欢迎光临第五届中国汽车网络信息安全峰会2020!

应对不断发展的安全威胁

发布日期:2020-06-03

GRCCIoVSecurity

2020-06-03 11:49:05


手机阅读


点击上方蓝色字体,关注我们



多年来,防止车辆的误用和盗窃一直是汽车制造商的议事日程。



如今,随着全连接汽车的问世,这些活动已达到了新的高度,不仅单个汽车可以被盗,而且精巧的攻击者最终可能会攻击整个车队。


以下列出了各种角色,以及他们攻击联网车辆的动机


  • 汽车调谐器:他们的业务是远程解锁特定功能或提高性能

  • 黑帽黑客:执行公开可见的黑客活动,获得社区认可

  • 竞争:利用工业间谍活动获得竞争优势(或缩小技术差距)

  • 恐怖分子:使用个人汽车或车队进行有针对性的恐怖袭击。

  • 要了解潜在的对手如何攻击连接的车辆,至关重要的是要了解与该车辆连接的人或对象。


当然,存在明显的连接,例如通过使用蓝牙或Wi-Fi的移动设备与驾驶员或乘客,GPS / GNSS /伽利略卫星,与使用3G,4G或将来的5G网络或云的连接。其他实例作为C2X / V2X活动的一部分。


但是,还有其他方法可以将汽车连接到环境。所有车辆传感器-雷达,激光雷达,摄像头-提供将用于执行特定动作的信息。可以通过修改传感器数据来影响这些动作背后的决策过程。


( 上图; ECU的整合是解决汽车EE架构复杂性的方法之一)


还有其他连接仅在汽车的生命周期内定期使用,但仍会提供潜在的危险攻击面,例如每当将汽车送去维修时,甚至在ECU接受最终配置的OEM工厂中的生产设备时,都与测试仪建立连接。


在谈论所有这些潜在的攻击面时,值得花一秒钟的时间来解释这种情况下安全性和(功能)安全性之间的根本区别,因为它们既密切相关,又完全不同。


安全的目标是确保任何系统在任何时候都能按照其要求运行,该要求通常定义了潜在的安全威胁及其处理方式。为了达到**的安全性,使用了工具和方法,例如需求跟踪,设计/代码审查,测试和验证以及系统冗余。


另一方面,安全性又迈进了一步:除了安全性目标之外,安全性还希望确保系统在任何时候都不会做它不应该做的任何事情。除了所有保证安全的活动之外,还需要执行诸如安全策略定义/执行,渗透测试或隐蔽渠道分析之类的措施。


那么,如何维护安全性呢?


为了维护系统中的安全性,需要遵循一些基本原则:


  • 身份验证:信息只能与可信赖的合作伙伴交换。

  • 加密:要对在信任伙伴之间存储和传输的信息进行加密

  • 设备生命周期管理:这确保了在安全方面可以撤消和替换用于保护ECU和后台办公流程的密钥。

  • 分离:为了****地减少需要保护的设备或功能的数量,应使用安全分离来分离安全和非安全组件

  • 该列表包含用于开发安全系统的基本原理。但是,重要的是要提到,安全性概念需要从设计阶段开始就应用到系统的每个级别,以确保坚固的设备可以抵御攻击或在受到克服时迅速恢复。这就是所谓的“深度安全”。


软件分离


车辆内信号和功能之间的相互依赖性不断增长,以及系统复杂性不断提高,这促使人们需要在单个ECU上整合多种功能或功能(参见上文)。确保安全和安全关键功能不受非关键/非安全功能的干扰是嵌入式安全性的关键方面之一。


像INTEGRITY这样的实时操作系统通过在时间和空间上提供安全可靠的分隔作为其基础微内核体系结构的一部分,从而实现了这一目标。


仅在预先定义和配置的情况下,不同地址空间之间的通信通道才存在,从而阻止了攻击者迫使从脆弱功能到关键数据或敏感数据的连接,而该数据是其他操作系统中常见的威胁向量。


除了在保护软件体系结构方面的优势外,INTEGRITY的2类管理程序方法还带来了其他好处:由于分离内核已经很安全,在安全分区中提供完整的管理程序功能意味着比典型的1类管理程序解决方案更少的复杂性和代码。


这意味着更少的上下文切换和更高的性能,更少的延迟以及更好的可预测性。同样,此软件体系结构中的潜在危害仅限于其运行所在的特定软件分区。


安全的操作系统-为什么如此重要?


查看近期尝试渗透系统的各种攻击媒介,它们都最终落在操作系统上-通常是防御的最后一道防线,可防止攻击者控制或访问系统中的安全信息。


操作系统虽然应该能够抵御来自各种应用程序的攻击,但它不仅可以控制系统的硬件资源以及软件分区之间的接口(即用户空间),还可以添加(取决于特定类型或版本)操作系统–大量漏洞。


因此,强烈建议对所有选择的操作系统进行评估,不仅要考虑功能性,还要仔细研究与安全性相关的认证,例如通用标准的安全性评估。对于遭受重大风险的高价值资产,例如潜在威胁极高的汽车,建议使用等级至少为EAL6(评估保证级别)的操作系统。


当然,对安全的操作系统做出正确的选择只是安全性的一个方面,并不能解决系统中的所有安全性问题–需要在项目的各个级别上付出更多的努力和谨慎。忽略使用安全操作系统的需求等于在没有适当混凝土基础的情况下建造摩天大楼。


这不是问题,而是何时会破坏安全性。


CAN上的车载入侵检测和防御系统(IDPS)


CAN总线是当今车辆的主要数据载体。每个设备都可以在总线上发送或接收消息。没有指定的总线主控器,每个设备都可以启动传输,但要进行仲裁。由于车辆中ECU的数量已显着增长,并且不同设备的关键性已经大相径庭,因此车辆网络体系结构将不同CAN总线上的不同ECU分开,在许多情况下,CAN总线是通过网关连接的。


对于黑客来说,CAN总线提供了一个攻击面,使他们能够完全控制车辆。访问网关后,几乎可以在任何CAN总线段上注入恶意消息,甚至可以注入到关键的ECU(如发动机控制器,制动控制器等)。


为了通过恶意消息防止违反安全性的行为,以色列网络安全提供商Arilou(属于NNG集团)已开发了一种车载入侵检测和防御系统(IDPS)。通过提供安全代理,它使任何ECU都能区分合法框架和恶意框架。该代理将消息与给定CAN总线段上OEM指定的CAN流量模型进行比较,并在可在目标ECU中进行处理之前,在ECU软件的**层过滤掉不需要的消息。通过这种解决方案,CAN总线安全性被转移到ECU软件的**层。另外,代理可以提供车辆中其他组件的安全审核,然后可以用来消除漏洞并更新ECU。这可以通过OTA服务(空中更新)来完成,在该服务中,OEM会更新恶意消息所源自的任何ECU的软件,以修补安全问题。


作者详细信息:Nikola Velinov是Green Hills Software的高级业务开发工程师,Stephan Janouch是业务开发高级经理




相关文章

汽车安全攻略:跑赢黑客,我们现在就该这样做!
视频 | 黑客创造了可以解锁任何豪华车的新设备
兼容功能安全和信息安全的车载网络解决方案是否存在?








SELECTED EVENTS






 

长按二维码识别关注



  • 电话咨询
  • 15021948198
  • 021-22306692
None