基于这一强标要求,木卫四结合过往过审经验,认为持续监控需要车辆制造商建立并实施一套能够实时对车辆信息安全状态监控的系统和运营团队,及时发现、识别和应对网络攻击、网络威胁和漏洞。这包括:
实时检测:对车辆可能受到的网络攻击和异常行为进行实时监控。
持续监控:根据新型攻击技术情报,不断优化监测策略和防护措施。
02法规要求的核心要点
根据GB44495-2024《汽车整车信息安全技术要求》,木卫四总结了如下持续监控的核心要点:
识别能力:具备针对车辆网络攻击的识别能力,能够及时发现并预警。
取证能力:在发生安全事件时,能够提供完整的日志和证据,支持事件调查和溯源。
03持续监控的安全风险范围
网络攻击:针对车辆网络系统的攻击行为,如拒绝服务攻击、远控指令重放攻击等。
网络威胁:潜在的安全风险,如调试模式打开、不安全的通信协议等。
持续监控实施细则有哪些
根据GB44495-2024《汽车整车信息安全技术要求》,木卫四从持续监控的实施范围和对象着手,梳理出如下监控事件细则,旨在覆盖并满足强标要求:
01车辆外部连接安全
Event001
车辆远控指令事件
例如:用于车辆远控功能的通信模块,需监控其网络连接状态和远控指令日志的异常状态。
——覆盖强标7.1.2
Event002
车辆物理接口访问事件
例如:USB接口、OBD接口等,这些接口已被用于物理接入车辆系统,需监控其访问和使用日志的异常状态。
——覆盖强标7.1.4
02车辆通信安全
Event003
认证/访问失败事件
——覆盖强标7.2.1、7.2.2、7.2.4、7.2.7、7.2.8、7.2.9
Event004
无线接口连接事件
例如:蓝牙、Wi-Fi、NFC等无线通信接口已成为潜在的远程攻击入口,需实时监控这些接口的连接行为日志,以预防潜在风险。
——覆盖强标7.2.3
Event005
拒绝服务事件
例如:攻击者向车载网络发送大量无效请求,导致车载网络超负荷,需要监控关键服务的运行状态。
——覆盖强标7.2.10
Event006
加解密失败事件
例如:车载系统在接收远程指令时,由于解密密钥错误导致指令无法正确解密,或车辆内部的加密密钥被篡改,造成数据加解密失败。
——覆盖强标7.2.5、7.2.6、7.2.11
Event007
企业TARA分析的其他通信安全事件
例如:某车型特定远程控制功能或软件升级过程中的通信安全事件。
——覆盖强标7.2.12
03车辆软件升级安全
Event008
身份认证事件
例如:包含与OTA服务器建立连接时的身份认证成功/失败事件、签名验证成功/失败、升级密钥错误事件。
——覆盖强标7.3.2.1
Event009
例如:升级包完整性校验失败事件。
——覆盖强标7.3.2.2
Event010
其他升级过程事件
例如:升级版本回退或降级事件、升级包不兼容事件、多次升级失败重试事件等。
——覆盖强标7.3.2.3
04车辆数据安全
Event011
关键数据被修改事件
例如:胎压篡改事件、动力电池参数篡改事件、安全气囊展开阈值篡改事件和制动参数篡改事件等。
——覆盖强标7.4
05安全漏洞持续监测
Event012
远控和第三方应用外部连接系统漏洞事件
对远控和第三方应用引用的开源组件、第三方库及操作系统进行漏洞跟踪。
——覆盖强标7.1.1.1
Event013
车载软件升级系统漏洞事件
对升级软件引用的开源组件、第三方库及操作系统进行漏洞跟踪。
——覆盖强标7.3.1.2
构建持续监控体系的关键步骤
木卫四依据GB44495-2024和过往项目经验,提出构建持续监控体系的5个最佳步骤:
建立组织架构以确保高效协作;
明确监控场景(USECASE)以聚焦核心风险;
部署轻量、可扩展和先进的工具,实现快速合规;
运营团队分析威胁,制定具体措施;
持续跟踪新型汽车威胁情报,不断优化USECASE。
01|构建组织架构
信息安全管理委员会:
该委员会负责战略决策、资源分配与监督,确保VSOC持续监控平台的建设和运营符合GB44495-2024标准的各项要求。委员会还负责协调各部门资源,以支持信息安全战略的全面实施。
安全运营部门:
专职负责安全策略的制定、实施和管理,确保持续监控平台的技术要求与GB44495-2024标准保持一致。该部门还负责持续改进监控技术和流程,提升平台的安全监控能力。
跨部门协作机制:
02|定义监控场景(USECASE)
参考标准规定:根据GB44495-2024的具体条款,制定符合要求的监控策略和流程。
确定监控范围:参考标准要求的车辆外部连接、车辆通信、车辆软件升级和车辆数据安全要求,以具体车型的风险评估为具体策略设计,识别攻击与风险,制定针对性的USECASE。
确定数据收集范围:依据监控策略,确定需要收集的日志和事件数据类型,如安全事件日志、系统性能指标等。
03|部署监控系统
车端部署安全日志:根据GB强规要求,在车端控制器上统一部署安全日志收集模块(如SecurityLog),确保关键数据的实时采集和存储。此模块为安全事件的分析与响应奠定基础,有助于全面满足合规要求。
云端部署监控平台:部署具备持续监控能力的云端平台(如VSOC),提供全方位的异常检测和情报收集服务。平台具备先进的威胁检测功能,并严格遵循标准对数据处理与存储的安全规范。
04|开展威胁分析和响应
USECAE分析工具:使用安全信息和事件管理系统对海量车辆安全日志进行实时分析,基于预设的监控场景(UseCases)检测异常,识别潜在威胁。
人工研判:安全专家对识别出的可疑事件进行深度分析,结合具体业务场景评估事件的真实性和潜在风险,确保分析的精准性与可靠性。
威胁情报:从国内外权威漏洞信息平台获取最新汽车领域威胁情报,并与行业伙伴共享,构建更全面的威胁情报网络,以提高安全监控的准确性和前瞻性。
告警和响应机制:建立符合行业标准和企业特殊要求的告警分级系统及响应流程,确保不同严重等级的安全事件均能得到及时、适当的处理和响应。
漏洞处置和修复:制定漏洞处置优先级规则,并实施闭环工单管理流程,确保漏洞在被识别后能够快速得到修复与验证,以降低安全风险。
05|推动持续改进
安全事件记录与取证:详细记录所有安全事件及处理过程,保留完整的日志和取证数据。这不仅满足数据合规和取证要求,更为未来的安全左移策略提供基础数据支持,促进在开发早期识别和预防安全风险。
人员培训与模拟演练:不断提升团队对新兴威胁和攻击手段的认知,加强安全设计理念的培训。定期进行包括新型攻击情景的应急演练,提升团队在真实攻击下的响应能力,确保安全防护始终走在威胁前面。
最小化持续监控实践
01网络攻击和威胁持续监控USECASE参考
在GB强标的框架下,已针对车辆外部连接、车辆通信、车辆软件升级以及车辆数据安全提出了详细的安全监控要求,基于这些技术要求,木卫四深入分析了历史上发生的典型汽车网络攻击案例,梳理了以下网络攻击与威胁监控的USECASE用例,供行业内各方参考。
7.1.4外部接口安全要求
安全事件用例1:
车机连接USB设备异常事件检测
测试方法:
连接一个USB设备到车机
验证系统是否能够正确记录该连接事件
检查监控平台是否实时接收到该事件并完成记录
安全事件用例2:
车机连接USB设备异常行为检测
使用预设的恶意USB设备连接至车机
验证车端是否能记录该异常连接行为
确认监控平台是否能接收、分析并对该异常行为发出预警
7.1.4.1应对车辆外部接口进行访问控制保
车机调试口认证监控
1.多次尝试以错误凭证访问车机调试口
2.验证调试口是否被锁定,并确认是否生成了事件记录
3.确认监控平台是否能接收、分析并对该异常行为发出预警
OBD口访问控制异常监控
7.2.3车辆应采用完整性保护机制保护除
RFID、NFC之外的外部无线通信信道。
车机蓝牙应用异常行为检测
验证系统是否生成事件记录
车机蓝牙异常行为监控-配对或连接失败
多次以错误方式尝试与车机蓝牙配对
7.2.4车辆应具备对来自车辆外部通信通道
的数据操作指令的访问控制机制。
远程控制系统访问控制异常监控
验证车辆是否阻止了该远程指令并生成相应事件记录
车机无线入侵指令访问控制检测
验证车辆是否拒绝该恶意指令并生成安全日志
7.2.10车辆应具备识别车辆通信通道遭受
拒绝服务攻击的能力,并对攻击进行相应
的处理。
车载娱乐系统以太网拒绝服务攻击监控
使用模拟器或工具对车载娱乐系统发送大量伪造的以太网数据包,模拟DoS攻击
验证系统是否能够识别攻击行为并记录事件日志
TBOX模块以太网拒绝服务攻击监控
模拟对TBOX的以太网DoS攻击
7.4.4车辆应采取安全防御机制保护存储
和修改。
整车CAN信号异常检测-连接超时
断开车辆某个CAN节点的连接,以模拟连接超时
验证系统是否能检测到该超时异常并记录事件
网关与ECU配置一致性检查异常检测
修改某个ECU的配置,使其与网关配置不一致
验证系统是否能够检测到配置不一致并生成事件记录
安全事件用例3:
车辆行驶时车门异常打开检测
在车辆行驶时,模拟车门意外打开的情况
验证是否记录车门信号到云端监控平台
确认监控平台是否能分析并对该异常行为发出预警
安全事件用例4:
胎压异常值检测
模拟胎压传感器发送异常数据。
02漏洞持续监控的最小化SBOM清单参考
1OTA场景中引用的开源组件
OpenSSL
潜在威胁风险:
1.利用漏洞获取通信权限;
2.中间人攻击;
3.恶意软件注入;
4.拒绝服务攻击;
注:目前存在已知漏洞251个,成为黑客可利用漏洞攻击的开源组件,同样在汽车领域值得监测。
OpenSSH
1.远程代码执行攻击;
2.数据窃取攻击;
3.中间人攻击;
注:目前存在已知漏洞116个,成为黑客可利用漏洞攻击的开源组件,同样在汽车领域值得监测。
BusyBox
1.功能滥用攻击;
2.权限提升攻击;
3.后门植入攻击;
注:目前存在已知漏洞39个,成为黑客可利用漏洞攻击的开源组件,同样在汽车领域值得监测。
XZUtils
1.缓冲区溢出攻击;
2.中间人攻击;
3.拒绝服务攻击;
4.命令注入攻击;
注:目前存在已知漏洞5个,成为黑客可利用漏洞攻击的开源组件,同样在汽车领域值得监测。
2智能控车场景中引用的开源组件
MQTT
1.身份认证方面攻击;
2.消息加密和完整性攻击;
3.流量攻击;
注:目前存在已知漏洞1个,成为黑客可利用漏洞攻击的开源组件,同样在汽车领域值得监测。
libpcap
1.缓冲区溢出攻击;
2.拒绝服务攻击;
3.权限提升攻击;
4.恶意软件注入攻击;
注:目前存在已知漏洞8个,成为黑客可利用漏洞攻击的开源组件,同样在汽车领域值得监测。
ZeroMQ
注:目前存在已知漏洞4个,成为黑客可利用漏洞攻击的开源组件,同样在汽车领域值得监测。
Crypto++
2.恶意代码注入攻击;
注:目前存在已知漏洞13个,成为黑客可利用漏洞攻击的开源组件,同样在汽车领域值得监测。
3其他智能场景中引用的开源组件
TensorFlow
1.模型篡改攻击;
2.输入数据攻击;
3.安全漏洞利用攻击;
注:目前存在已知漏洞430个,成为黑客常利用漏洞攻击的开源组件,同样在汽车领域值得监测
Scikit-learn
1.数据投毒攻击;
2.模型窃取攻击;
注:目前存在已知漏洞3个,成为黑客常利用漏洞攻击的开源组件,同样在汽车领域值得监测。
log4j
3.恶意软件植入;
注:目前存在已知漏洞14个,成为黑客常利用漏洞攻击的开源组件,同样在汽车领域值得监测。
ROS
1.恶意节点注入攻击;
2.通信劫持攻击;
3.数据篡改攻击;
4.拒绝服务攻击;
注:目前存在已知漏洞1个,成为黑客常利用漏洞攻击的开源组件,同样在汽车领域值得监测。
关于木卫四
木卫四(北京)科技有限公司是由全球首批专注于汽车网络安全的技术专家创立、由全球知名机构投资、具备多项自主知识产权的国家高新技术企业。木卫四正为全球智能汽车领域、自动驾驶和高级驾驶辅助系统的领军企业提供强有力的网络安全支持。客户包括但不限于宝马中国、福特中国、赛力斯、奇瑞、上汽、广汽、蔚来、合众等汽车行业佼佼者。木卫四的发展得益于众多生态伙伴的大力支持,包括华为云、亚马逊云、百度、腾讯云、微软云、地平线、天准科技、艾拉比、德勤、普华永道等知名企业。
您当前使用的浏览器版本过低,导致网站不能正常访问,建议升级浏览器