32 次查看
一切都是计算机,从“智能”设备和家庭安全系统到提供我们公用事业并提供大众运输的大型基础设施。
或者,在车辆的情况下,许多计算机。数以百计的控制从信息娱乐到安全系统的一切,如转向,加速和制动。现代汽车是一系列计算机,由数百万行软件代码运行,安装在带轮子的金属外壳中。
这意味着汽车制造商和软件公司一样,都是运输公司。
该软件中的漏洞可以使车辆乘员的人身安全处于危险之中。恶意破解或破坏运行汽车的软件造成的损害可能比信用卡甚至身份盗窃严重得多。它可以伤害或杀死人。
但即使“互联汽车”正在成为主流,自动驾驶汽车远远超出了绘图板并进入测试阶段 – 有时在公共道路上 – 我们缺乏了解汽车行业网络安全态势及其解决软件能力所需的数据联网车辆固有的安全风险。
为填补这一空白,Synopsys和SAE International委托 对汽车行业当前的网络安全实践进行 独立调查。
Ponemon Institute对593名负责提供或评估汽车零部件安全性的专业人员进行了调查。
克里斯·克拉克,首席安全工程师,战略举措,在Synopsys和蒂姆Weisenberger,项目经理,在国际汽车工程师学会的技术方案,泰勒Armerding Synopsys公司的高级安全战略家谈到,关于一些对调查报告中的亮点。
克里斯: 我认为从安全角度来看,业界已开始做出一些重大改进,但仍有许多工作要做。这不一定是消极的。的英文这在我们其他文教看到的非常解词的它正在变得更加成熟。汽车行业是供应链管理和开发新车辆的专家。但是,当我们开始讨论软件在高度互联环境中的影响时,就有机会进行变革。
蒂姆: 好消息是,该行业确实意识到他们在整个互联汽车生态系统中所面临的网络安全威胁。我认为他们指出了正确的方向。的他们可能资源比他们想要的更薄但他们非常清楚自己的优点和缺点。
每个依赖技术的行业都有自己独特的安全“攻击面”。哪些车辆组件构成最大的网络安全风险?
蒂姆: 在高层,大多数受访者(62%)认为很可能或很可能在未来12个月内发生对其软件或组件的恶意攻击。
他们确定了几个具有最大风险的组件 – 射频技术和远程信息处理。最令人担忧的是这些技术在车辆中非常普遍。当你看到像Wi-Fi或蓝牙这样的RF技术时,那些就是通信协议。因此,汽车行业正在像其他行业一样使用开放式移动通信。它们不是专为汽车而设计的。
克里斯: 这是一个好点。有很多商品组件进入车辆可能有一些定制。任何类型的现有解决方案的定制都可能导致潜在的安全漏洞。
但是当涉及到特定组件构成最大安全风险时,我会从守门员的角度来看待它。如果我们能够阻止攻击者,我们就有更好的机会在车辆内维持安全状态。但正如在IT世界中看到的那样,看门人会在某些时候受到损害。
因此,我们需要深入了解安全性,这适用于车辆中的任何事物。如果我们专注于像信息娱乐系统这样的东西,攻击者只需移动到另一个不那么健壮的区域。总体而言,我们必须更全面地考虑安全问题,以便在整个支持技术的车辆生态系统中解决这一问题。
汽车制造商依赖数百家独立供应商的供应链来提供软件组件。供应链会带来哪些风险?
蒂姆: 业内人士知道它有一个非常复杂的供应链。这样做的一些好处是制造商可以非常有效地制造高质量,御姐安全功能丰富的车辆但是,当然,这种复杂性会带来一些安全风险。
最大的问题是您的各个供应商是否已将网络安全适当地构建到组件中,这说起来容易做起来难。当您将组件的规格放在一起时,您必须使安全要求足够通用,以便人们可以进行创新,但又要具备足够的特性,以便当组件插入系统时组件是否来自供应商A,B或C,您的安全性是一致的。这又回到了如何整体地看待整个事物。
克里斯: 看整个供应链是汽车制造商可以做的最强大的组件或流程之一。零件让准备展示进入市场的压力令人难以置信地被压缩尽管对于局外人来说,车型之间似乎需要很长时间,但实际上相对较短。
因此,当我们查看调查时,19%的受访者表示他们在需求和设计阶段没有进行足够的安全测试,只有28%的人表示开发和测试是他们进行大量测试的地方,明确有效的测试发生得太晚了。对于大多数人来说,的英文测试 发布后的, 这可能会导致成本增加6倍到14倍。
因此,如果我们使供应商能够在供应链的早期阶段改进网络安全测试和漏洞管理,我们就能获得更好的结果。
蒂姆: 没错,确实您需要采用基于风险的流程驱动方法在整个产品开发生命周期中构建网络安全但扭曲的的英文,生命周期必须包括一大堆不同层次的供应商,将它们结合在一起。现在,您已经看到了太多的流域方法,在完成所有工作之后会进行整体测试。尝试找到所有这些漏洞是件好事。