰
>
A4:駕駛歷史和記錄的數(shù)據(jù)
第3步:威脅分析和風(fēng)險(xiǎn)評(píng)估
基于已經(jīng)識(shí)別出的資產(chǎn),下一步要進(jìn)行TARA分析。通過TARA可以系統(tǒng)性地分析在受到攻擊時(shí)威脅所帶來的影響程度,以及實(shí)現(xiàn)攻擊的難易程度。然后結(jié)合影響等級(jí)和攻擊可行性等級(jí),按照從1(非常低)到5(非常高)的尺度來劃定風(fēng)險(xiǎn)等級(jí)。之后,根據(jù)風(fēng)險(xiǎn)等級(jí)的高低來計(jì)劃和實(shí)施進(jìn)一步的風(fēng)險(xiǎn)應(yīng)對(duì)措施。除此之外,ISO 21434還建議按照從CAL1(低)到 CAL4(高)的尺度,對(duì)每項(xiàng)資產(chǎn)劃定網(wǎng)絡(luò)安全保障級(jí)別(CAL)。
示例中,我們列出了一些針對(duì)已識(shí)別資產(chǎn)的攻擊,以及相應(yīng)的威脅,資產(chǎn)和威脅都各自有專屬ID。以下是一些攻擊路徑的示例:
>
A1-AT1:車輛制動(dòng)相關(guān)報(bào)文被阻塞;
>
安全機(jī)制(即手動(dòng)接管期間無車道保持)遭到破壞,無法正常工作。
在此基礎(chǔ)上,可識(shí)別出相應(yīng)的威脅,即:
>
A1-AT1-T1:盡管駕駛員踩下制動(dòng)踏板,但車輛不制動(dòng)(危害:如果制動(dòng)失效,可能引發(fā)事故并造成傷害)
>
A2-AT1-T1:手動(dòng)接管期間保持車道(危害:因接管失敗而造成重傷)。
表1顯示了根據(jù)識(shí)別出的攻擊內(nèi)容和威脅場(chǎng)景進(jìn)行評(píng)估所獲得的攻擊可行性等級(jí)和影響等級(jí),進(jìn)而判定出風(fēng)險(xiǎn)級(jí)別和網(wǎng)絡(luò)安全保障級(jí)別(CAL)。
表1
TARA分析示例
第4步:安全目標(biāo)和安全要求
為了降低風(fēng)險(xiǎn),要根據(jù)風(fēng)險(xiǎn)可能造成的影響來識(shí)別和評(píng)估安全目標(biāo)。安全目標(biāo)是高層面的安全要求。從每個(gè)安全目標(biāo)出發(fā),可以衍生出一個(gè)或多個(gè)功能級(jí)安全要求,而對(duì)于每個(gè)功能級(jí)安全要求,又可以衍生出一個(gè)或多個(gè)技術(shù)級(jí)安全要求。在這個(gè)例子中:
>
安全目標(biāo):A1-AT1-T1-SG1:系統(tǒng)必須阻止對(duì)駕駛員輔助系統(tǒng)所發(fā)送消息的操縱行為。
>
功能級(jí)安全要求:SG1-FSecR1:必須確保駕駛員輔助系統(tǒng)和傳感器之間通信的完整性。
>
技術(shù)級(jí)安全要求:SG1-FsecR1-TSecR1:MAC應(yīng)由符合安全硬件擴(kuò)展(SHE)的硬件信任錨(HTA)使用算法RSA2048計(jì)算獲得。SG1-FsecR1-TSecR2:MAC值應(yīng)在x字節(jié)后進(jìn)行截?cái)唷?/p>
>
技術(shù)級(jí)安全要求:SG1-FsecR1-TSecR1:MAC應(yīng)由符合安全硬件擴(kuò)展(SHE)的硬件信任錨(HTA)使用算法RSA2048計(jì)算獲得。SG1-FsecR1-TSecR2:MAC值應(yīng)在x字節(jié)后進(jìn)行截?cái)唷?/p>
第5步:可追溯性
可追溯性有助于保持一致性并降低責(zé)任風(fēng)險(xiǎn)。即使在發(fā)生變更,增量構(gòu)建或持續(xù)構(gòu)建的過程中,可追溯性對(duì)于確保覆蓋率和一致性也是必不可少的。
圖5展示了將需求、設(shè)計(jì)和測(cè)試相關(guān)聯(lián)的一種抽象模型。在應(yīng)用該模型時(shí),設(shè)計(jì)者從負(fù)面需求(即黑客的需求)開始,提煉出解決方案以降低這些攻擊的可行性,進(jìn)而確保從初始TARA分析結(jié)果和安全要求定義出發(fā)的追溯關(guān)系的完整性。
05
網(wǎng)絡(luò)安全可追溯性
第6步:設(shè)計(jì)
由于在安全相關(guān)資產(chǎn)的TARA分析中發(fā)現(xiàn)了相應(yīng)風(fēng)險(xiǎn),因此ADAS系統(tǒng)需要在設(shè)計(jì)上進(jìn)行變更來應(yīng)對(duì)這一風(fēng)險(xiǎn)。根據(jù)安全目標(biāo)SG1,系統(tǒng)必須具備識(shí)別和預(yù)防機(jī)制來避免攻擊者對(duì)網(wǎng)絡(luò)信號(hào)的操縱。通過落實(shí)功能級(jí)安全要求和技術(shù)級(jí)安全要求,可設(shè)計(jì)出相應(yīng)的識(shí)別和預(yù)防機(jī)制。
在落實(shí)安全要求的過程中,硬件設(shè)計(jì)可能會(huì)相應(yīng)地發(fā)生變更。在本文所研究的案例中,必須使用HTA。同時(shí),通過應(yīng)用MISRA和CERT提供的指南進(jìn)行安全編碼,可以避免設(shè)計(jì)和代碼錯(cuò)誤可能導(dǎo)致的安全漏洞。應(yīng)當(dāng)始終牢記,大多數(shù)攻擊得逞的原因是設(shè)計(jì)不足,而非密碼學(xué)的限制。
第7步:集成和驗(yàn)證
該步驟的主要目的是驗(yàn)證實(shí)施和集成的安全機(jī)制是否滿足網(wǎng)絡(luò)安全目標(biāo)和要求。為實(shí)施這一步驟,推薦以下具有相互依賴性的典型方法:
>
單元級(jí)驗(yàn)證:靜態(tài)和動(dòng)態(tài)代碼質(zhì)量分析側(cè)重于MISRA和CERT等安全編碼指南以及單元級(jí)魯棒性。自動(dòng)工具用于執(zhí)行代碼質(zhì)量分析(CQA)并生成測(cè)試報(bào)告。
>
功能測(cè)試:基于需求的測(cè)試有助于識(shí)別系統(tǒng)設(shè)計(jì)和架構(gòu)中的基本缺陷。在該案例中,對(duì)最初在相關(guān)項(xiàng)定義中描述的實(shí)際功能進(jìn)行了系統(tǒng)級(jí)別的測(cè)試,以確保功能表現(xiàn)不會(huì)因?yàn)轭~外的安全措施而受到損害。
>
模糊測(cè)試:模糊測(cè)試用于測(cè)試超出預(yù)期范圍和邊界的各類車輛通信協(xié)議。
>
滲透測(cè)試:滲透測(cè)試是在組件和系統(tǒng)級(jí)別上獨(dú)立執(zhí)行的測(cè)試策略。灰盒滲透測(cè)試[5]因其高效率和有效性,已被證明能夠?qū)崿F(xiàn)這一策略。
第8步:開發(fā)后階段
在開發(fā)階段,除了做好充分的測(cè)試,也必須為開發(fā)后的活動(dòng)做好相關(guān)準(zhǔn)備。這包括相關(guān)項(xiàng)的生產(chǎn)、運(yùn)行、維護(hù)以及最終報(bào)廢。因此需要為這些活動(dòng)預(yù)留預(yù)算、時(shí)間和能力儲(chǔ)備,比如緊急事件響應(yīng)團(tuán)隊(duì)、安全警報(bào)通知和軟件補(bǔ)丁交付等。該階段可分成以下幾個(gè)環(huán)節(jié):
>
生產(chǎn):在相關(guān)項(xiàng)的制造和組裝過程中,必須遵循一些網(wǎng)絡(luò)安全要求。例如,在這個(gè)案例中,對(duì)于在下線階段向HTA的內(nèi)存中注入供應(yīng)商或OEM關(guān)鍵材料的過程,應(yīng)當(dāng)進(jìn)行充分的計(jì)劃和處理。
>
運(yùn)營(yíng)和維護(hù):作為持續(xù)網(wǎng)絡(luò)安全活動(dòng)的一部分,每個(gè)組織都需要維護(hù)一個(gè)獨(dú)立的項(xiàng)目監(jiān)控團(tuán)隊(duì)。當(dāng)網(wǎng)絡(luò)安全事件觸發(fā)時(shí),運(yùn)營(yíng)團(tuán)隊(duì)必須按照預(yù)先定義和商定的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃來進(jìn)行事件響應(yīng)。
>
報(bào)廢:報(bào)廢過程與網(wǎng)絡(luò)安全密切相關(guān),因?yàn)橄嚓P(guān)項(xiàng)可能包含需要安全處置的信息。
結(jié)論
隨著車輛信息系統(tǒng)與企業(yè)信息系統(tǒng)在開發(fā)、生產(chǎn)及運(yùn)營(yíng)階段的融合,汽車網(wǎng)絡(luò)安全相關(guān)問題日益顯著[1, 2, 3, 4]。由于汽車網(wǎng)絡(luò)安全是功能安全的先決條件,因此必須全面而系統(tǒng)地應(yīng)對(duì)網(wǎng)絡(luò)安全問題。ISO 21434為汽車網(wǎng)絡(luò)安全提供了一個(gè)框架,但它還不是指南,不能直接用于定義開發(fā)過程。因此,在應(yīng)用ISO 21434時(shí)需要強(qiáng)有力的指導(dǎo)來有效且高效地進(jìn)行實(shí)施。對(duì)未來需要在法律訴訟中證明安全措施有效性的場(chǎng)景,尤其如此。
網(wǎng)絡(luò)安全不僅僅是一個(gè)安全團(tuán)隊(duì)的職責(zé),更是每個(gè)工程師的責(zé)任。網(wǎng)絡(luò)安全需要一個(gè)整體方法去應(yīng)對(duì),即以系統(tǒng)工程的方式深化落實(shí),并在整個(gè)產(chǎn)品生命周期中建立完整的追溯關(guān)系。
PROFILE
Prof. Dr.?
Christof Ebert
managing director of Vector Consulting Services in Stuttgart (Germany) and a professor at the University of Stuttgart and the Sorbonne in Paris.
PROFILE
Jerome John?
consultant at Vector Consulting Services in Stuttgart (Germany).
編輯:黃飛
?
評(píng)論
查看更多