“乘風破浪”背后的安全隱患
看過《速度與激情8》的人,都應該對紐約第五大道汽車失控的那一幕記憶深刻。停車場里1000多輛汽車被黑客控制,上演了一場“僵尸車大戰(zhàn)”。黑客通過類似手機網(wǎng)絡系統(tǒng)控制了指定區(qū)域所有汽車的OBD系統(tǒng),進而取得了汽車的控制權(quán),通過程序設定車輛的駕駛模式。電影情節(jié)在增強觀眾的視覺沖擊力的同時,也引起了汽車行業(yè)的廣泛關注。
雖然電影的表現(xiàn)手法比較夸張,但單從技術角度來說,目前遠程控制和劫持汽車是可行的。因為今天的智能網(wǎng)聯(lián)汽車已經(jīng)變成名副其實的萬物互聯(lián)時代的智能終端設備。
目前,汽車的普通車型擁有25到200個不等的ECU(電子控制單元),高級轎車有144個ECU連接,軟件代碼超過6500萬行,無人駕駛汽車的軟件代碼超過2億行。汽車中ECU和連接越多,黑客對汽車的攻擊面就越多,尤其是汽車通過通信網(wǎng)絡接入互聯(lián)網(wǎng)連接到云端之后,每個計算、控制和傳感單元,每個連接路徑都有可能因存在安全漏洞而被黑客利用,實現(xiàn)對汽車的攻擊和控制。此外,與外部連接的接口,如藍牙、WiFi等的增多,也相應增加了網(wǎng)絡攻擊的渠道。
黑客的攻擊不僅會對駕駛員人身安全造成威脅,對社會公共安全也會造成一定的危害。因此,智能網(wǎng)聯(lián)汽車的信息安全已經(jīng)成為汽車開發(fā)的關注點。
信息安全標準(ISO/SAE 21434)剖析
針對智能網(wǎng)聯(lián)汽車快速發(fā)展背景下的車輛信息安全開發(fā),信息安全開發(fā)流程標準應運而生。2020年2月12日,ISO/SAE 21434 Road Vehicle-Cybersecurity Engineering 標準DIS版正式發(fā)布。該標準的出臺意味著將汽車信息安全提升到與功能安全等同重要亦或更甚的位置。功能安全設計旨在避免因功能失效導致的安全事故,信息安全旨在避免惡意攻擊事件。
與ISO 26262標準類似,ISO/SAE 21434標準同樣基于“V模型”的總體思路,覆蓋了汽車電子從研發(fā)到制造領域所有核心開發(fā)活動。ISO/SAE 21434通過建立一個可重復且結(jié)構(gòu)化的控制流程,有效地識別出可能被利用的威脅與漏洞,并能在系統(tǒng)設計過程中針對已識別的漏洞做出有效控制,且可貫穿整個車輛生命周期,從概念階段,到產(chǎn)品,運營以及售后服務。不難看出,汽車功能安全與汽車信息安全相互滲透,都是在架構(gòu)功能設計之初就將Safety/Cybersecurity納入到系統(tǒng)中,且都貫穿于產(chǎn)品的設計、研發(fā)、制造、維修、回收等環(huán)節(jié)。ISO/SAE 21434標準的發(fā)布,為OEM/Tier1/Tier2解決信息安全問題提供了理論依據(jù)和實施指南。
ISO/SAE 21434對概念階段的開發(fā)要求
按照正向開發(fā)的流程,概念階段是信息安全開發(fā)活動的起點,也是信息安全開發(fā)中至關重要的環(huán)節(jié)。一個系統(tǒng)的開發(fā)如果沒有清晰的架構(gòu)和功能定義,就無法準確識別系統(tǒng)中可能存在的漏洞風險;若不能恰當?shù)谋孀R威脅及攻擊路徑,就無法準確的提出cybersecurity requirements。因此,概念階段的重要性不言而喻。
我們關注一下ISO/SAE 21434信息安全開發(fā)流程中對概念階段的重點要求:
? 相關項定義,確定系統(tǒng)的架構(gòu)與功能
? 威脅分析與風險評估,導出信息安全目標
? 信息安全概念開發(fā),導出信息安全需求并分配到各模塊上
? 驗證
接下來,我們就展開剖析在ISO/SAE 21434中概念階段開發(fā)具體如何實施:核心的開發(fā)活動包括item definition、cybersecurity goals、cybersecurity concept三部分。
? Item Definition(相關項定義)
在相關項定義階段,需要定義系統(tǒng)與車輛內(nèi)部/外部的其他系統(tǒng)和組件的接口(item boundary)、功能(function)和初始架構(gòu)(preliminary architecture)。
? Cybersecurity goals(定義信息安全目標)
車輛功能安全在概念階段需要進行危害分析與風險評估(HARA),確定ASIL等級,提出safety goals;同樣,信息安全也需要進行威脅分析與風險評估(TARA),提出cybersecurity goals。
對于更容易進行識別的功能危害分析來說,傳統(tǒng)車輛的評估流程已很完善,能對車輛潛在的安全風險逐個進行功能測試,如碰撞試驗等,即可逐個排除。但信息安全的威脅分析則更為復雜,對整車以及各個子網(wǎng)部件,存在太多未知的攻擊漏洞及攻擊方式,且需要站在攻擊者的立場上,使用非傳統(tǒng)式的漏洞分析,滲透及統(tǒng)計學技術進行分析,難度相對較大。
ISO/SAE 21434中專家給出的建議是通過辨識系統(tǒng)中的資產(chǎn)(Asset identification)并賦予相應的安全屬性,然后通過CIAA、HEAVENNS、STRIDE等安全屬性-威脅映射方法進行威脅識別(Threat scenario identification)。
基于STRIDE(CIAA/HEAVENNS)方法識別特定資產(chǎn)和威脅之后,需要對風險進行評估(Impact rating)。也就是說要導出每個威脅的安全等級(Security Level)。安全等級用于衡量安全相關資產(chǎn)滿足特定安全級別所需的安全機制強度。安全等級(Security Level)的確定由威脅的“可能性”(Likelihood Level)和“嚴重度”(Severity Level)這兩個參數(shù)共同決定。
系統(tǒng)模型的搭建應該本著深層防御的思想,盡量減少因某些元素遭到攻擊而導致其他元素受到損失。進行FTA分析,可以識別出會違反安全目標的單點或多點故障。而對于ATA分析,我們的目標是識別出attackers攻擊的潛在路徑(Attack path analysis)及其攻擊可行性等級(Attack feasibility rating)進而通過制定相應的信息安全措施消除漏洞或使其更難被利用。(Risk determination)。
根據(jù)利益相關者的可接受風險分等級和潛在攻擊路徑,確定Risk Treatment,提出Security Measures,并確定Cybersecurity Goals。(Risk determination)。
Cybersecurity Concept(信息安全概念)
在信息安全概念開發(fā)階段,需要基于Cybersecurity Goals,導出對應的Cybersecurity Requirements(Specify cybersecurity requirement),并將其分配到系統(tǒng)設計架構(gòu)/運行環(huán)境中(Allocate cybersecurity requirement to component)。
驗證Cybersecurity Requirements與Cybersecurity Goals的一致性、完整性以及與預期功能的一致性(Verification)。
信息安全開發(fā)解決方案-Medini Cybersecurity
針對智能網(wǎng)聯(lián)汽車信息安全開發(fā)需求,Medini Cybersecurity推出了支持ISO/SAE 21434開發(fā)流程、以模型為中心的信息安全開發(fā)解決方案,可以覆蓋信息安全概念階段所有開發(fā)環(huán)節(jié),助力信息安全開發(fā)活動開展。
通過SySML模型在Medini中搭建系統(tǒng)架構(gòu),識別資產(chǎn)并定義其安全屬性。
基于安全屬性-威脅映射方法STRIDE辨識威脅,并對威脅進行風險評估。
基于系統(tǒng)架構(gòu)快速構(gòu)建攻擊樹,分析攻擊路徑,制定處理措施并提出安全目標及對應的安全需求,并把安全需求分配給對應的系統(tǒng)和組件。
安全需求、系統(tǒng)設計、安全分析三者可以統(tǒng)一在Medini中進行鏈接、交互和管理,保證信息安全開發(fā)活動的一致性和追溯性,節(jié)省開發(fā)時間成本。
經(jīng)緯恒潤從2008年開始研究及實施功能安全,并于同年組建了功能安全團隊,從消化ISO-26262標準到參與2017年GB/T 34590功能安全標準的制定;結(jié)合自身汽車電子產(chǎn)品研發(fā)實踐,經(jīng)緯恒潤的功能安全團隊在智駕域、底盤域、動力域、車身域?qū)嵤﹪鴥?nèi)外100+成功案例,積累了豐富的經(jīng)驗。迎合市場所需,結(jié)合量產(chǎn)產(chǎn)品功能安全落地實施的技術難點,經(jīng)緯恒潤功能安全團隊將以智能駕駛功能安全為主題,陸續(xù)發(fā)布解決方案系列文章,歡迎大家共同探討
經(jīng)緯恒潤
北京市海淀區(qū)知春路7號致真大廈D座6層
郵箱:market_dept@hirain.com
網(wǎng)址:www.hirain.com
