为何不管做多少测试,也补不完智能汽车的安全漏洞?

都说「软件定义汽车」,如今,智能汽车通过生态大数据、OTA等实现服务变现,电子电气架构也从分布式到域控制,再向中央加区域模式平稳过度。

这种智能化趋势在让我们享受更高级别的服务时,却也带来了大量隐患。

汽车网关、充电系统,乃至智能钥匙、数据钥匙、APP,外部进程的通信接口……这些都有可能成为风险入口。

毫无疑问,大量数据对于技术迭代和用户体验的价值不可替代,可汽车行业是否有能力做足安全防护?很可惜,这一答案至今仍是否定的。

在7月28日举办的第九届互联网安全大会主论坛上,周鸿祎称,数字化有三个特征:一切皆可编程,万物均要互联,大数据驱动业务。本质是软件定义整个世界,包括智能网联车:网络连接汽车,大数据驱动汽车,但这就意味着软件里的漏洞无处不在。

企业上云,工业互联网、车联网及物联网的普及,带来边界的消失。数据像关键基础设施一样变成网络攻击的对象,整个用车环境变得更加脆弱。

在他讲话的次日,ISC车联网安全分论坛的多位嘉宾深刻剖析了在智能网联时代下,围绕汽车剧增的安全隐患,以及在应对措施上的难题。

架构变革带来直接安全隐患

整车集中式架构的变革,可以大大提高研发效率,但同时也会面临在取消网关物理隔离后的直接安全隐患。

长安汽车软件科技有限公司副总工程师汪向阳表示,环网架构相比传统树形网络架构,取消了网关的物理隔离。各个终端能够直接联通,策略控制器对外的包容面积会将大大增加车内通信的安全风险。

天津中汽研软件测评信息安全总监侯昕田也称,一些服务接口和物理接口,例如联网部件和ADAS域控制器等等,都会成为攻击车辆的可行路径。

针对这样的风险,汪向阳提出了「纵深防御」的思路:面对取消网关的趋势,长安做了类似于「变形网关」的方案。对TSP、OBD对外接口,通过网关做隔离,进行分域保护。同时也通过控制器与控制器之间的认证来保障车内通讯安全,并加强控制器的自身防护,防止黑客对程序的传感。

在环网架构中,区域控制器在一定程度上起到了网关的作用,一些传感器、执行器都会就近接入区域控制器,部分控制器可能会挂在区域控制器上,也可能会挂在准中央控制器上。

鉴于对外接口都挂在同一个区域控制器上,长安的策略是把这类区域控制器当作从前的网关,对其进行一些安全策略部署,包括上防火墙、IDS等等。「至于其他的控制器,我们建议挂在离刚才的控制器更远的区域控制器上,或者是挂在中央控制器下面,尽量远离对外接口。」

SOA模式缺乏风险管控具体方案

如今,软件已经成为汽车智能化的核心,未来大部分价值将通过软件来实现。「软件占汽车成本将会高达30%,并且99%的创新都将来自软件的迭代更新。」汪向阳表示。

基于中央+区域架构,SOA的服务化开发方式能够大大提升功能迭代效率,充分发挥OTA作用,不断满足用户对新功能的需求,但必定会降低信息安全性。因为软件的一些接口,以及部分硬件的接口,对外的暴露面大大增加。

「手机APP,实体钥匙,还有外挂的设备。此外,云端,以及手机蓝牙诊断设备,都会是黑客攻入的接口。」

从前,每当开发一个新功能,就会集成到整个软件包中做集成措施。而如今的SOA是对各个APP进行单独开发部署,并只针对自身做测试和自动部署。

汪向阳说,目前长安所考虑的,主要是防护控制策略,包括APP访问硬件资源的权限管理,以及APP和其他APP之间相互访问的权限管理。但至于具体应该怎么做,还有待行业共同探讨。

多次测试后,漏洞仍会存在

尽管车企层面已经意识到了问题所在,且开始尝试降低安全风险,但在统一的政策标准和体系化方案落地之前,单从车企方面还是「心有余而力不足」

理想汽车车辆信息安全业务负责人董威表示,车辆数据安全工程师首先需要熟知基础知识和整车车辆业务,此外还要满足信息安全技术知识的掌握,以及数据安全的管理理念和数据安全的技术要求。但目前汽车人才稀缺,安全团队很难组建。

从组织建设的角度来看,车企业务体系非常复杂,涉及诸多岗位和角色,导致车企很难快速建立统一的管理组织架构。「其中既受限于决策层领导的重视和数据安全意识,也涉及业务划分和内部一系列的工作,这样的组织对车企内部是非常大的难点。」

另外一个可怕的窘境,就是目前不管如何测试整改,似乎都堵不完大量的漏洞。

例如长安汽车的车型在后期开发完成后,都会让第三方安全公司协助做零部件的安全测试以及整车安全测试,长安自身也会进行多次测试。但即发现问题并整改后,后续还是会发现漏洞。

长安汽车软件科技有限公司副总工程师 汪向阳

「因为在传统的信息安全行业,可能领导层的认知存在差异。比如安全公司让我下结论:还有没有问题?我下不了这个结论。因为他们虽然说帮我挖了很多漏洞,但不能保证把所有漏洞都挖完。」汪向阳说,「后续公安机关及网信办抽查的时候,照样会发现新的问题,这是很困扰的一个问题。甚至车辆卖出去以后,还可能还会爆发一些问题,谁来买单?」

另外,在测试验证能力方面,汪向阳认为渗透测试能力仍是薄弱的一环:「长安汽车现在虽然说在安全方案就是从威胁监控这方面有一定的能力,但是在渗透测试这一块的话,还基本上属于空白,目前主要还是在用针对传统IT的技术。即使在车机上部署了很多安全措施,但还是能发现很多问题。」

数据归类分级是建立体系的第一步

在董威看来,在实现信息安全的手段中,例如在车端实行匿名化和去标识化等措施,依然存在着性能、成本和经验等多重问题。

此外,数据资产也是关键的一环。在企业对于数据资产的管理中,仍存在权责不明、敏感信息不明确,监测接口不统一等问题。

针对这些问题,理想汽车目前的做法首先是进行数据分类分级,并已形成了三级数据分类,将产品数据、个人信息和环境数据进行了明确,在二级划分之下再进行三级划分。

在数据分级方面,理想通过影响对象、程度和范围等,定义了五个等级。而在分类和分级做完后,需要增加分类分级的标识,以助于后续数据清单统一收集时,能够快速将这些步骤进行线上系统工具化。

数据分级分类,是将车辆信息安全工作和数据安全进行体系融合的第一步。「有非常多的工作节点可以融入生产制造体系,例如供应链安全管理、安全供应商能力审核等等。」一旦实现体系融合,在资源调度,威胁分析,测试验证阶段等层面,都可以结合起来进行贯彻。

政策快速跟进但难促能力建设

据软件测评信息安全总监中汽研侯昕田介绍,出于国家对车联网安全的关注,目前中汽研拟出约20个标准层面的规划草案,在去年下半年报批,预计今年下半年发布。其中汽车软件升级和标准草案,也正在厦门封闭拟制中。

此外,还有网络安全相关的政策。在2017年网信办牵头,四部门发了网络安全设备的第一批目录,当时是把4个作为第一批目录,比如路由器、交换机、PLC服务器,现在第二批目录也在研究制定,会将T-BOX和网关作为车辆关键节点。

6月4日,国家市场监督总局发布了汽车OTA技术召回监管,强调了对于网络安全技术的评估,首次实行备案制度,每次申请前的相关信息要备案;6月10日,工信部也发布了《关于加强车联网卡实名登记管理的通知》,明确了相互之间权责划分。

不过,目前行业缺乏安全管控技术的相关积累,都处于自我摸索阶段,整个制度流程很难落实。以整车角度来看,基于法规或标准进行信息安全体系建设的过程中,明显体现出「将体系落实在整车生产制造中」的难度。

「现阶段行业指导标准,主要依托前不久刚发布的《汽车数据安全若干管理规定》,将管理规定中提出的一系列要求落实到汽车整个生命过程中都缺乏非常多的经验问题。」董威说道。

对此,董威提出建议称,希望监管机构尽快推进行业细则出台,减少规范层面出现多单位并行的情况,使车企聚焦能力进行体系建设。

在数据安全方面,董威希望行业监管机构牵头,协同整车、互联网代表企业及安全公司,共同深入参与制定数据安全建议实施指南。

此外,他还希望制定行业数据安全过程审查和评价规则,基于整个规范,以及整个实践过程中的反馈,制定更完善、执行性更高的数据安全审查的管理办法,提升当前行业的数据安全能力水平。

另外,汪向阳也表示,目前部分的智能化项目申报也缺乏明确的验收标准。「现在我们只能尽量证明自己很优秀,但也不知道能否达标,这需要行业共同把准入指南的门槛、标准一起制定出来。」

如今来看车联网安全的体系建设问题,仍难以在短期内完全解决。可既然这是一条必经之路,就需要国家层面、整车厂、供应商及多个领域和行业共同促成。

这也像周鸿祎在ISC上所说的:网络安全站并非用某一种武器就能获胜,而是要讲体系化作战。今天的网络安全不是静态的,安全问题不能靠「卖药」解决,而是要建医院,运营体系。在有了大夫、挂号门诊、手术康复的流程后,才能高效提供医疗服务。如今的网联汽车也正是需要这样的体系化作战,才能保障安全。

在下一期的车联网安全主题文章中,我们将继续梳理其他嘉宾对于V2X安全、渗透测试等方面的见解,欢迎持续关注。

关于Auto Byte

Auto Byte 为机器之心推出的汽车技术垂直媒体,关注自动驾驶、新能源、芯片、软件、汽车制造和智能交通等方向的前沿研究与技术应用,透过技术以洞察产品、公司和行业,帮助汽车领域专业从业者和相关用户了解技术发展与产业趋势。

欢迎注标星,并点击右下角点赞在看