如今,如果某物与信息流相连,它就很容易受到网络攻击。由于现代汽车本质上是车轮上的数据中心,所以很容易理解为什么它们会引起黑客的兴趣。汽车通过许多不同的接口连接,包括USB、CAN总线、WiFi、蓝牙、蜂窝网络和汽车以太网。这不仅给了网络犯罪分子一个名副其实的攻击选择自助餐,这是一个噩梦,一个公司的工程和测试团队的安全。但监管机构并没有挥舞白旗。事实上,他们已经勾画出了反击的蓝图。
大局
UNECE WP.29世界车辆法规协调论坛是一项广泛的战略倡议,旨在让汽车制造商在各种车辆法规上步调一致。2020年6月,WP.29采纳了一项新框架,并制定了两项规定,要求汽车制造商实施以下措施:
管理车辆网络安全风险
通过设计来确保车辆安全,降低供应链上的风险
检测并响应整个车队的安全事故。
强迫函数
WP.29网络安全框架的主要规定是联合国R155,要求汽车制造商将网络安全纳入其车辆工程流程的整个生命周期。
通俗地说,这可以归结为两个关键细节:
关键合规
如果你把UN R155想象成一把锁,那么ISO/SAE 21434就是钥匙。
联合国R155要求部署csm,而ISO/SAE 21434解释了如何实际实施csm。
“安全”是一个不断变化的目标。您只需要对每个组件进行一次功能安全性测试。但随着每天都有新的威胁、漏洞和漏洞出现,网络安全测试绝不是“一件事”的命题。
这就是cms的作用所在。一个好的cms要求广泛地评估适用的威胁——这是通过威胁分析和风险评估(TARA)来完成的。
在TARA之后,汽车制造商可以识别、实施和验证缓解措施,然后通过软件更新将其推广到零部件和系统。
有了一个高效的csm,汽车制造商可以及时地重新评估和减轻新出现的威胁,同时确保他们的修复不会无意中暴露其他组件或系统遭受攻击。
汽车制造商如何反击网络犯罪?
这一切都归结为像敌人一样思考。
当网络犯罪分子试图利用系统和组件的漏洞时,汽车制造商可以执行受控网络攻击,根据他们的csm准确测试车辆的安全性。
这种测试有时被称为汽车渗透测试,包括多种测试类型,包括功能网络安全测试、模糊测试和漏洞测试。
这些测试不仅需要覆盖一套全面的潜在威胁向量,还需要考虑攻击者可能采取的各种入侵点。这意味着要对现代汽车使用的所有接口进行测试。
但这只是成功的一半。软件更新是缓解汽车零部件和系统漏洞的首选方法,需要大量的重新验证。
这一过程需要反复进行,而自动化是实现这一过程的关键。
归根结底,要遵守联合国R155,就需要一种可重复、可扩展和有充分文件证明的测试方法。在不断扩大的攻击面、新出现的威胁和强制性合规流程之间,集成和自动化不是奢侈品,而是必需品。
保护最重要的东西
就其本质而言,网络安全世界几乎处于连续不断的变化状态。
在未来几年,我们可能会看到新的攻击载体、组件威胁和系统漏洞的大规模扩散。
因此,对于眼光敏锐的消费者来说,那些反应最快的汽车制造商将成为最受保护、最安全、最安全的选择,这就不足为奇了。
来源:europe.autonews.com
上海沐睿科技服务有限公司是国内专业从事汽车法规合规的第三方咨询公司,多年来,为上汽,长城,宇通,大通,爱驰,蔚来等OEM提供汽车环保法规合规服务,团队跟踪与研究全球的环保合规,期待为更多的企业提供服务。www.automds.cn
详情咨询info@murqa.com
免责声明:版权归原作者所有,如有侵权请联系删除;文章内容属作者个人观点,不代表本公司观点和立场。转载请注明来源;文章内容如有偏颇,敬请各位指正。
