新思科技:車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)的起點(diǎn)是安全
掃描二維碼
隨時(shí)隨地手機(jī)看文章
全球正在經(jīng)歷新一輪科技革命和產(chǎn)業(yè)變革,汽車(chē)智能化、網(wǎng)聯(lián)化、電動(dòng)化和共享化的發(fā)展趨勢(shì)日益顯著,智能網(wǎng)聯(lián)汽車(chē)的市場(chǎng)規(guī)模預(yù)計(jì)將會(huì)逐步提高。車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)鏈條長(zhǎng),不只是關(guān)乎制造業(yè),還涉及到軟件、通信領(lǐng)域的融合應(yīng)用,對(duì)于促進(jìn)相關(guān)產(chǎn)業(yè)的協(xié)同創(chuàng)新具有重要戰(zhàn)略意義。車(chē)聯(lián)網(wǎng)安全存在“木桶效應(yīng)”,軟件供應(yīng)鏈任何一環(huán)、用戶(hù)側(cè)手機(jī)應(yīng)用、云服務(wù)等出現(xiàn)薄弱點(diǎn),那駕乘人員和廠商的安全都將受到威脅。
在中國(guó),融合創(chuàng)新的車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)基本形成,相關(guān)領(lǐng)域通力合作,以實(shí)現(xiàn)車(chē)與車(chē)、云、人、路的互聯(lián)。其中,安全是智能網(wǎng)聯(lián)汽車(chē)發(fā)展過(guò)程中不可撼動(dòng)的底座,是車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)駛向未來(lái)的起點(diǎn)。
車(chē)聯(lián)網(wǎng)提速,系牢 “安全”帶
隨著消費(fèi)者對(duì)汽車(chē)特性和功能的期望不斷提升,汽車(chē)正在從單一的封閉系統(tǒng)空間轉(zhuǎn)變?yōu)椤皫л喿拥闹悄茉O(shè)備”。汽車(chē)行業(yè)正在擴(kuò)展成為互聯(lián)生態(tài)系統(tǒng)中更大的一部分。舉個(gè)例子,一輛網(wǎng)聯(lián)汽車(chē)上配備了許多接口,可以連接到云、各種網(wǎng)絡(luò)應(yīng)用、OEM后端、OTA平臺(tái),以及其它車(chē)輛和車(chē)主的移動(dòng)設(shè)備甚至家庭設(shè)備。這使得車(chē)輛的攻擊面和應(yīng)對(duì)潛在威脅所需的保護(hù)措施從單個(gè)車(chē)輛擴(kuò)展到更大的生態(tài)系統(tǒng)。
新思科技中國(guó)區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國(guó)梁表示:“保障駕乘人員的安全始終是汽車(chē)工業(yè)的最高目標(biāo)。近年來(lái),隨著智能網(wǎng)聯(lián)汽車(chē)先進(jìn)功能越來(lái)越多,集成度、復(fù)雜性增加,安全問(wèn)題開(kāi)始凸顯,由功能安全引發(fā)的自動(dòng)駕駛事故比例逐漸增多。所謂功能安全,即電控系統(tǒng)失效故障導(dǎo)致的不合理安全風(fēng)險(xiǎn)。其根本原因在于汽車(chē)代碼數(shù)量激增帶來(lái)的安全缺陷呈指數(shù)級(jí)增加。以后每輛汽車(chē)都是移動(dòng)的計(jì)算中心,直接后果就是代碼的成倍增加。今天可能是數(shù)千萬(wàn)行代碼,未來(lái)自動(dòng)駕駛可能需要3億到5億行代碼。任何故障和漏洞都可能導(dǎo)致汽車(chē)功能失效甚至危害到人身和財(cái)產(chǎn)的安全。因此,汽車(chē)行業(yè)已經(jīng)開(kāi)始從‘Safety First’(人身安全至上)轉(zhuǎn)向‘Safety and Security First’(人身安全及軟件安全至上)?!?
現(xiàn)在,網(wǎng)絡(luò)攻擊已經(jīng)不再局限于點(diǎn)和面。供應(yīng)鏈安全的重要性日益凸顯。
聚焦開(kāi)源應(yīng)用,網(wǎng)絡(luò)安全“不掉鏈”
什么是供應(yīng)鏈攻擊?軟件供應(yīng)鏈攻擊是一種面向軟件開(kāi)發(fā)人員和供應(yīng)商的新興威脅。目標(biāo)是通過(guò)感染合法應(yīng)用,分發(fā)惡意軟件來(lái)訪(fǎng)問(wèn)源代碼、構(gòu)建過(guò)程或更新機(jī)制。尤其是隨著開(kāi)源應(yīng)用無(wú)處不在,智能網(wǎng)聯(lián)汽車(chē)企業(yè)要充分掌握軟件中的開(kāi)源信息,包括安全性、合規(guī)性、許可和代碼質(zhì)量風(fēng)險(xiǎn)等,才能制定更加完善的網(wǎng)絡(luò)安全計(jì)劃,有效防止供應(yīng)鏈攻擊。
新思科技最新發(fā)布的《2023年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告(2023 OSSRA)顯示,96%被審計(jì)的代碼庫(kù)包含開(kāi)源代碼。其中,航空航天、汽車(chē)、運(yùn)輸和物流行業(yè)100%包含開(kāi)源代碼,而且63%的代碼庫(kù)中包含高風(fēng)險(xiǎn)漏洞。此外,數(shù)據(jù)還顯示,2018年至2022年五年間,該行業(yè)的開(kāi)源代碼占比增長(zhǎng)了97%。
在對(duì)抗軟件供應(yīng)鏈攻擊時(shí),軟件物料清單(SBOM)應(yīng)該是首選武器。SBOM旨在幫助管理開(kāi)源和第三方代碼的使用,提供對(duì)應(yīng)用“成分”的可視性,并標(biāo)準(zhǔn)化信息通信方式。除作為文檔或記錄的基本功能外,新思科技還建議用戶(hù)將SBOM視為一個(gè)管理系統(tǒng)或者工具、實(shí)踐和過(guò)程。用戶(hù)應(yīng)該具備溯源意識(shí)來(lái)識(shí)別開(kāi)源組件,然后將這些組件映射到漏洞數(shù)據(jù),以開(kāi)展高效的供應(yīng)鏈風(fēng)險(xiǎn)管理。
安全 +合規(guī),車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)穩(wěn)步發(fā)展的前提
無(wú)規(guī)矩不成方圓。每個(gè)行業(yè)的健康發(fā)展都離不開(kāi)標(biāo)準(zhǔn)規(guī)范。
智能網(wǎng)聯(lián)汽車(chē)和自動(dòng)駕駛汽車(chē)領(lǐng)域已經(jīng)出臺(tái)或者正在制定相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn),以保護(hù)人身安全和隱私數(shù)據(jù),包括ISO/SAE 21434,還有OpenChain項(xiàng)目汽車(chē)工作組發(fā)布的ISO 5230標(biāo)準(zhǔn)等。在中國(guó),工信部印發(fā)的《車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》提出到2023年底,初步構(gòu)建起車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系。國(guó)內(nèi)首部推動(dòng)車(chē)聯(lián)網(wǎng)發(fā)展的地方性法規(guī)——《無(wú)錫市車(chē)聯(lián)網(wǎng)發(fā)展促進(jìn)條例》于2023年3月1日起施行。
這些法律法規(guī)對(duì)汽車(chē)的信息安全和網(wǎng)絡(luò)空間安全系統(tǒng)管理提出監(jiān)管要求,有助于推動(dòng)整個(gè)汽車(chē)產(chǎn)業(yè)安全性的提升。
在面對(duì)落地新標(biāo)準(zhǔn)的挑戰(zhàn)時(shí),新思科技建議智能網(wǎng)聯(lián)車(chē)企至少做到以下五點(diǎn):
1.在企業(yè)內(nèi)部開(kāi)設(shè)新崗位或者明確新職責(zé),更改流程/任務(wù),以制定專(zhuān)門(mén)的合規(guī)計(jì)劃
2.建立網(wǎng)絡(luò)安全活動(dòng)并部署自動(dòng)化工具,提升安全測(cè)試效率和準(zhǔn)確性
3.從小型試點(diǎn)項(xiàng)目開(kāi)始,在推出前獲得團(tuán)隊(duì)及管理層認(rèn)可
4.與產(chǎn)品團(tuán)隊(duì)互動(dòng),收集反饋并進(jìn)行改進(jìn)
5.借助軟件安全構(gòu)建成熟度模型(BSIMM)等評(píng)估,與行業(yè)實(shí)踐對(duì)比,持續(xù)改善安全計(jì)劃
新思科技首席汽車(chē)安全策略師Dennis Kengo Oka博士表示:“整體的網(wǎng)絡(luò)安全文化以及是否具有專(zhuān)業(yè)技能的軟件安全人員決定了智能網(wǎng)聯(lián)汽車(chē)企業(yè)的核心競(jìng)爭(zhēng)力。在企業(yè)內(nèi)部構(gòu)建和部署相關(guān)的網(wǎng)絡(luò)安全政策、流程和程序以及培養(yǎng)必要的網(wǎng)絡(luò)安全能力通常需要時(shí)間。車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)對(duì)專(zhuān)門(mén)的網(wǎng)絡(luò)安全人才和可信軟件安全工具的需求只會(huì)有增無(wú)已。值得注意的是,雖然有許多可用的安全技術(shù)解決方案可應(yīng)用于汽車(chē)產(chǎn)品,但由于成本、便利性、交付時(shí)間的壓力、缺乏安全技能或適當(dāng)?shù)娘L(fēng)險(xiǎn)理解能力,這些解決方案并未得到應(yīng)用。因此,相關(guān)企業(yè)更需要的是安全思維模式,將軟件安全內(nèi)置到流程中,并將適當(dāng)?shù)陌踩夹g(shù)解決方案應(yīng)用到開(kāi)發(fā)的產(chǎn)品中。”