近年来,汽车网络安全已成为全球汽车行业面临的主要挑战之一。为积极应对这一问题,欧洲于2022年率先实施了相关法规,并引领了全球汽车网络安全的合规进程。24年8月,中国也发布了关于汽车网络安全的国家标准(GB),该标准将于2026年正式实施。为了成功应对这一挑战,对欧洲率先推进的联合国法规进行深入了解和前期分析将带来极大的帮助。同时,理解提供具体指导的“汽车网络安全工程国际标准”——ISO/SAE 21434,也是必不可少的。
飞斯柯罗在国际汽车网络安全的四大认证领域,即CSMS、ISO/SAE 21434、VTA和SUMS,都拥有成功案例。基于此,我们为了解决控制器开发商(Tier)的困扰,特别准备了此次研讨会。作为一家专注于网络安全的企业,飞斯柯罗经常收到相关的咨询问题。
此次研讨会将围绕我们从供应链厂商那里“最常被问到”的7个核心网络安全问题展开。我们将探讨以下内容:全球OEM对Tier的要求、TARA的执行主体、CSMS的应对策略、网络安全产出物编写时现有成果的可复用性及注意事项、安全漏洞管理方案、网络安全的后续应对工作,以及Tier是否需要获得网络安全相关认证等。
■ 问题LIST
1. 全球OEM对Tier提出的网络安全相关要求有哪些?如果要求内容复杂或模糊,应该如何解读呢?
2. TARA不是应该由OEM来执行吗?
3. 我不知道应该从哪里开始应对CSMS
4. 在编写网络安全交付物时,我想复用现有的成果,需要一些建议
5. 希望能获得关于安全漏洞管理方案的建议
6. 由于缺乏网络安全背景知识,每次与OEM开会后,后续的应对工作都会增加
7. Tier也需要获得网络安全相关认证吗?
■ 视频 Ver.
■ 文本Ver.
1. 全球OEM对Tier提出的网络安全相关要求有哪些?如果要求内容复杂或模糊,应该如何解读呢?
在当前汽车行业快速发展的背景下,网络安全已成为整车制造商(OEM)和供应商(Tier)之间合作的重要组成部分。为确保车辆在整个生命周期内的网络安全性,OEM对Tier提出了多项安全相关要求。尽管不同OEM的具体要求存在差异,但通常涉及以下几个方面。
项目(控制器)层级的TARA
在项目初期,OEM通常会在整车层级执行TARA(威胁分析与风险评估),以确定各个项目的网络安全目标和需求。对于对网络安全要求较高的OEM,有时还会要求Tier在控制器(ECU)层级执行TARA,以实现双向验证并提高系统整体的安全防护能力。
网络安全工程(安全解决方案应用与安全测试验证)
为满足OEM设定的网络安全需求,Tier需要在控制器中开发多种安全功能与应用,常见的包括:
⦁ Secure Boot(安全启动):防止恶意软件篡改系统。
⦁ Secure Flash(安全闪存):保障固件更新过程中的数据完整性。
在开发完成后,Tier还需开展一系列安全测试活动,以验证安全应用是否满足OEM的技术规范和性能要求。
网络安全相关的组织及流程 & CIA
为有效执行与网络安全相关的开发、验证和运营任务,Tier内部必须建立完善的:
⦁ 网络安全管理组织
⦁ 工作流程
这一要求就是OEM与Tier之间网络安全相关工作中的职责与分工协商及合同签订的核心内容,也就是所谓的CIA(网络安全接口协议)。
不过在收到OEM的要求时,在遇到解读困难或不明确的情况下,最好的做法是确保满足OEM获得UNR 155认证所需的“最低”要求,同时从Tier的立场出发,争取最有利的解释。这也是为什么在项目初期,与OEM进行关于网络安全相关工作的协商非常重要的原因。
负责这些工作的人员通常被称为网络安全经理。网络安全经理的职责是,在确保OEM能够满足认证最低要求的同时,为Tier争取最大的利益,例如通过与OEM负责人进行适当的协商,尽可能重用现有的交付物,从而减少重复工作量和资源浪费。
要充分发挥网络安全经理的作用,必须准确理解OEM获得UNR 155认证的整体流程。
简而言之,OEM与Tier需先建立网络安全组织和工作流程,并针对认证车型在车辆、系统和控制器层级执行TARA(威胁分析与风险评估),以确定网络安全目标和需求。为满足这些需求,OEM会发布通用的安全设计与验证规范书。然而,由于难以完全契合控制器特性、新车型需求或Tier自身情况,OEM通常需与Tier协商以缩小差距(GAP)。这正是网络安全经理的重要职责之一。
差距协调完成后,网络安全工程流程将正式启动,并推进至量产启动(SOP)阶段。即便在SOP之后,直至车辆退役,Tier仍需持续进行安全威胁监测和事件响应。
总结来说,对于OEM获得认证所需的关键事项,Tier应尽量予以满足。而对于可以由Tier自由发挥的部分,则应尽可能复用已有的成果和资源,以降低开发成本和提高效率。
TARA(威胁分析与风险评估)不仅是概念阶段的工作,Tier也需在项目全周期内持续执行。
目前,大多数情况下仅在概念阶段开展一次TARA,作为一次性活动。然而,网络安全风险贯穿整个车辆生命周期,TARA在开发阶段及量产后同样重要。当发生网络安全事件时,TARA有助于:
⦁ 分析威胁并评估风险
⦁ 确定应对的紧急性与优先级
⦁ 制定合适的安全对策与处理方案
因此,TARA是贯穿全流程的风险管理方法论,不仅限于初期应用。为了高效应对持续变化的安全威胁,Tier必须在内部系统化和常态化TARA活动,这也是确保网络安全管理有效性的关键环节。
3. 我不知道应该从哪里开始应对CSMS
从Tier的角度来看,应对CSMS(网络安全管理体系)可以分为以下两种情况。
⦁ 需要建立基于ISO/SAE 21434的网络安全管理体系
⦁ 需要建立能够应对OEM和Tier之间签订的CIA(网络安全接口协议)的体系。
总结来说,无论是哪种情况,都可以通过建立符合ISO/SAE 21434的网络安全管理体系来进行应对。
建立网络安全管理体系时,需要包含以下内容。
⦁ 针对OEM与Tier之间CIA签订流程(即网络安全接口协议流程)的应对指南
⦁ 包括网络安全组织在内的网络安全管理系统和规则的建设
⦁ 网络安全威胁分析与风险评估指南(TARA指南)
⦁ 将OEM的网络安全需求规范融入产品开发并进行验证的方案
⦁ 针对生产工艺的网络安全应用指南
⦁ 建立网络安全信息和事件的监控体系,并对发现的漏洞进行分析与管理
⦁ 针对网络安全事件的响应指南
通过建立这样的网络安全管理体系,可以全面应对OEM的各种相关需求。
如果建立了这个“符合ISO/SAE 21434的网络安全管理体系”,是能够满足OEM提出的大部分要求的。不仅是OEM,还有许多Tier企业都会向像我们这样的专业公司寻求帮助。不过,从长远来看,将这种网络安全管理体系“内化”是必要的。网络安全是一个长期重要的领域,因此拥有一个能够帮助组织建立并“优化”到适应其环境的管理体系,并进一步实现“内化”的合作伙伴尤为重要。从“专业咨询”的角度来看,应该从什么开始,接下来“如何”推进呢?
我们将网络安全管理体系建设的专业咨询工作大致分为三个阶段。
第一阶段,咨询服务将通过差距分析(Gap Analysis),为组织的现状量身设计并构建适合的网络安全管理体系。
第二阶段,通过选择适合网络安全内化的项目,根据相关流程提供项目执行过程的咨询服务。
具体包括:
⦁ 支持组建网络安全应对项目团队并制定计划
⦁ 支持CIA(网络安全接口协议)的签订过程
⦁ 支持产品的TARA(威胁分析与风险评估)过程,如有需要,可派遣TARA专家参与
⦁ 在产品开发过程中,支持安全解决方案的设计、应用和验证,如有需要,可派遣红队(Red Team)协助
⦁ 支持在生产工艺中实施安全措施
⦁ 在车辆全生命周期内,支持事件监控和漏洞管理
第三阶段,ISO/SAE 21434要求进行网络安全审查和项目评估,我们也为这一过程提供支持。对于开发和质量管理团队来说,每个项目都要逐次应对流程审查是一项极大的负担。为此,我们建议通过获取权威的CSMS认证,来提高效率和生产力。
如果不想每次都重复应对整个流程,获取CSMS认证是一个不错的选择。
4. 在编写网络安全交付物时,我想复用现有的成果,需要一些建议
网络安全交付物的工作范围由OEM与Tier之间签订的CIA(网络安全接口协议)决定。
对于CIA中列出的各项交付物,可以分为复用现有交付物和全新编写交付物。是否可以复用交付物,至少需要在审查项目定义文档和网络安全规范文档后才能决定。在审查项目定义文档时,需要确认项目功能、安全资产以及运行环境的变化情况;在审查网络安全规范文档时,需要确认安全需求或安全控制是否发生了变化。
为了方便说明交付物的复用情况,我们可以根据CIA中的交付物,将其分组归类如下。
⦁ 网络安全流程交付物 → 大部分可以直接复用
⦁ 网络安全管理交付物 → 需要根据相关指导进行修改或更新
⦁ TARA及验证交付物 → 可以复用,但需考虑网络安全规范的更改、运行环境的变化,以及相关威胁场景或漏洞的变化
⦁ 网络安全开发交付物 → 可以复用,但需考虑网络安全规范的变更
除了第9、10、11条款外,大多数交付物都可以较为轻松地实现复用
为了更深入地探讨, 9、10、11条款的交付物需要进行复用分析。例如,如果新增了网络安全功能需求,则需要在产品中新增或修改相应的安全功能,并完善验证测试用例。另一个例子是,即使产品规格没有发生变化,但运行环境发生了变更,也需要重新执行TARA。例如,增加外部接口会导致新增安全资产;车辆安全模型的变更会影响安全风险评估。
总结来说,虽然交付物可以复用,但复用之前需要进行分析,并且在此过程中,需要考虑运行环境和网络安全规范的变更;还要评估由此引发的威胁场景和漏洞变化。基于复用分析的结果,可以决定是否需要更改规范或重新设计。
网络安全漏洞管理需要从以下两个方面进行考虑.
⦁ 全生命周期管理:从产品开发、量产到量产后的整个生命周期,必须对安全漏洞进行管理
⦁ 多种来源识别出的漏洞管理 : 不同渠道发现的漏洞都需要纳入管理范围。
网络安全问题在产品开发完成后(即SOP之后)依然可能发生。这是因为,现实中黑客技术的发展速度往往快于安全解决方案的演进速度。每当发生网络安全事件(Cybersecurity Incident),都需要开发、验证并发布安全对策,而这些活动将贯穿汽车的整个生命周期。听起来确实如此。5年的量产周期,再加上10年的保修期,已经有15年了。实际上,这一周期可能接近20年。在这样长的时间内,现有的安全技术很难完全经得住考验。因此,需要实施ISO/SAE 21434第8章"持续性网络安全活动"。让我们通过具体案例来进行说明。
该界面是漏洞管理台账的示例。如图所示,漏洞的来源渠道多种多样。
⦁ 通过网络安全信息和事件监控识别的漏洞
⦁ TARA结果中识别出的风险清单
⦁ 在产品开发/验证过程中发现的漏洞
⦁ 在量产后现场发生的安全事件
正如这个例子所示,至少每个项目都需要维护一个漏洞管理清单。正如之前简要提到的,漏洞需要根据项目的特性进行管理。此外,这些网络安全活动必须遵循ISO/SAE 21434第8条款,即持续网络安全活动的指导原则来执行:
⦁ 必须实施并记录网络安全信息和事件监控;
⦁ 评估识别的事件是否属于安全弱点;
⦁ 通过TARA确认该弱点是否会成为项目中的漏洞;
⦁ 这些漏洞需要在产品的整个生命周期内进行管理。
漏洞管理清单的格式并不是固定的。之前提到的Excel管理清单是最低限度的形式。如果条件允许,建议通过系统化的方式进行管理。为了将网络安全漏洞管理内化,建立并运行SIEMS(Security Information and Event Management System)系统是最佳实践。
6. 由于缺乏网络安全背景知识,每次与OEM开会后,后续的应对工作都会增加
这个问题是我在与控制器制造商的负责人交流时非常常见的提问,我自己在实际工作中也经常遇到类似的情况。之前已经有类似的应对方案介绍过,最终要想高效应对OEM提出的各种需求,可以用一句话概括:标准化和战略性应对方案的制定是关键。
根据产品特性定制安全需求;通过遵循国际标准编写交付物,尽量减少因OEM需求变化而带来的修改工作量。
正如之前提到的,OEM通常会有自己的标准网络安全功能需求规范。然而,这些规范通常是一个“超集”(Super Set),并不能完全适用于每个控制器的特性。
因此,我们需要准确了解OEM的需求,明确区分我们能够完成的部分与不能完成的部分。对于不能完成的内容,需要提出替代方案,或者清晰说明无法完成的原因,同时必要时提供后续应对计划。OEM会将这些控制器制造商提供的说明材料用于形式认证。
从CIA的角度来看,OEM对交付物的要求级别也各有不同,这使得控制器制造商的应对非常困难。为解决这些问题,可以基于ISO/SAE 21434标准编写交付物,并充分解释其符合国际标准,以最大限度减少重复工作和修改需求。然而,现实问题是,大多数控制器制造商并没有专门的网络安全团队,因此无法开展上述活动,导致与OEM讨论的越多,模糊性越高,工作量也随之增加。要解决这些困难,制造商需要具备网络安全专业能力的协助者,而像我们这样的专业公司可以提供有效的解决方案。
飞斯柯罗不仅为全球OEM提供CSMS咨询、网络安全解决方案以及安全测试服务,还深知OEM为了获得UNR155认证所需要控制器制造商配合的事项。此外,我们还拥有丰富的经验,包括为多家控制器制造商提供CSMS咨询服务、支持网络安全经理应对、销售安全解决方案,以及提供工程服务。因此,我们能够为您提供优化的指导,帮助您高效完成相关工作。
明确来说,认证是汽车制造商(OEM)的强制要求,而不是Tier的。
根据UNR 155的规定,CSMS认证是汽车制造商(OEM)的强制要求。不过,它也要求CSMS必须能够管理控制器制造商的网络安全活动。具体的方法论在ISO/SAE 21434的第7章《分布式网络安全活动》中有所说明。
OEM通过CIA(网络安全接口协议)来确认控制器制造商是否已经建立了CSMS。因此,虽然控制器制造商并不直接需要认证,但根据OEM的要求,必须建立CSMS。目前,一些控制器制造商在建立CSMS的基础上,还通过测试机构(目前主要是测试机构TS)取得了ISO/SAE 21434认证。通过这样的认证,企业可以证明自己在网络安全方面的应对准备充分,从而提升在其他项目或新OEM项目竞标中的竞争力。需要注意的是,目前尚无正式的认证机构或审查员资格,因此负责UNR 155认证的测试机构(TS)也负责为Tier提供ISO/SAE 21434认证服务。
飞斯柯罗与多家测试机构(TS)有合作经验。例如,我们曾协助某控制器制造商成功获得ISO/SAE 21434认证。基于这些合作关系和丰富的经验,我们完全有能力帮助有意获得认证的控制器制造商高效完成认证。
今天的网络研讨会对大家是否有所帮助呢?希望飞斯柯罗专家小组的回答能够帮助大家解决一些疑问和困惑。未来,我们将继续为大家准备更多能带来实质性帮助的项目,敬请大家多多关注。
飞斯柯罗是韩国领先的汽车网络安全专业企业。我们通过为客户量身定制解决方案,根据客户的实际情况和环境,提供务实的技术突破口,解决复杂的技术问题。
从专用的网络安全控制器SGW,到无需更换芯片即可满足法规要求的HSM安全解决方案,再到支持网络安全持续优化的“一站式运营管理平台”——CSMS门户,飞斯柯罗致力于以务实的方式解决行业面临的困境,立志成为基于SDV(软件定义车辆)的未来移动出行产业中的重要参与者。我们的团队由汽车电子控制系统开发专家和白帽黑客组成,具备卓越的专业实力。
