隨著車輛變得更智能、更復(fù)雜、連接性越來越強(qiáng)，它們也更容易受到網(wǎng)絡(luò)攻擊?，F(xiàn)在汽車網(wǎng)絡(luò)安全工作的挑戰(zhàn)是跟上黑客的步伐，他們正在不斷設(shè)計(jì)新的創(chuàng)新方法來攻擊車輛中的軟件和硬件。

根據(jù)Upstream 的《2023 年全球汽車網(wǎng)絡(luò)安全報(bào)告》，與上一年相比，2022 年與應(yīng)用程序編程接口 (API)相關(guān)的深層/暗網(wǎng)活動(dòng)和事件大幅增加。去年報(bào)告的事件中約有 63% 歸因于各種攻擊媒介的黑帽演員。目標(biāo)包括遠(yuǎn)程信息處理和應(yīng)用服務(wù)器、遠(yuǎn)程無鑰匙進(jìn)入系統(tǒng)、ECU、信息娛樂系統(tǒng)、移動(dòng)應(yīng)用程序、EV 充電基礎(chǔ)設(shè)施和藍(lán)牙。

圖 1：2010 年至 2021 年汽車攻擊媒介的沖擊。來源：Upstream

這不是一個(gè)新問題。早在 2015 年，兩名安全研究人員就證明了可以遠(yuǎn)程控制吉普切諾基并將其駛離道路，導(dǎo)致克萊斯勒召回 140 萬輛汽車。研究人員證明，可以使用蜂窩連接進(jìn)入娛樂系統(tǒng)，然后訪問其他 ECU。

不過，事實(shí)證明這僅僅是個(gè)開始。近期，Progressive 和 State Farm 保險(xiǎn)公司因盜竊事件頻發(fā)，理賠成本高昂，暫時(shí)停止向現(xiàn)代和起亞部分車型發(fā)放保單。被盜車輛數(shù)量增加的一個(gè)可能原因是社交媒體展示了如何在不使用車鑰匙的情況下啟動(dòng)汽車。對(duì)此，2023年2月14日，現(xiàn)代宣布為超過100萬輛伊蘭特、索納塔和Venue車型免費(fèi)升級(jí)防盜軟件。

隨著 ECU 和 ADAS 中軟件內(nèi)容和電子硬件的增加，車輛比以往任何時(shí)候都更容易受到黑客攻擊，而且無處可藏。

英飛凌科技安全工程師 Marcus Janke 表示：“該行業(yè)正在通過電氣化、越來越多的自動(dòng)駕駛、軟件定義的汽車和連接性進(jìn)行轉(zhuǎn)變?！?“半導(dǎo)體對(duì)于微控制器、傳感器、分立安全模塊或電源組件等組件的未來汽車數(shù)字化至關(guān)重要。但隨著車輛變得更加數(shù)字化，車輛的網(wǎng)絡(luò)安全對(duì)于抵御潛在威脅以及實(shí)現(xiàn)這些先進(jìn)機(jī)器的安全可靠運(yùn)行至關(guān)重要?！?/p>

大多數(shù)電子內(nèi)容和增強(qiáng)的連接性對(duì)于保持競(jìng)爭(zhēng)力至關(guān)重要?！胺e極采用和利用新興技術(shù)趨勢(shì)的公司和行業(yè)參與者將把自己定位為汽車行業(yè)未來的領(lǐng)導(dǎo)者和創(chuàng)新者，”Janke 說?！巴ㄟ^采用新技術(shù)，他們可以保持領(lǐng)先地位，保持相關(guān)性，并在市場(chǎng)上創(chuàng)造競(jìng)爭(zhēng)優(yōu)勢(shì)。”

然而，所有這些都為對(duì)車輛的遠(yuǎn)程攻擊打開了大門，目前，遠(yuǎn)程攻擊占各種入口點(diǎn)攻擊總數(shù)的 90%。

“首先也是最重要的是無鑰匙進(jìn)入鑰匙扣，”Rambus 安全 IP 產(chǎn)品管理首席工程師 Thierry Kouthon說。“下一個(gè)大目標(biāo)是手機(jī)，用于連接信息娛樂系統(tǒng)或在寒冷天氣遠(yuǎn)程加熱汽車。經(jīng)銷商或機(jī)械師使用的車載診斷 (OBD) 是另一個(gè)切入點(diǎn)。藍(lán)牙、Wi-Fi 和遠(yuǎn)程信息處理網(wǎng)絡(luò)都可以被黑客訪問，同時(shí)隨著電動(dòng)汽車越來越受歡迎，充電端口將成為另一個(gè)目標(biāo)?！?/p>

Riscure首席執(zhí)行官 Marc Witteman表示：“許多傳感器將使用無線接口來報(bào)告問題（例如胎壓傳感）。這些傳感器將是低成本的，但即使這樣它們也需要得到保護(hù)。想一想路邊攻擊者廣播“爆胎”警報(bào)以在路段上造成嚴(yán)重破壞的場(chǎng)景。我們必須確保與車輛以及車輛內(nèi)部的所有通信都使用強(qiáng)大且經(jīng)過驗(yàn)證的安全性。”

車內(nèi)組件之間的連接提供了更多重要的功能，例如緊急服務(wù)，但它也增加了風(fēng)險(xiǎn)，尤其是當(dāng)車輛連接到互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)時(shí)。Cyient 的首席技術(shù)官 Rajaneesh Kini 說：“對(duì)一個(gè)系統(tǒng)的一次攻擊可能會(huì)對(duì)整個(gè)車輛產(chǎn)生連鎖反應(yīng)?！?/p>

Arteris IP解決方案和業(yè)務(wù)開發(fā)副總裁 Frank Schirrmeister指出了黑客的三個(gè)主要目標(biāo)?！笆紫龋ㄐ畔到y(tǒng)，即車載網(wǎng)絡(luò)，可能容易受到攻擊。其次，控制音頻、導(dǎo)航和其他功能的信息娛樂系統(tǒng)可能是一個(gè)潛在的切入點(diǎn)。第三，遠(yuǎn)程無鑰匙進(jìn)入系統(tǒng)等項(xiàng)目可以讓攻擊者在沒有鑰匙的情況下解鎖和啟動(dòng)車輛。潛在的漏洞包括缺乏加密、弱身份驗(yàn)證和過時(shí)的軟件。這在汽車系統(tǒng)中尤為重要，因?yàn)槭艿焦舻陌踩P(guān)鍵性可能會(huì)導(dǎo)致安全損失。簡單的目標(biāo)可以是移動(dòng)應(yīng)用程序、板載診斷端口以及 Wi-Fi 和藍(lán)牙連接等項(xiàng)目?！?/p>

硬件和軟件安全措施的結(jié)合可以幫助防止漏洞并實(shí)時(shí)檢測(cè)問題，例如提醒驅(qū)動(dòng)程序注意片上網(wǎng)絡(luò) (NoC) 或某些 I/O 通信系統(tǒng)中的意外數(shù)據(jù)流量。但這只是解決方案的一部分。

供應(yīng)鏈挑戰(zhàn)

良好的安全性還需要不同公司之間的合作。原始設(shè)備制造商需要管理整個(gè)供應(yīng)鏈以關(guān)閉安全漏洞，這增加了整個(gè)過程的復(fù)雜性。

“每增加一個(gè)智能子系統(tǒng)，壞人的攻擊面就會(huì)增加，”Keyfactor 物聯(lián)網(wǎng)戰(zhàn)略和運(yùn)營高級(jí)副總裁 Ellen Boehm 說?！爸老到y(tǒng)在車輛內(nèi)部連接，為發(fā)動(dòng)機(jī)、動(dòng)力轉(zhuǎn)向或制動(dòng)器等關(guān)鍵系統(tǒng)提供了多種途徑。任何連接系統(tǒng)中的漏洞都可以菊花鏈連接到其他系統(tǒng)。這需要汽車制造商與其一級(jí)供應(yīng)商及其供應(yīng)商之間建立密切、可信賴的關(guān)系?！?/p>

BlackBerry 首席技術(shù)官 Charles Eagan 指出了安全在軟件供應(yīng)鏈中的重要性，其中包括無數(shù)為車輛本身的軟件堆棧做出貢獻(xiàn)的供應(yīng)商，以及與公司有業(yè)務(wù)往來并可能或者可能無法訪問客戶數(shù)據(jù)。

好消息是原始設(shè)備制造商正在認(rèn)真對(duì)待這一挑戰(zhàn)。例如，通用汽車的網(wǎng)絡(luò)安全組織實(shí)施了基于行業(yè)和政府最佳實(shí)踐的三支柱方法，以部署縱深防御、監(jiān)控和檢測(cè)以及事件響應(yīng)，以保護(hù)通用汽車及其客戶。該公司還積極參與行業(yè)方面的努力，例如 Auto ISAC、Cyber Readiness Institute 和 Cyber Auto Challenge。

與此同時(shí)，梅賽德斯-奔馳公開表示，隨著數(shù)字化程度的提高，對(duì)網(wǎng)絡(luò)安全的要求也越來越高。產(chǎn)品安全一直非常重要，公司專注于在每輛汽車的整個(gè)生命周期中主動(dòng)管理漏洞和威脅。

如何應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅

? ? ? 建立網(wǎng)絡(luò)安全防御是絕對(duì)必要的，但隨著網(wǎng)絡(luò)威脅的迅速發(fā)展，有多種方法，從保護(hù)通信協(xié)議到在設(shè)計(jì)周期的早期構(gòu)建安全性、平衡安全性和成本以及實(shí)施新的安全標(biāo)準(zhǔn).

“我們提倡的是，這些入口中的每一個(gè)——除了可能需要物理訪問的 OBD 端口——都需要一個(gè)安全的通信協(xié)議，并使用信任根和集中式流程進(jìn)行安全密鑰管理，”Rambus 的 Kouthon 說?！霸谠S多情況下，端口之間的通信，例如無鑰匙鏈，每次都使用相同的數(shù)據(jù)序列。一旦遭到破壞，黑客就可以進(jìn)入車輛?！?/p>

為了完全安全，每個(gè)通信協(xié)議都需要使用信任根進(jìn)行身份驗(yàn)證，確保密鑰和機(jī)密加密數(shù)據(jù)保密并安全處理。Kouthon 說：“無論何時(shí)發(fā)現(xiàn)軟件模塊受到威脅，都可以使用信任根將其更新為修復(fù)漏洞的新版本?！?“每當(dāng)硬件設(shè)備受到威脅時(shí)，也可以使用信任根重新保護(hù)它。硬件設(shè)備的妥協(xié)通常意味著其密鑰已經(jīng)泄露。這些密鑰可以通過信任根輔助的過程被新密鑰替換。為此，信任根通常會(huì)使用未被破壞的秘密恢復(fù)密鑰，因?yàn)樗鼈兾挥谄溆布Ｗo(hù)的安全飛地中。這樣，車輛就可以從網(wǎng)絡(luò)攻擊中恢復(fù)過來。”

在設(shè)計(jì)周期的早期構(gòu)建安全性
? ? 為了有效，需要在設(shè)計(jì)周期的早期實(shí)施安全性，最好是在體系結(jié)構(gòu)級(jí)別。但考慮到設(shè)計(jì)周期的長度，以及沿途新技術(shù)的快速發(fā)展，這是一個(gè)巨大的挑戰(zhàn)。

“即使對(duì)于今天的原始設(shè)備制造商來說，這也不容易做到，”新思科技汽車軟件和安全高級(jí)經(jīng)理克里斯克拉克說?！叭绱硕嗟墓?yīng)商參與了車輛組件的開發(fā)，因此獲得架構(gòu)計(jì)劃的統(tǒng)一安全視圖具有挑戰(zhàn)性?！?/p>

克拉克通常建議原始設(shè)備制造商看看其他行業(yè)已經(jīng)做過的事情?！安灰噲D從頭開始。當(dāng)您從頭開始并嘗試想出適合您或您的組織的東西時(shí)，這是非常昂貴的。該成本必須轉(zhuǎn)回給消費(fèi)者。利用在安全方面做得很好的現(xiàn)有技術(shù)可以幫助 OEM 實(shí)現(xiàn)更好的成本效益。原始設(shè)備制造商可以從工業(yè)領(lǐng)域的工業(yè)控制系統(tǒng)或醫(yī)療領(lǐng)域的安全機(jī)制中提取不同的安全方面，以確保關(guān)鍵組件以正確的方式運(yùn)行，并依賴于汽車行業(yè)的安全機(jī)制?！?/p>

此外，必須在系統(tǒng)級(jí)主動(dòng)處理汽車安全問題。

“安全不僅僅是 SDV 和現(xiàn)代車輛中 SoC 上的硬件，”?Cadence的 Tensilica Xtensa 處理器 IP 產(chǎn)品營銷組總監(jiān) George Wall 指出?！斑@是一個(gè)系統(tǒng)級(jí)問題，涉及 SoC、軟件以及軟件定義車輛中數(shù)百個(gè) SoC 之間的通信和交互。因此，在設(shè)計(jì)系統(tǒng)時(shí)考慮到安全性并在設(shè)計(jì)周期的早期分析威脅和漏洞至關(guān)重要。”

“可信域是安全架構(gòu)的一個(gè)眾所周知的組件，”Wall 繼續(xù)說道，并指出專用 IP 允許用戶將他們的系統(tǒng)劃分為安全和不受信任的域，以便只有可信實(shí)體才能訪問某些關(guān)鍵組件。

這應(yīng)該有助于原始設(shè)備制造商在受到攻擊時(shí)重新獲得控制權(quán)，并且將來可能會(huì)發(fā)生許多此類攻擊。

“車內(nèi)的任何計(jì)算單元都是潛在威脅，”紅帽車載操作系統(tǒng)和邊緣副總裁兼總經(jīng)理 Francis Chow 說。“最脆弱的區(qū)域是可以對(duì)車載設(shè)備（例如 OBD 連接器）進(jìn)行物理連接或連接的地方，但這些攻擊需要物理訪問。許多其他威脅類型需要了解和緩解。一些威脅試圖在軟件開發(fā)過程中引入惡意代碼。其他威脅試圖通過未經(jīng)授權(quán)的入口點(diǎn)入侵正常運(yùn)行的系統(tǒng)，而有些威脅則針對(duì)軟件更新過程。盡管存在許多威脅，開發(fā)團(tuán)隊(duì)仍可以努力找出根本問題或漏洞，以確定后續(xù)步驟。”

平衡安全成本
? ? 找到一種切實(shí)可行的方法來實(shí)施足夠的安全性，同時(shí)將成本保持在最低水平也很關(guān)鍵。

“了解黑客在尋找什么很重要，”Synopsys 的克拉克說?！八麄兺ǔ２粫?huì)花費(fèi)大量的精力和金錢來攻擊最脆弱的目標(biāo)。他們會(huì)尋找簡單的目標(biāo)，例如鑰匙扣。他們可以對(duì)密鑰卡的工作原理進(jìn)行逆向工程，以便進(jìn)入車輛，然后竊取車輛內(nèi)的物品或車輛本身。原始設(shè)備制造商可以提高普通攻擊者容易訪問的活動(dòng)的門檻，并鞏固和強(qiáng)化這些區(qū)域，使車輛難以受到一般攻擊。期望 OEM 將車輛加固到任何黑客都無法訪問車輛的程度可能是不現(xiàn)實(shí)的。屆時(shí)，一輛價(jià)值 50,000 美元的車輛將翻倍至 100,000 美元。大多數(shù)消費(fèi)者不會(huì)愿意為此買單。此外，

標(biāo)準(zhǔn)可以幫助建立足夠好的基線，而汽車生態(tài)系統(tǒng)正在朝著這個(gè)方向發(fā)展?！袄纾琋IST 最近剛剛選擇了用于輕量級(jí)加密的 Ascon 算法，”Riscure 的 Witteman 說。“這個(gè)標(biāo)準(zhǔn)非常高效，可以為所有汽車傳感器提供低成本的安全保障。使用測(cè)試工具和服務(wù)來驗(yàn)證所有汽車部件的安全性非常重要，這也可以幫助 OEM 實(shí)現(xiàn) ISO/SAE 21434 合規(guī)性。”

最重要的是通信和儀器的可觀察性，以及認(rèn)證，特別是那些與安全直接相關(guān)的部分。“隨著安全與保障齊頭并進(jìn)，進(jìn)入 SoC 開發(fā)過程的 NoC IP 的安全認(rèn)證至關(guān)重要，”Arteris IP 研究員兼功能安全經(jīng)理 Stefano Lorenzini 說。出于這個(gè)原因，Arteris 正在為其可配置的 NoC IP 提供安全和彈性功能，并與客戶密切合作，以根據(jù) ISO 26262 和 ISO/SAE 21434 實(shí)現(xiàn)安全可靠的片上通信。隨著行業(yè)快速走向異構(gòu)集成基于小芯片，一系列全新的安全挑戰(zhàn)正在出現(xiàn)，”

最壞的情況
? ? 如果最好的安全措施被添加到車輛中，但無論如何它都被黑客入侵了怎么辦？答案是密鑰可以與數(shù)字孿生方法一起用于恢復(fù)系統(tǒng)。這基本上就像關(guān)閉計(jì)算機(jī)并重新啟動(dòng)，但不一定完全關(guān)閉它。

“車輛的任何部分都容易受到網(wǎng)絡(luò)攻擊，”?Siemens Digital Industries Software混合和虛擬系統(tǒng)副總裁 David Fritz 說。在攝像頭被黑的情況下；一個(gè)攝像頭看到交通燈為“綠色”，而另一個(gè)攝像頭看到“紅色”，如果做出錯(cuò)誤的決定，車輛可能會(huì)處于危險(xiǎn)境地。如果人類司機(jī)仍然負(fù)責(zé)，問題可能會(huì)最小化。但隨著車輛變得越來越自主，這種情況可能會(huì)產(chǎn)生致命的后果。”

Fritz 表示，解決方案是實(shí)施數(shù)字孿生，即實(shí)際車輛的數(shù)字副本?！按鎯?chǔ)的數(shù)據(jù)是原始功能副本。當(dāng)在現(xiàn)場(chǎng)檢測(cè)到網(wǎng)絡(luò)攻擊時(shí)，車輛始終可以恢復(fù)到識(shí)別異常并糾正漏洞的黃金標(biāo)準(zhǔn)。此外，可以通過 OTA 將軟件更新推送到所有車輛，以確保車隊(duì)車輛的安全。SOAFEE 等框架特別適合采用這種方法。

編輯：黃飛

?