在上一篇關(guān)于UN R155和ISO/SAE 21434的博文中，我說明了汽車業(yè)及汽車行業(yè)供應商如何被賦予了為每輛車配備網(wǎng)絡安全性的責任。汽車網(wǎng)絡安全是一項重大的挑戰(zhàn)，UN R155和ISO/SAE 21434等新規(guī)已經(jīng)生效，從2024年款起，所有車輛都將強制執(zhí)行。我們來深入探討一些汽車廠商及其供應商現(xiàn)在和將來面臨的問題。

規(guī)模驚人

ISO/SAE 21434要求汽車廠商提供清晰、可理解且有辯護依據(jù)的理由，并有證據(jù)和文件支持，以證明某物項或組件在應用時有足夠的網(wǎng)絡安全性。為實現(xiàn)這一目標，汽車廠商必須確定網(wǎng)絡安全與各物項或組件的相關(guān)性；對于相關(guān)的物項或組件，汽車廠商可以進行分析和風險評估 (TARA)。評估后，他們可以得出一套網(wǎng)絡安全目標和要求，實現(xiàn)可驗證的安全水平。

由于每輛車都有數(shù)百個可能帶來網(wǎng)絡安全問題的組件，再加上最后期限緊迫，這一流程不僅對汽車廠商構(gòu)成了嚴峻的挑戰(zhàn)，對其供應商也是如此?，F(xiàn)代汽車越來越依賴無線通訊來與周圍環(huán)境交互并利用基于云的服務。這種連接在汽車內(nèi)部得以延續(xù)，因此車內(nèi)幾乎每個電子組件都可能成為黑客的潛在目標。

2021年9月，恩智浦宣布符合ISO/SAE 21434汽車網(wǎng)絡安全新標準，剛剛通過了第一次年度重新審計。了解此舉的重要意義，點擊這里>>

安全設(shè)計和遺留組件

理想情況下，這一挑戰(zhàn)應在設(shè)計的最初階段解決?！鞍踩O(shè)計”也逐漸成為許多汽車供應商的標準做法。然而，當今許多汽車系統(tǒng) (ECU) 的半導體和軟件組件在標準獲得批準甚至制定之前就已經(jīng)完成設(shè)計。這并不意味著它們不安全，而是需要對這些系統(tǒng)進行威脅分析和風險評估 (TARA)；根據(jù)評估得出最新的安全要求；收集和分析現(xiàn)有文檔以確定是否能夠滿足這些安全要求。如果現(xiàn)有文檔已經(jīng)足夠，則必須執(zhí)行其他安全活動，如回顧性設(shè)計審核或滲透測試，以彌合差距。這樣做可能代價高昂，因此必須仔細確定是否應該進行評估，尤其是對于可能即將報廢的“遺留”組件。在某些情況下，升級到較新的組件可能是更經(jīng)濟高效的方法

模糊性

汽車廠商和供應商的密切合作和共識至關(guān)重要。幸運的是，ISO/SAE 21434通過詞匯表及其定義的安全工程框架提供了基礎(chǔ)。不過，“產(chǎn)品是否合規(guī)？”這個簡單的問題很難回答。很難回答是因為該標準留有充分的解釋空間。例如，流程步驟只是廣義的定義，而要求是相當通用的。因此，“合規(guī)性問題”是由客戶 (汽車廠商和Tier 1供應商) 根據(jù)他們對標準的解釋來判斷的。因此，問題在于產(chǎn)品以及在開發(fā)和后續(xù)生命周期階段應用的流程是否符合其解釋。如果該標準的第二版能減少模糊性，將會很有幫助。

組件“脫離使用場景”

我們還觀察到，汽車廠商和Tier 1供應商的采購程序通常采用“使用場景”組件，使用場景組件是為滿足特定使用情形 (即使用場景) 的特定要求而開發(fā)的。然而，大多數(shù)半導體被設(shè)計成通用的“脫離使用場景”的組件，因為它們可用于各種用例。組件的使用場景通常不明確，僅僅基于假定用途，以及與客戶的接觸或與客戶簽訂的協(xié)議。使用場景的不匹配會導致效率低下，帶來各種挑戰(zhàn)。

《網(wǎng)絡安全/開發(fā)接口協(xié)議》(CIA/DIA協(xié)議) 適用于供應商與客戶合作，在已知使用場景的情況下進行共同開發(fā)，如果沒有合作開發(fā)，客戶仍堅持必須符合CIA/DIA協(xié)議，則可能會造成效率低下。然而，這類協(xié)議并沒有為脫離應用背景的開發(fā)增添多少價值。此外，客戶通常擁有獨立的CIA/DIA協(xié)議模板，這會進一步增加工作量，因為創(chuàng)建每個組件時需為每個客戶創(chuàng)建單獨卻內(nèi)容相同的文檔。能精簡這種冗余問題的流程將提高這一方法的效率。

了解恩智浦如何幫助加速向安全設(shè)計轉(zhuǎn)變，點擊下載白皮書>>

對半導體和軟件的要求

當客戶根據(jù)其對標準的理解向采購流程添加新的具體要求時可能會帶來挑戰(zhàn)。安全編碼規(guī)則就是個很好的例子。該標準有一項一般性要求，即編程語言未涉及的網(wǎng)絡安全標準應包含在編碼指南或開發(fā)環(huán)境中。該標準提供了一些提示，但沒有提供編碼指南。因此，客戶會定義自己的編碼規(guī)則并通常要求嚴格遵守。有些甚至指定了必須用來檢查合規(guī)性的具體工具版本。

這帶來了一些挑戰(zhàn)，特別是對半導體和通用軟件而言。首先，不同的客戶可能有不同的要求，這與開發(fā)通用組件以服務于多個客戶和用例 (以實現(xiàn)規(guī)模經(jīng)濟) 的目標相悖。其次，脫離背景組件的采購流程通常在其開發(fā)項目結(jié)束后進行，并且考慮自定義要求，流程的后期可能不可行或成本過高。

因此，非常需要一套明確的半導體和軟件編碼指南和其他通用要求；理想情況下，指南應盡可能地重復使用。MISRA C是個很好的起點，已使用多年，是用C語言開發(fā)汽車軟件的實際標準，其中功能安全和網(wǎng)絡安全至關(guān)重要。

常見威脅情景、攻擊可能性評級和保障級別

另一個挑戰(zhàn)是缺乏衡量威脅情景和攻擊可能性評級的通用基準。盡管R155提供了車規(guī)級的一般威脅列表，但并未針對半導體做出規(guī)定。因此，很難與客戶就特定產(chǎn)品的攻擊類型達成一致。

要就風險評級和更具體的攻擊可能性達成一致也很困難。ISO/SAE 21434附件G為基于攻擊可能性、基于CVSS和基于攻擊向量這三種不同的評級方法提供了指南。雖然這些指南非常有用，但是并不十分一致——采用不同的方法可能會導致對同一攻擊的評級完全不同。業(yè)界如果就半導體和軟件選擇哪種方法達成共識將有所幫助。或許更重要的是，利益相關(guān)方明白，盡管這些評級有助于確定問題的優(yōu)先級，但肯定不是完美的，因為總有“誤差幅度”。因此，這種評級不應作為業(yè)務流程或法律協(xié)議中的硬指標而忽視了專家判斷的必要性。

同樣，業(yè)界在保障水平方面尚未達成共識。該標準的附件E介紹了網(wǎng)絡安全保障等級(CAL)，可用于具體說明并傳達一套嚴格的保障要求，確保組件保護得到充分發(fā)展和驗證。這些指南也并不是很具體，因此，如今很少有機構(gòu)提及這些指南也就不足為奇了。但是，定義明確的保障級別將提供有用的指標，使客戶能夠確信產(chǎn)品滿足其安全要求，其安全能力值得信任。

業(yè)界已經(jīng)采取了一些舉措來彌合這些差距。例如，ISO/SAE PWI 8475正在解決目標攻擊可能性 (TAF) 和網(wǎng)絡安全保障級別 (CAL) 問題。此外，在MITER ATT&CK的啟發(fā)下，汽車信息共享與分析中心 (Auto-ISAC) 正在研究汽車威脅矩陣，有望作為通用汽車威脅模型的基礎(chǔ)用于汽車及其組件。最后，在涉及經(jīng)濟高效的方法時，有幾項舉措可以保證產(chǎn)品符合其安全目標。其中一項是SESIP，這是一個新的認證方案，旨在滿足對通用、優(yōu)化方法的需求，以便評估不斷發(fā)展的物聯(lián)網(wǎng)生態(tài)合作體系中連接設(shè)備的安全性。

知識共享讓知識翻倍

這不僅關(guān)乎要求和指標。如今，許多公司都有核心能力團隊，他們對UN R155和ISO/SAE 21434有著廣泛的了解。然而，這些專業(yè)知識也必須轉(zhuǎn)移到其他團隊，從設(shè)計和開發(fā)到產(chǎn)品管理、客戶經(jīng)理、現(xiàn)場支持工程師、質(zhì)量保障、采購等。安全是一項團隊運動，所有相關(guān)人員都必須至少具備基本的安全知識才能在職責范圍內(nèi)做正確的事情。沒有基本的安全知識，就可能出現(xiàn)明確而現(xiàn)實的危險，即最終在合規(guī)方面采取“復選框”的做法。眾所周知，這種方式不能帶來有效的安全性和抗風險能力。

長期安全支持

UN R155要求在整個產(chǎn)品生命周期中對安全性進行管理。一般而言，這意味著必須監(jiān)控威脅狀況以發(fā)現(xiàn)新的威脅，并在出現(xiàn)漏洞和事件時對其進行管理。最大的挑戰(zhàn)在于車輛及其組件的壽命很容易達到20年以上。ISO/SAE 21434更寬容一些，允許產(chǎn)品在生命周期結(jié)束前終止網(wǎng)絡安全支持。爭取網(wǎng)絡安全長期支持是必要的一步。然而，這種支持不是免費的；由于需要經(jīng)常性投資，付費服務模式可能不可避免。例如，保留知識、工具、IT設(shè)備和實驗室環(huán)境所需的經(jīng)常性投資。

協(xié)作是關(guān)鍵所在

到那時，我希望大家已經(jīng)清楚地認識到：合作是汽車業(yè)及其供應商在有限時間內(nèi)滿足UN R155和ISO/SAE 21434廣泛要求的唯一途徑。這意味著，在實踐中，客戶與供應商的直接接觸至關(guān)重要。

正如我之前在博客中所述，Auto-ISAC (汽車信息共享和分析中心) 是連接汽車業(yè)網(wǎng)絡安全專家的關(guān)鍵平臺。這提供了一個極好的機會，專家可以通過交流經(jīng)驗和最佳做法來應對一些共同挑戰(zhàn)。在整個行業(yè)開展公開對話可以大大減少提供安全解決方案所需的時間。時不我待。

本文作者

Timo van Roermund領(lǐng)導恩智浦汽車安全團隊。他在嵌入式設(shè)備的應用安全方面擁有深厚的專業(yè)知識，如車聯(lián)萬物（Vehicle-to-X）通信系統(tǒng)、車載網(wǎng)絡、架構(gòu)和系統(tǒng)、物聯(lián)網(wǎng)設(shè)備、移動電話和可穿戴設(shè)備等。他是國際會議的常客。他為行業(yè)聯(lián)盟（汽車ISAC、C2C-CC）和汽車安全標準的制定做出了各種貢獻。Timo在埃因霍溫理工大學獲得計算機科學與工程碩士學位。