1. 基于R155考慮汽車網(wǎng)絡(luò)安全

車輛從設(shè)計之初就必須是安全的，一旦投入使用，汽車制造商還需要VSOC在車輛的整個生命周期內(nèi)監(jiān)控和管理網(wǎng)絡(luò)安全。到2030年，聯(lián)網(wǎng)車輛的數(shù)量預(yù)計達9億輛，是2022年(3.57億輛)的三倍。此外，汽車越來越多地由軟件定義，加大了網(wǎng)絡(luò)犯罪分子篡改并控制汽車核心功能的風險。因此，汽車制造商必須保護有車輛眾多且快速增加的攻擊面。R155描述了與后端服務(wù)器、通信、升級過程、人員行為、外部連接、數(shù)據(jù)/代碼以及與未充分保護或加固的資產(chǎn)相關(guān)的七種風險。未來十年，V2X通信可能成為主流；數(shù)據(jù)供應(yīng)鏈（數(shù)據(jù)生命周期）將成為智能網(wǎng)聯(lián)汽車功能安全的關(guān)鍵組成部分；車載主機支持大量第三方應(yīng)用程序等，這些導(dǎo)致攻擊向量帶來的風險今后也會相應(yīng)發(fā)生變化，如圖1是來自趨勢科技對汽車安全風險變化的預(yù)測，這些變化為汽車制造商未來安全投資決策提供了部分參考建議。

圖 1.當前和未來高風險威脅的百分比。通信風險最高，其次是數(shù)據(jù)/代碼

圖片來源：https://www.trendmicro.com/pt_br/research/21/i/The-Evolution-of-Connected-Cars-as-Defined-by-Threat-Modeling-UN-R155.html

 為了有效應(yīng)對車輛遭受的網(wǎng)絡(luò)攻擊，Gartner將汽車網(wǎng)絡(luò)安全解決方案劃分為三個維度，即車輛自身安全（基于邊緣的安全）、車輛通信安全和基于云的安全，三方協(xié)同，共同做成網(wǎng)絡(luò)安全解決方案或安全生態(tài)系統(tǒng)，以覆蓋R155定義的7個攻擊向量。如圖2所示：

圖2：智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全生態(tài)系統(tǒng)

圖片來源：https://www.thalesgroup.com/en/markets/digital-identity-and-security/iot/documents/vehicle-cybersecurity-ecosystem

(一)車輛邊緣的網(wǎng)絡(luò)安全（Edge-based Security）

漏洞可能直接來自車載系統(tǒng)，也可能來自車載系統(tǒng)發(fā)送或接收的消息，因此需要部署一系列安全技術(shù)來保護車輛自身的系統(tǒng)（資產(chǎn)）安全，應(yīng)對靠近車輛的攻擊。

車載操作系統(tǒng)（Vehicle Operating System）：運行車輛應(yīng)用程序的操作系統(tǒng)和中間件平臺的安全性是非常重要的。這些系統(tǒng)負責管理應(yīng)用程序代碼與計算機硬件的交互，啟動軟件程序并管理軟件資源。這意味著，如果操作系統(tǒng)的漏洞被利用，那么攻擊者可能安裝惡意軟件，用戶的體驗甚至車輛的功能安全都會受到嚴重影響。

車載應(yīng)用（Vehicle Application）：車輛電子控制單(ECU)運行嵌入式軟件或者越來越多的容器化應(yīng)用。網(wǎng)絡(luò)犯罪分子能夠通過OTA對這些軟件進行更改，從而改變車輛的運行方式，使車輛變得不再安全。

車載網(wǎng)絡(luò)（（Vehicle Network）：對于車輛本地或者靠近車輛的攻擊，如通過CAN-BUS、OBD-II、USB或藍牙、Wifi訪問車載網(wǎng)絡(luò)，提供了攻擊者滲入車輛并控制車內(nèi)單元通信的路徑。一旦這些訪問車輛的漏洞被利用，可能導(dǎo)致個人數(shù)據(jù)丟失或拒絕服務(wù)攻擊，以及攻擊者可能試圖破解車輛以解鎖需要付費的軟件功能等。

(二)基于通信的網(wǎng)絡(luò)安全（Communication-based Security）

車云通信：網(wǎng)絡(luò)犯罪分子試圖通過蜂窩連接與車輛進行遠程通信，如果車云通信漏洞被利用，這比車輛網(wǎng)絡(luò)的本地入侵帶來的風險更大，車輛和駕駛員的私人數(shù)據(jù)可能會被盜，或者犯罪分子可能會試圖更改車輛的代碼，包括軟件、固件、配置參數(shù)，或者安裝獨立的惡意軟件。

V2X通信：網(wǎng)絡(luò)犯罪分子可以向道路使用者、基礎(chǔ)設(shè)施或電網(wǎng)等其他周邊“物體”發(fā)送消息，造成交通中斷。例如他們可能會發(fā)送車輛執(zhí)行緊急制動的假消息，導(dǎo)致其他車輛停下來。

遠程訪問應(yīng)用程序：犯罪分子能夠利用手機應(yīng)用程序中的漏洞遠程解鎖和啟動車輛，從而導(dǎo)致車輛被盜。

(三) 基于云的網(wǎng)絡(luò)安全（Cloud-based Security）

聯(lián)網(wǎng)的車輛會存儲數(shù)據(jù)在云中，云基礎(chǔ)設(shè)施的漏洞被利用會導(dǎo)致數(shù)據(jù)泄露。車輛遙測數(shù)據(jù)可供VSOC檢測入侵指標，包括從車輛收集的日志（內(nèi)核、進程、系統(tǒng)、授權(quán)）和網(wǎng)絡(luò)流量信息來完成。有些入侵檢測系統(tǒng)會在車輛上安裝代理系統(tǒng)，有些代理允許發(fā)送命令，而其他代理則需要其他方式提供修復(fù)（車輛召回或者OTA更新）。同樣VSOC需要收集從其他車輛或非汽車平臺上發(fā)現(xiàn)的漏洞，作為網(wǎng)絡(luò)威脅情報的一部分。

2. 車輛應(yīng)對網(wǎng)絡(luò)威脅的幾個關(guān)鍵安全產(chǎn)品或服務(wù)

汽車制造商需要設(shè)計安全的車輛，然后使用VSOC對車輛實時監(jiān)控，以應(yīng)關(guān)鍵的威脅。當 VSOC從車輛數(shù)據(jù)中識別出異常模式時，使用預(yù)先準備好的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)手冊來解決或最大程度地減少攻擊帶來的影響。

下面從九個方面介紹緩解車輛的安全技術(shù)（這些技術(shù)通常體現(xiàn)為當前市面上主要的安全供應(yīng)商提供的產(chǎn)品或服務(wù)），見圖3。汽車制造商根據(jù)風險評估的結(jié)果，選擇自行開發(fā)或者通過生態(tài)合作來構(gòu)建汽車網(wǎng)絡(luò)安全解決方案。

圖3：智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全防護技術(shù)與生態(tài)

(一) 安全設(shè)計

安全啟動

安全啟動的要求通常建立在芯片組本身的固件中。它確保車輛上運行的代碼是合法的，并且來自汽車制造商。當車輛啟動時，不同模塊上的芯片通過計算機寫保護部分（可信錨）的密鑰對代碼進行加密驗證。固件驗證引導(dǎo)加載程序，引導(dǎo)加載程序驗證內(nèi)核，內(nèi)核反過來驗證軟件映像。它只會在簽名有效的情況下繼續(xù)引導(dǎo)過程，固件將控制權(quán)移交給操作系統(tǒng)。

外部端口/接口控制

車輛包含車載診斷（OBD）端口、調(diào)試端口（如JTAG、XCP）或數(shù)字多媒體端口（如USB、HDMl），攻擊者可以利用這些端口訪問車輛內(nèi)部網(wǎng)絡(luò)，除了防火墻之外，汽車制造商還需要在微處理器上部署加密引擎，對保存在外部存儲器中的數(shù)據(jù)進行加密。該加密引擎有助于防止端口掃描或窺探攻擊，傳統(tǒng)網(wǎng)絡(luò)防火墻可能被這些攻擊繞過。這種類型的危害可能會導(dǎo)致未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露，使可重寫閃存被損壞或通過注入惡意固件而導(dǎo)致故障。

反欺騙

欺騙是指信號被網(wǎng)絡(luò)犯罪分子攻擊或劫持，與信號干擾不同。汽車制造商正在研究如何利用冗余傳感器來識別“沒有意義”的信號，并確保傳感器輸入不被“表面數(shù)據(jù)值”所接受。這一點很重要，因為車輛依賴于傳感器來實現(xiàn)一系列高級駕駛輔助系統(tǒng)(ADAS)和未來的自動駕駛。欺騙信號(如車輛的位置)的能力將使第三方能夠間接影響車輛的駕駛方式，例如車輛行駛的速度或使車輛退出高速公路的路口。

(二)主動安全

消息異常檢測

消息異常檢測系統(tǒng)可以檢測和阻止傳統(tǒng)防火墻無法自動識別的各種攻擊。 異常檢測系統(tǒng)基于云部署，并分析從車輛網(wǎng)絡(luò)收集的日志文件，使用數(shù)據(jù)庫交叉檢查來查找異常信號。其中一些異常行為具有探測器可以查找和標記的特征。檢測器還可以利用機器學(xué)習(xí)來了解正常行為，并使用它來識別未定義的異常消息，以檢測對聯(lián)網(wǎng)車輛的未知攻擊。

入侵檢測和預(yù)防系統(tǒng)（IDPS）

利用車載代理可以分析車輛部件的日志文件，使汽車制造商能夠檢測異常情況并控制攻擊者的網(wǎng)絡(luò)訪問。重要的是，本地代理減少了需要在云端分析的不同類型的日志（內(nèi)核、進程、系統(tǒng)、授權(quán)和網(wǎng)絡(luò)）文件的數(shù)量。該代理可以對車輛部件進行實時保護，并僅將日志文件發(fā)送到VSOC，以確認被阻止的攻擊嘗試或由VSOC給出進一步行動建議。

身份驗證和數(shù)據(jù)加密/解密

公鑰基礎(chǔ)設(shè)施(PKl)和更廣泛的身份和訪問管理(lAM)的使用將變得越來越重要。零信任架構(gòu)的基礎(chǔ)是內(nèi)置在硬件安全模塊中的PKI。它使每條消息都能被認證，即使它來自車內(nèi)，并確保連接和服務(wù)只對授權(quán)使用它們的實體可見。PKl技術(shù)對OTA軟件更新很重要，通過對固件進行簽名，使其能夠被引導(dǎo)加載的程序識別為真實的。同樣，作為V2X通信的一部分發(fā)送的消息——特別是V2V和V2G場景——需要簽名以保證通信的真實性和完整性。作為更廣泛的數(shù)字化一部分，汽車制造商通過軟件實現(xiàn)了更多的功能，這些功能更多是與個人而不是車輛聯(lián)系在一起，這使得基于云的客戶資料支持lAM變得至關(guān)重要。

(三) 取證與響應(yīng)

汽車制造商會尋求技術(shù)和服務(wù)提供商的支持，以提供能夠?qū)撛谕{進行取證分析的工具。這些威脅將通過分析汽車制造商聯(lián)網(wǎng)車隊的數(shù)據(jù)來識別。VSOC需要工具在車型的整個生命周期內(nèi)進行威脅和風險評估，并繼續(xù)完善其計劃的補救行動和劇本。為了實現(xiàn)這些目標，需要利用如下幾個關(guān)鍵安全技術(shù)。

滲透測試

汽車制造商需要雇傭道德網(wǎng)絡(luò)犯罪分子，允許他們探測車輛的可利用漏洞。洞察被輸入到代碼補丁和更新的安全策略中

持續(xù)的網(wǎng)絡(luò)威脅情報報告

在車輛開發(fā)過程中，將根據(jù)硬件和軟件清單進行威脅和風險評估。但是，隨著時間的推移，將會發(fā)現(xiàn)新的漏洞。重要的是，汽車制造商必須及時了解這些新威脅，以便準備適當?shù)拇a補丁并更新安全策略。數(shù)據(jù)將從公開的共享系統(tǒng)(如Auto-SAC)和專有系統(tǒng)收集。

車載軟件/固件生命周期管理

車輛軟件平臺需要主動管理安全問題，在車輛整個生命周期中進行風險評估。該平臺將用于感知威脅、啟動保護措施并通過強化經(jīng)驗教訓(xùn)并將其反饋到TARA工作中，以持續(xù)改進安全設(shè)計。生命周期管理工具對于識別和啟動軟件和固件補丁尤其重要。這些需要通過 OTA或訪問經(jīng)銷商的方式輸入到生產(chǎn)流程和已上路的車輛中。