隨著智能網(wǎng)聯(lián)汽車技術的迅速發(fā)展���,車輛信息安全已成為保障行車安全和保護用戶隱私的重要基石����。為響應這一趨勢,GB44495-2024《汽車整車信息安全技術要求》對車輛制造商提出了明確的持續(xù)監(jiān)控要求�。木衛(wèi)四深入解讀該法規(guī)中的持續(xù)監(jiān)控要求及其細則范圍�����,并分享在實踐中的成功案例�,助力行業(yè)伙伴共同提升車輛信息安全的整體水平。
法規(guī)中的持續(xù)監(jiān)控是什么
01持續(xù)監(jiān)測的定義
強標 5.2
建立確保對網(wǎng)絡攻擊���、網(wǎng)絡威脅和漏洞進行持續(xù)監(jiān)控的過程�,且車輛納入監(jiān)控范圍的時間應不晚于車輛注冊登記的時間。
基于這一強標要求��,木衛(wèi)四結合過往過審經驗���,認為持續(xù)監(jiān)控需要車輛制造商建立并實施一套能夠實時對車輛信息安全狀態(tài)監(jiān)控的系統(tǒng)和運營團隊���,及時發(fā)現(xiàn)、識別和應對網(wǎng)絡攻擊����、網(wǎng)絡威脅和漏洞。這包括:
實時檢測:對車輛可能受到的網(wǎng)絡攻擊和異常行為進行實時監(jiān)控�。
數(shù)據(jù)取證:收集和保存相關的安全事件日志和證據(jù),支持后續(xù)的分析和處理��。
持續(xù)監(jiān)控:根據(jù)新型攻擊技術情報����,不斷優(yōu)化監(jiān)測策略和防護措施。
02法規(guī)要求的核心要點
根據(jù)GB 44495-2024《汽車整車信息安全技術要求》�����,木衛(wèi)四總結了如下持續(xù)監(jiān)控的核心要點:
識別能力:具備針對車輛網(wǎng)絡攻擊的識別能力����,能夠及時發(fā)現(xiàn)并預警�����。
監(jiān)控能力:持續(xù)監(jiān)控與車輛相關的網(wǎng)絡威脅和漏洞���,保持對車輛安全威脅的持續(xù)跟蹤。
取證能力:在發(fā)生安全事件時�,能夠提供完整的日志和證據(jù),支持事件調查和溯源����。
03持續(xù)監(jiān)控的安全風險范圍
網(wǎng)絡攻擊:針對車輛網(wǎng)絡系統(tǒng)的攻擊行為,如拒絕服務攻擊�����、遠控指令重放攻擊等���。
網(wǎng)絡威脅:潛在的安全風險,如調試模式打開���、不安全的通信協(xié)議等�。
安全漏洞:關注車輛系統(tǒng)和組件中的安全漏洞,及時進行補丁和更新���。
持續(xù)監(jiān)控實施細則有哪些
根據(jù)GB 44495-2024《汽車整車信息安全技術要求》�����,木衛(wèi)四從持續(xù)監(jiān)控的實施范圍和對象著手�,梳理出如下監(jiān)控事件細則��,旨在覆蓋并滿足強標要求:
01車輛外部連接安全
Event 001
車輛遠控指令事件
例如:用于車輛遠控功能的通信模塊���,需監(jiān)控其網(wǎng)絡連接狀態(tài)和遠控指令日志的異常狀態(tài)����。
——覆蓋強標 7.1.2
Event 002
車輛物理接口訪問事件
例如:USB接口��、OBD接口等����,這些接口已被用于物理接入車輛系統(tǒng),需監(jiān)控其訪問和使用日志的異常狀態(tài)�。
——覆蓋強標 7.1.4
02車輛通信安全
Event 003
認證/訪問失敗事件
例如:非法用戶嘗試登錄車輛的遠程控制系統(tǒng),但由于身份驗證失敗而被拒絕��;或用戶使用過期憑證試圖訪問車內通信網(wǎng)絡,導致訪問失敗�。
——覆蓋強標 7.2.1、7.2.2���、7.2.4���、7.2.7、7.2.8�、7.2.9
Event 004
無線接口連接事件
例如:藍牙、Wi-Fi���、NFC等無線通信接口已成為潛在的遠程攻擊入口���,需實時監(jiān)控這些接口的連接行為日志,以預防潛在風險��。
——覆蓋強標 7.2.3
Event 005
拒絕服務事件
例如:攻擊者向車載網(wǎng)絡發(fā)送大量無效請求�,導致車載網(wǎng)絡超負荷,需要監(jiān)控關鍵服務的運行狀態(tài)��。
——覆蓋強標 7.2.10
Event 006
加解密失敗事件
例如:車載系統(tǒng)在接收遠程指令時�����,由于解密密鑰錯誤導致指令無法正確解密����,或車輛內部的加密密鑰被篡改,造成數(shù)據(jù)加解密失敗�����。
——覆蓋強標 7.2.5��、 7.2.6�、7.2.11
Event 007
企業(yè) TARA 分析的其他通信安全事件
例如:某車型特定遠程控制功能或軟件升級過程中的通信安全事件。
——覆蓋強標 7.2.12
03車輛軟件升級安全
Event 008
身份認證事件
例如:包含與 OTA服務器建立連接時的身份認證成功/失敗事件����、簽名驗證成功/失敗、升級密鑰錯誤事件��。
——覆蓋強標 7.3.2.1
Event 009
加解密失敗事件
例如:升級包完整性校驗失敗事件����。
——覆蓋強標 7.3.2.2
Event 010
其他升級過程事件
例如:升級版本回退或降級事件、升級包不兼容事件���、多次升級失敗重試事件等��。
——覆蓋強標 7.3.2.3
04車輛數(shù)據(jù)安全
Event 011
關鍵數(shù)據(jù)被修改事件
例如:胎壓篡改事件����、動力電池參數(shù)篡改事件、安全氣囊展開閾值篡改事件和制動參數(shù)篡改事件等����。
——覆蓋強標 7.4
05安全漏洞持續(xù)監(jiān)測
Event 012
遠控和第三方應用外部連接系統(tǒng)漏洞事件
對遠控和第三方應用引用的開源組件、第三方庫及操作系統(tǒng)進行漏洞跟蹤�。
——覆蓋強標 7.1.1.1
Event 013
車載軟件升級系統(tǒng)漏洞事件
對升級軟件引用的開源組件、第三方庫及操作系統(tǒng)進行漏洞跟蹤�����。
——覆蓋強標 7.3.1.2
構建持續(xù)監(jiān)控體系的關鍵步驟
木衛(wèi)四依據(jù)GB 44495-2024和過往項目經驗�����,提出構建持續(xù)監(jiān)控體系的5個最佳步驟:
建立組織架構以確保高效協(xié)作���;
明確監(jiān)控場景(USECASE)以聚焦核心風險�;
部署輕量��、可擴展和先進的工具,實現(xiàn)快速合規(guī)���;
運營團隊分析威脅��,制定具體措施;
持續(xù)跟蹤新型汽車威脅情報�����,不斷優(yōu)化USECASE��。
01|構建組織架構
信息安全管理委員會:
該委員會負責戰(zhàn)略決策����、資源分配與監(jiān)督,確保VSOC持續(xù)監(jiān)控平臺的建設和運營符合GB 44495-2024標準的各項要求���。委員會還負責協(xié)調各部門資源����,以支持信息安全戰(zhàn)略的全面實施����。
安全運營部門:
專職負責安全策略的制定、實施和管理����,確保持續(xù)監(jiān)控平臺的技術要求與GB 44495-2024標準保持一致�。該部門還負責持續(xù)改進監(jiān)控技術和流程�����,提升平臺的安全監(jiān)控能力����。
跨部門協(xié)作機制:
包括IT部門、研發(fā)�、生產、供應鏈管理等相關部門共同參與�,建立緊密的協(xié)作機制。通過整合各方資源和技術能力��,確保信息安全監(jiān)控體系的高效運作��,并形成統(tǒng)一的響應機制以應對潛在安全風險�����。
02|定義監(jiān)控場景(USECASE)
參考標準規(guī)定:根據(jù)GB 44495-2024的具體條款���,制定符合要求的監(jiān)控策略和流程���。
確定監(jiān)控范圍:參考標準要求的車輛外部連接�、車輛通信�、車輛軟件升級和車輛數(shù)據(jù)安全要求,以具體車型的風險評估為具體策略設計���,識別攻擊與風險,制定針對性的USECASE����。
確定數(shù)據(jù)收集范圍:依據(jù)監(jiān)控策略,確定需要收集的日志和事件數(shù)據(jù)類型���,如安全事件日志���、系統(tǒng)性能指標等。
確定漏洞監(jiān)控場景:根據(jù)GB 44495-2024安全要求��,對遠程控制功能的系統(tǒng)���、授權的第三方應用以及車載軟件升級系統(tǒng)中引用的開源組件�����、第三方庫文件等��,建立車輛SBOM庫�����,確保漏洞快速識別和響應�����。
03|部署監(jiān)控系統(tǒng)
車端部署安全日志:根據(jù)GB強規(guī)要求�����,在車端控制器上統(tǒng)一部署安全日志收集模塊(如Security Log)����,確保關鍵數(shù)據(jù)的實時采集和存儲。此模塊為安全事件的分析與響應奠定基礎�,有助于全面滿足合規(guī)要求。
云端部署監(jiān)控平臺:部署具備持續(xù)監(jiān)控能力的云端平臺(如VSOC)�,提供全方位的異常檢測和情報收集服務。平臺具備先進的威脅檢測功能��,并嚴格遵循標準對數(shù)據(jù)處理與存儲的安全規(guī)范。
04|開展威脅分析和響應
USECAE分析工具:使用安全信息和事件管理系統(tǒng)對海量車輛安全日志進行實時分析����,基于預設的監(jiān)控場景(Use Cases)檢測異常,識別潛在威脅�����。
人工研判:安全專家對識別出的可疑事件進行深度分析���,結合具體業(yè)務場景評估事件的真實性和潛在風險����,確保分析的精準性與可靠性��。
威脅情報:從國內外權威漏洞信息平臺獲取最新汽車領域威脅情報���,并與行業(yè)伙伴共享,構建更全面的威脅情報網(wǎng)絡����,以提高安全監(jiān)控的準確性和前瞻性。
告警和響應機制:建立符合行業(yè)標準和企業(yè)特殊要求的告警分級系統(tǒng)及響應流程�����,確保不同嚴重等級的安全事件均能得到及時、適當?shù)奶幚砗晚憫?/p>
漏洞處置和修復:制定漏洞處置優(yōu)先級規(guī)則���,并實施閉環(huán)工單管理流程����,確保漏洞在被識別后能夠快速得到修復與驗證�,以降低安全風險。
05|推動持續(xù)改進
安全事件記錄與取證:詳細記錄所有安全事件及處理過程�����,保留完整的日志和取證數(shù)據(jù)�。這不僅滿足數(shù)據(jù)合規(guī)和取證要求,更為未來的安全左移策略提供基礎數(shù)據(jù)支持�����,促進在開發(fā)早期識別和預防安全風險�。
經驗總結與流程優(yōu)化:對每個安全事件進行原因分析,從技術和流程上識別潛在漏洞和不足���,尤其關注新型攻擊模式��。制定并實施改進措施����,推動安全設計理念貫穿于系統(tǒng)開發(fā)生命周期的各個階段,以提高下一代車型的整體防御能力���。
人員培訓與模擬演練:不斷提升團隊對新興威脅和攻擊手段的認知���,加強安全設計理念的培訓。定期進行包括新型攻擊情景的應急演練���,提升團隊在真實攻擊下的響應能力���,確保安全防護始終走在威脅前面。
最小化持續(xù)監(jiān)控實踐
01網(wǎng)絡攻擊和威脅持續(xù)監(jiān)控USECASE參考
在GB強標的框架下��,已針對車輛外部連接�����、車輛通信��、車輛軟件升級以及車輛數(shù)據(jù)安全提出了詳細的安全監(jiān)控要求����,基于這些技術要求,木衛(wèi)四深入分析了歷史上發(fā)生的典型汽車網(wǎng)絡攻擊案例�����,梳理了以下網(wǎng)絡攻擊與威脅監(jiān)控的USECASE用例��,供行業(yè)內各方參考�����。
7.1.4 外部接口安全要求
安全事件用例1:
車機連接USB設備異常事件檢測
測試方法:
連接一個USB設備到車機
驗證系統(tǒng)是否能夠正確記錄該連接事件
檢查監(jiān)控平臺是否實時接收到該事件并完成記錄
安全事件用例2:
車機連接USB設備異常行為檢測
使用預設的惡意USB設備連接至車機
驗證車端是否能記錄該異常連接行為
確認監(jiān)控平臺是否能接收���、分析并對該異常行為發(fā)出預警
7.1.4.1 應對車輛外部接口進行訪問控制保
護�����,禁止非授權訪問���。
安全事件用例1:
車機調試口認證監(jiān)控
測試方法:
1. 多次嘗試以錯誤憑證訪問車機調試口
2. 驗證調試口是否被鎖定,并確認是否生成了事件記錄
3. 確認監(jiān)控平臺是否能接收�、分析并對該異常行為發(fā)出預警
安全事件用例2:
OBD口訪問控制異常監(jiān)控
測試方法:
1. 嘗試未經授權訪問OBD接口
2. 驗證系統(tǒng)是否阻止未經授權的訪問并生成相應事件記錄
3. 確認監(jiān)控平臺是否能接收、分析并對該異常行為發(fā)出預警
7.2.3 車輛應采用完整性保護機制保護除
RFID�、NFC之外的外部無線通信信道�。
安全事件用例1:
車機藍牙應用異常行為檢測
測試方法:
使用未經授權的設備嘗試連接車機藍牙
驗證系統(tǒng)是否生成事件記錄
確認監(jiān)控平臺是否能接收��、分析并對該異常行為發(fā)出預警
安全事件用例2:
車機藍牙異常行為監(jiān)控 - 配對或連接失敗
測試方法:
多次以錯誤方式嘗試與車機藍牙配對
驗證系統(tǒng)是否生成事件記錄
確認監(jiān)控平臺是否能接收��、分析并對該異常行為發(fā)出預警
7.2.4 車輛應具備對來自車輛外部通信通道
的數(shù)據(jù)操作指令的訪問控制機制���。
安全事件用例1:
遠程控制系統(tǒng)訪問控制異常監(jiān)控
測試方法:
使用模擬器在未授權的情況下發(fā)送遠程控制指令到車輛的通信接口
驗證車輛是否阻止了該遠程指令并生成相應事件記錄
確認監(jiān)控平臺是否能接收��、分析并對該異常行為發(fā)出預警
安全事件用例2:
車機無線入侵指令訪問控制檢測
測試方法:
使用專用設備模擬惡意Wi-Fi接入��,向車輛發(fā)送未經授權的設置修改指令(若有)
驗證車輛是否拒絕該惡意指令并生成安全日志
確認監(jiān)控平臺是否能接收���、分析并對該異常行為發(fā)出預警
7.2.10 車輛應具備識別車輛通信通道遭受
拒絕服務攻擊的能力,并對攻擊進行相應
的處理�����。
安全事件用例1:
車載娛樂系統(tǒng)以太網(wǎng)拒絕服務攻擊監(jiān)控
測試方法:
使用模擬器或工具對車載娛樂系統(tǒng)發(fā)送大量偽造的以太網(wǎng)數(shù)據(jù)包��,模擬DoS攻擊
驗證系統(tǒng)是否能夠識別攻擊行為并記錄事件日志
確認監(jiān)控平臺是否能接收��、分析并對該異常行為發(fā)出預警
安全事件用例2:
TBOX模塊以太網(wǎng)拒絕服務攻擊監(jiān)控
測試方法:
模擬對TBOX的以太網(wǎng)DoS攻擊
驗證系統(tǒng)是否能夠識別攻擊行為并記錄事件日志
確認監(jiān)控平臺是否能接收���、分析并對該異常行為發(fā)出預警
7.4.4 車輛應采取安全防御機制保護存儲
在車內的關鍵數(shù)據(jù)��,防止其被非授權刪除
和修改�。
安全事件用例1:
整車CAN信號異常檢測 - 連接超時
測試方法:
斷開車輛某個CAN節(jié)點的連接���,以模擬連接超時
驗證系統(tǒng)是否能檢測到該超時異常并記錄事件
確認監(jiān)控平臺是否能接收��、分析并對該異常行為發(fā)出預警
安全事件用例2:
網(wǎng)關與ECU配置一致性檢查異常檢測
測試方法:
修改某個ECU的配置��,使其與網(wǎng)關配置不一致
驗證系統(tǒng)是否能夠檢測到配置不一致并生成事件記錄
確認監(jiān)控平臺是否能接收����、分析并對該異常行為發(fā)出預警
安全事件用例3:
車輛行駛時車門異常打開檢測
測試方法:
在車輛行駛時����,模擬車門意外打開的情況
驗證是否記錄車門信號到云端監(jiān)控平臺
確認監(jiān)控平臺是否能分析并對該異常行為發(fā)出預警
安全事件用例4:
胎壓異常值檢測
測試方法:
模擬胎壓傳感器發(fā)送異常數(shù)據(jù)。
驗證是否將胎壓相關信號記錄上傳至云端監(jiān)控平臺
確認監(jiān)控平臺是否能分析并對該異常行為發(fā)出預警
02漏洞持續(xù)監(jiān)控的最小化SBOM清單參考
在汽車行業(yè)的智能化服務應用中����,OTA升級、遠程控制和第三方應用等功能通常依賴于諸如遠程登錄��、文件傳輸���、數(shù)據(jù)壓縮與解壓縮���、數(shù)據(jù)加密算法���、消息傳輸協(xié)議,以及第三方庫文件等開源組件���。然而��,這些開源組件由于其公開性質�,存在已知的安全漏洞�����,可能為惡意攻擊者提供攻擊入口�,帶來嚴重的潛在安全風險。
針對這一問題�,GB強標已明確要求,所有涉及OTA升級����、遠程控制和第三方應用的系統(tǒng)必須關注汽車行業(yè)相關的安全漏洞,木衛(wèi)四基于自有威脅情報梳理出了OTA�、遠控及其他汽車智能服務場景中常見開源組件的SBOM清單及潛在的威脅風險���,供行業(yè)內各方參考��。
1OTA場景中引用的開源組件
OpenSSL
潛在威脅風險:
1. 利用漏洞獲取通信權限�����;
2. 中間人攻擊��;
3. 惡意軟件注入�����;
4. 拒絕服務攻擊�;
注:目前存在已知漏洞251個,成為黑客可利用漏洞攻擊的開源組件��,同樣在汽車領域值得監(jiān)測�。
OpenSSH
潛在威脅風險:
1. 遠程代碼執(zhí)行攻擊;
2. 數(shù)據(jù)竊取攻擊�;
3. 中間人攻擊;
注:目前存在已知漏洞116個����,成為黑客可利用漏洞攻擊的開源組件,同樣在汽車領域值得監(jiān)測。
BusyBox
潛在威脅風險:
1. 功能濫用攻擊�����;
2. 權限提升攻擊�����;
3. 后門植入攻擊�;
注:目前存在已知漏洞39個,成為黑客可利用漏洞攻擊的開源組件����,同樣在汽車領域值得監(jiān)測。
XZ Utils
潛在威脅風險:
1. 緩沖區(qū)溢出攻擊;
2. 中間人攻擊;
3. 拒絕服務攻擊;
4. 命令注入攻擊;
注:目前存在已知漏洞5個�,成為黑客可利用漏洞攻擊的開源組件,同樣在汽車領域值得監(jiān)測����。
2智能控車場景中引用的開源組件
MQTT
潛在威脅風險:
1. 身份認證方面攻擊;
2. 消息加密和完整性攻擊��;
3. 流量攻擊�;
注:目前存在已知漏洞1個,成為黑客可利用漏洞攻擊的開源組件���,同樣在汽車領域值得監(jiān)測��。
libpcap
潛在威脅風險:
1. 緩沖區(qū)溢出攻擊��;
2. 拒絕服務攻擊���;
3. 權限提升攻擊;
4. 惡意軟件注入攻擊��;
注:目前存在已知漏洞8個����,成為黑客可利用漏洞攻擊的開源組件,同樣在汽車領域值得監(jiān)測��。
ZeroMQ
潛在威脅風險:
1. 緩沖區(qū)溢出攻擊�;
2. 中間人攻擊;
3. 權限提升攻擊�;
注:目前存在已知漏洞4個,成為黑客可利用漏洞攻擊的開源組件�,同樣在汽車領域值得監(jiān)測。
Crypto++
潛在威脅風險:
1. 緩沖區(qū)溢出攻擊����;
2. 惡意代碼注入攻擊�;
3. 中間人攻擊�����;
4. 拒絕服務攻擊���;
注:目前存在已知漏洞13個���,成為黑客可利用漏洞攻擊的開源組件,同樣在汽車領域值得監(jiān)測����。
3其他智能場景中引用的開源組件
TensorFlow
潛在威脅風險:
1. 模型篡改攻擊;
2. 輸入數(shù)據(jù)攻擊����;
3. 安全漏洞利用攻擊;
注:目前存在已知漏洞430個�,成為黑客常利用漏洞攻擊的開源組件,同樣在汽車領域值得監(jiān)測
Scikit-learn
潛在威脅風險:
1. 數(shù)據(jù)投毒攻擊�����;
2. 模型竊取攻擊���;
3. 權限提升攻擊����;
注:目前存在已知漏洞3個,成為黑客常利用漏洞攻擊的開源組件����,同樣在汽車領域值得監(jiān)測。
log4j
潛在威脅風險:
1. 遠程代碼執(zhí)行攻擊���;
2. 拒絕服務攻擊;
3. 惡意軟件植入��;
注:目前存在已知漏洞14個����,成為黑客常利用漏洞攻擊的開源組件,同樣在汽車領域值得監(jiān)測�。
ROS
潛在威脅風險:
1. 惡意節(jié)點注入攻擊;
2. 通信劫持攻擊;
3. 數(shù)據(jù)篡改攻擊;
4. 拒絕服務攻擊;
注:目前存在已知漏洞1個,成為黑客常利用漏洞攻擊的開源組件�����,同樣在汽車領域值得監(jiān)測����。
關于木衛(wèi)四
木衛(wèi)四(北京)科技有限公司是由全球首批專注于汽車網(wǎng)絡安全的技術專家創(chuàng)立��、由全球知名機構投資�、具備多項自主知識產權的國家高新技術企業(yè)���。木衛(wèi)四正為全球智能汽車領域���、自動駕駛和高級駕駛輔助系統(tǒng)的領軍企業(yè)提供強有力的網(wǎng)絡安全支持�����?蛻舭ǖ幌抻趯汃R中國��、福特中國�、賽力斯、奇瑞��、上汽�����、廣汽����、蔚來��、合眾等汽車行業(yè)佼佼者��。木衛(wèi)四的發(fā)展得益于眾多生態(tài)伙伴的大力支持�,包括華為云�、亞馬遜云、百度����、騰訊云、微軟云�、地平線�����、天準科技����、艾拉比、德勤���、普華永道等知名企業(yè)�����。
(責任編輯:董萍萍 )
【免責聲明】【廣告】本文僅代表作者本人觀點���,與和訊網(wǎng)無關����。和訊網(wǎng)站對文中陳述���、觀點判斷保持中立�����,不對所包含內容的準確性����、可靠性或完整性提供任何明示或暗示的保證����。請讀者僅作參考,并請自行承擔全部責任�。郵箱:news_center@staff.hexun.com
最新評論