梆梆观点 | 车联网时代,如何保障汽车信息安全合规
日期:2022年06月06日 阅:69
随着5G和物联网时代来临,技术迭代更新与人们的“衣、食、住、行”息息相关,越来越多的智能产品已经走进我们的日常生活。后疫情时代下汽车网联化发展正处于高速发展期。
《中国制造2025》对于智能网联汽车提出了明确的发展目标,2020年,掌握智能辅助驾驶总体技术及各项关键技术,到2025年,建立较完善的智能网联汽车自主研发体系、生产配套体系及产业群,基本完成汽车产业转型升级。预计2025年,汽车领域的数字化移动服务市场规模有望达到19万亿元。
产品的智能化为生活带来便利,同时随着汽车网联化发展,网络安全形势却愈发严峻。越来越多的汽车开始联网,为了攻击汽车而需要物理接触的需求将越来越少,远程攻击占比增大。同时攻击手段更加复杂,任何连接点都可能受到新的威胁。
1. 合规需要深入了解法规、标准的要求,但其数量将越来越多
汽车信息安全防护逐渐从车辆本身向周围环境蔓延,涉及云端、通信、手机APP、边缘计算节点、路侧设备等。随之而来的将是越来越多的安全检测标准出台。
2. 需要从审批机构的视角去解读技术要求
当前汽车安全防护技术、产品还在发展中,所以法规并没有给出具体的最佳实践,如何利用现有技术,在合规与成本之间取得平衡将尤为重要。
3. 需要具备广泛的安全检测能力与经验
汽车网络安全涉及多个领域,如:传统网络、移动安全、系统安全、硬件安全、应用安全、协议分析、通信及密码等。
4. 需要持续关注最新的安全事件、安全技术
新技术的应用为汽车的信息安全引入了新的风险,像针对车载语音助手的海豚音攻击、针对自动驾驶的对抗样本攻击。当有新的攻击技术、攻击事件出现,需要我们快速评估对现有车型的影响,给出解决方案,并更新相关的风险评估数据。
梆梆安全面向合规的安全检测方案分为风险评估和安全检测两个方面:
梆梆安全风险评估方案符合ISO 21434要求
评估流程如下:
• 损害场景识别 :根据项目功能、应用场景,确定损害场景。
• 资产识别 :识别具有网络安全属性(STRIDE)的资产。
• 威胁场景识别 :根据损害场景、资产信息,确定威胁场景。
• 影响评级 :评估损害场景可能造成的影响级别,具体影响包括安全、财务、操作、隐私等方面。
• 攻击路径分析 :根据威胁场景,采用攻击树识别相应攻击路径。
• 攻击可能性评级 :基于攻击可能性对攻击路径进行评估,确定攻击发生的可能性。
• 风险等级确定 :根据威胁场景、影响级别、攻击可能性确定风险等级。
• 风险处理决策 :根据项目信息、威胁场景、风险等级,确定相应的风险处理决策。
检测项包含:远程服务器、整车系统、车机TBOX、以及网关、ECU和汽车感知设备的检测。
梆梆安全汽车信息安全测试流程
梆梆安全采用情报收集、威胁建模、脆弱性分析、利用等渗透测试过程和方法,对汽车信息安全进行整体的风险评估和安全隐患发现。
具体分为以下五个步骤:
1. 收集信息:获取待测项目的工程文档,包含电子电气架构,功能列表等信息;
2. 威胁建模:识别网络安全相关的资产,以及资产对应有哪些安全威胁的安全属性;
3. 漏洞分析:通过罗列攻击树的攻击路径,针对所有已安装的应用程序、软件,发现CVE等漏洞,分析挖掘其它漏洞;
4. 漏洞利用:利用分析阶段发现的漏洞;
5. 实施漏洞利用:如果漏洞利用成功,需评估漏洞的影响范围,确定漏洞是否可持续利用对目标进行访问,最后给出相应的缓解措施。
近日,ISC 2022万人元宇宙序幕,梆梆安全车联网专家袁森针对“安全合规的汽车信息安全检测与渗透”作了干货满满的主题分享。
(长按二维码查看精彩演讲回放)
梆梆安全经过十余年在安全行业的深耕实践,持续推出车联网、智能家居等相关解决方案,梆梆安全研究院曾翻译《车联网渗透测试》图书,专为不熟悉车辆机电一体化的网络安全专业人士,提供识别和缓解网联汽车风险提供所需的策略、技术和步骤方面的参考。将安全能力渗透到各类终端的同时,梆梆安全还打造出了把安全能力延伸至传输端及云端的泛在安全云防护系统。面对快速发展的人工智能,梆梆安全更是前瞻性的提出认知安全理念。
当前,我们针对车联网提供了不同的产品和服务,包括:R155合规咨询、TARA分析服务、合规测试服务、渗透测试服务及汽车信息安全培训。
梆梆安全TARA分析报告 梆梆安全渗透测试报告
有服务需求的车联网厂商
欢迎致电梆梆安全
服务热线:4008-881-881
梆梆安全正在以当今网络重心移动互联网为源点,逐渐将安全防护能力向传统互联网以及未来物联网延伸,并参考共享经济模式创新性提出“共享安全”理念,围绕业务安全、数据安全帮助用户制定网络安全建设规划,构筑覆盖全网络环境的新型信息安全整体纵深防御系统。