美国交通部国家公路交通安全管理局近日发布了《现代车辆安全的网络安全最佳实践》,这是其2016年版的更新。该文件描述了NHTSA对汽车行业的指导,以改善车辆网络安全以确保安全。一、背景信息
NHTSA最近发布了最新的《车辆网络安全最佳实践》2022更新版。而NHTSA最佳实践的第一版(可访问www.nhtsa.gov/staticfiles/nvs/pdf/812333_CybersecurityForModernVehicles.pdf获取)最初于2016年发布,22年新版本充分考虑了新的行业标准和研究内容,以及整个汽车行业网络安全实践的标准化,如UNECEWP.29R155和ISO21434,并纳入了根据过去6年通过研究行业从真实的事件中获得的知识以及专家们提交的关于2016年和2021年草案的意见,新版本最佳实践可以概述分为两部分,首先是通用网络安全最佳实践,第二部分是网络安全技术最佳实践。
二、目录概览
1.PurposeofThisdocument本文件编写目的
2.Scope范围
3.Background背景
4.GeneralCybersecurityBestPractices一般网络安全最佳实践
4.1LeadershipPriorityonProductCybersecurity领导层对产品网络安全的重视
4.2VehicleDevelopmentProcessWithExplicitCybersecurityConsiderations具有明确网络安全考虑的车辆开发流程
4.2.1Process流程
4.2.2RiskAssessment风险评估
4.2.3SensorVulnerabilityRisks传感器的脆弱性风险
4.2.4RemovalorMitigationofSafety-CriticalRisks消除或减轻安全关键性的风险
4.2.5Protections保护措施
4.2.6InventoryandManagementofHardwareandSoftwareAssetsonVehicles车辆上硬件和软件资产的清点和管理
4.2.7CybersecurityTestingandVulnerabilityIdentification网络安全测试和弱点识别
4.2.8Monitoring,Containment,Remediation监测、遏制、补救
4.2.9Data,documentation,InformationSharing数据、文件、信息共享
4.2.10ContinuousRiskMonitoringandAssessment持续的风险监测和评估
4.2.11IndustryBestPractices行业最佳实践
4.3InformationSharing信息共享
4.4SecurityVulnerabilityReportingProgram安全漏洞报告计划
4.5OrganizationalIncidentResponseProcess组织事件响应程序
4.6Self-Auditing自我审计
4.6.1ProcessManagementdocumentation流程管理文件
4.6.2ReviewandAudit审查和审计
5.Education教育
6.Aftermarket/User-OwnedDevices售后市场/用户拥有的设备
6.1VehicleManufacturers车辆制造商
6.2AftermarketDeviceManufacturers售后市场设备制造商
7.Serviceability可维修性
8.TechnicalVehicleCybersecurityBestPractices技术性车辆网络安全最佳实践
8.1Developer/DebuggingAccessinProductionDevices生产设备中的开发人员/调试访问
8.2CryptographicTechniquesandCredentials加密技术和凭证
8.3VehicleDiagnosticFunctionality车辆诊断功能
8.4DiagnosticTools诊断工具
8.5VehicleInternalCommunications车辆内部通信
8.6EventLogs事件日志
8.7WirelessPathsIntoVehicles进入车辆的无线途径
8.7.1WirelessInterfaces无线接口
8.7.2SegmentationandIsolationTechniquesinVehicleArchitectureDesign车辆结构设计中的分割和隔离技术
8.7.3NetworkPorts,Protocols,andServices网络端口、协议和服务
8.7.4CommunicationtoBack-EndServers与后端服务器的通信
8.7.5CapabilitytoAlterRoutingRules改变路由规则的能力
8.9Over-the-AirSoftwareUpdatesOTA软件更新
Appendix附录
TermsandDescriptions术语和说明
三、最佳实践内容概览
45条通用的车辆网络安全最佳实践
[G.1]TheautomotiveindustryshouldfollowtheNationalInstituteofStandardsandTechnology’s(NIST’s)documentedCybersecurityframework,whichisstructuredaroundthefiveprincipalfunctions,“Identify,Protect,Detect,Respond,andRecover,”tobuildacomprehensiveandsystematicapproachtodevelopinglayeredcybersecurityprotectionsforvehicles.
汽车行业应该遵循(NIST)美国国家标准与技术协会记录的网络安全框架。这个框架构建围绕5个主要功能“识别、保护、监测、反馈、恢复”构建,从而建立了一个全面且系统的方法来开发针对汽车的分层网络安全保护。
[G.2]Companiesdevelopingorintegratingvehicleelectronicsystemsorsoftwareshouldprioritizevehiclecybersecurityanddemonstrateexecutivemanagementcommitmentandaccountabilityby:
开发或者集成车辆电子系统或者软件的公司,应该将网络安全置于首要位置,并且通过以下的方式证明执行管理层的承诺和责任。
[a]Allocatingdedicatedresourceswithintheorganizationfocusedonresearching,investigating,implementing,testing,andvalidatingproductcybersecuritymeasuresandvulnerabilities;
[b]Facilitatingseamlessanddirectcommunicationchannelsthroughorganizationalranksrelatedtoproductcybersecuritymatters;and
[c]Enablinganindependentvoiceforvehiclecybersecurity-relatedconsiderationswithinthevehiclesafetydesignprocess.
[G.3]Theautomotiveindustryshouldfollowarobustproductdevelopmentprocessbasedonasystems-engineeringapproachwiththegoalofdesigningsystemsfreeofunreasonablesafetyrisks,includingthosefrompotentialcybersecuritythreatsandvulnerabilities.
汽车行业应该遵循基于系统工程方法的强有力的产品开发流程,致力于设计完全合理的无安全风险的系统,包括那些潜在的网络安全威胁和漏洞。
[G.4]Thisprocessshouldincludeacybersecurityriskassessmentstepthatisappropriateandreflectsmitigationofriskforthefulllifecycleofthevehicle.
开发流程应该包括合适的网络安全风险评估的步骤,这个步骤能够反映出整车生命周期的风险缓解。
[G.5]Safetyofvehicleoccupantsandotherroadusersshouldbeofprimaryconsiderationwhenassessingrisks.
当评估风险的时候,也应该首先考虑车辆乘员和其他道路使用的安全。
[G.6]ManufacturersshouldconsidertherisksassociatedwithsensorvulnerabilitiesandpotentialsensorsignalmanipulationeffortssuchasGPSspoofing,roadsignmodification,Lidar/Radarjammingandspoofing,camerablinding,andexcitationofmachinelearningfalsepositives.
OEM应该考虑涉及传感器弱点和潜在的传感器信号操纵力的风险,比如GPS欺骗,道路标注的修改,激光雷达/普通雷达的干扰和欺骗,摄像头致盲以及机器学习误报的激发。
任何针对安全关键系统的不合理风险都应该被移除或者通过设计缓解到可以接受的水平。只要条件允许,应尽可能消除存在不可避免和不必要风险的任何功能。
[G.8]Forremainingfunctionalityandunderlyingrisks,layersofprotectionthatareappropriatefortheassessedrisksshouldbedesignedandimplemented.
对于剩余功能和潜在风险,应该设计和实施合适的进行过评估风险的保护层。
[G.9]Clearcybersecurityexpectationsshouldbespecifiedandcommunicatedtothesuppliersthatsupporttheintendedprotections.
应该规定清晰的网络安全期望,并且将该期望传达给提供主动保护支持的供应商。
供应商和OEM应该维护一个软件物料清单(SBOM),涵盖每一个电子控制单元中运行的硬件和软件的零部件,每一辆整车,以及跨越全生命周期的版本升级的历史记录。
[G.11]Manufacturersshouldtracksufficientdetailsrelatedtosoftwarecomponents,suchthatwhenanewlyidentifiedvulnerabilityisidentifiedrelatedtoanopensourceoroff-the-shelfsoftware,manufacturerscanquicklyidentifywhatECUsandspecificvehicleswouldbeaffectedbyit.
[G.12]Manufacturersshouldevaluateallcommercialoff-the-shelfandopen-sourcesoftwarecomponentsusedinvehicleECUsagainstknownvulnerabilities.
评估用在汽车电子控制单元中的所有的商业流行软件和开源软件来抵御已知的缺陷。
[G.13]Manufacturersshouldalsopursueproductcybersecuritytesting,includingusingpenetrationtests,aspartofthedevelopmentprocess.
进行产品网络安全测试,比如使用渗透测试作为开发流程的一部分。
[G.14]Teststagesshouldemployqualifiedtesterswhohavenotbeenpartofthedevelopmentteam,andwhoarehighlyincentivizedtoidentifyvulnerabilities.
测试环节应该使用非开发组成员的有资格的测试人员,并且充分发挥该测试员能力识别网络安全弱点。
[G.15]Avulnerabilityanalysisshouldbegeneratedforeachknownvulnerabilityassessedornewvulnerabilityidentifiedduringcybersecuritytesting.Thedispositionofthevulnerabilityandtherationaleforthehowthevulnerabilityismanagedshouldalsobedocumented.
对于每一个评估的已知软件或者在网络网络安全测试中识别出的新的弱点,应该生成一份软件分析报告,并且应该记录下弱点的处置以及如何管理弱点的基本方法。
[G.16]Inadditiontodesignprotections,theautomotiveindustryshouldestablishrapidvehiclecybersecurityincidentdetectionandremediationcapabilities.
除了设计保护外,汽车行业应该具有快速的汽车网络安全事件监测和补救的能力。
[G.17]Suchcapabilitiesshouldbeabletomitigatesafetyriskstovehicleoccupantsandsurroundingroaduserswhenacyberattackisdetectedandtransitionthevehicletoaminimalriskcondition,asappropriatefortheidentifiedrisk.
当检测到网络攻击时,此类能力应能够缓解车辆乘员和周围道路使用者的安全风险,并将车辆转换至最低风险状态,视识别的风险而定。
[G.18]Manufacturersshouldcollectinformationonpotentialattacks,andthisinformationshouldbeanalyzedandsharedwithindustrythroughtheAuto-ISACandothersharingmechanisms.
[G.19]Manufacturersshouldfullydocumentanyactions,designchoices,analyses,supportingevidence,andchangesrelatedtoitsmanagementofvehiclecybersecurity.
OEM应该完全记录所有的关于汽车网络安全管理的行为,如设计选择,分析,支持证据及变更。
[G.20]Allrelatedworkproductsshouldbetraceablewithinarobustdocumentversioncontrolsystem.
[G.21]Companiesshoulduseasystematicandongoingprocesstoperiodicallyreevaluaterisksandmakeappropriateupdatestoprocessesanddesignsduetochangesinthevehiclecybersecuritylandscape,asappropriate.
在合适的情况下,公司应该使用成体系的,持续的流程来周期性重新评估风险,并依据汽车网络安全环境的变化对于流程和设计作出适当的更新。
[G.22]Bestpracticesforsecuresoftwaredevelopmentshouldbefollowed,forexampleasoutlinedinNISTpublicationsandISO/SAE21434.
应该遵循安全软件开发的最佳实践,比如,NIST美国国家标准与技术协会的公开发布物和ISO21434描述的内容。
[G.23]Manufacturersshouldactivelyparticipateinautomotiveindustry-specificbestpracticesandstandardsdevelopmentactivitiesthroughrecognizedstandardsdevelopmentorganizationsandAuto-ISAC.
制造商应该通过权威的标准制定机构及汽车安全信息共享和分析中心主动地参加汽车行业指定的最佳实践和标准开发的活动。
[G.24]Asfuturerisksemerge;industryshouldcollaboratetoexpedientlydevelopmitigationmeasuresandbestpracticestoaddressnewrisks.
随着未来风险的出现,行业内部应通力合作,以便于开发出缓解的措施和最佳实践以应对新的风险。
[G.25]Membersoftheextendedautomotiveindustry(including,butnotlimitedto,vehiclemanufacturers,automotiveequipmentsuppliers,softwaredevelopers,communicationservicesproviders,aftermarketsystemsuppliers,andfleetmanagers)arestronglyencouragedto:
大力鼓励扩展汽车行业的成员(包括但不限于车辆制造商、汽车设备供应商、软件开发商、通信服务提供商、售后市场系统供应商和车队管理者):
[a]JoinAuto-ISAC;
加入汽车信息共享和分析中心;
[b]Sharetimelyinformationconcerningcybersecurityissues,includingvulnerabilities,andintelligenceinformationwithAuto-ISAC.
[G.26]MembersofAuto-ISACarestronglyencouragedtocollaborateinexpeditiouslyexploringcontainmentoptionsandcountermeasurestoreportedvulnerabilities,regardlessofanimpactontheirownsystems.
不论对这些成员自己的系统有什么影响,鼓励汽车信息共享和分析中心的成员合作以便快速地探索出应对报告漏洞抑制选项和应对措施。
[G.27]Automotiveindustrymembersshouldcreatetheirownvulnerabilityreportingpoliciesandmechanisms.
汽车行业成员应该建立自己的漏洞报告策略和机制。
[G.28]Membersoftheautomotiveindustryshoulddevelopaproductcybersecurityincidentresponseprocess.Thisprocessshouldinclude:
汽车行业的所有成员应该拥有一个产品网络安全事件响应流程。这个流程包括:
[a]Adocumentedincidentresponseplan;
有文档记录的事件响应计划;
[b]Clearlyidentifiedrolesandresponsibilitieswithintheorganization;
组织内有清晰识别的角色和职责;
[c]Clearlyidentifiedcommunicationchannelsandcontactsoutsidetheorganization;and
组织外有清晰识别的交流渠道和联系方式;以及
[d]Proceduresforkeepingthisinformation,[G.28[a]-[c]],uptodate.
保持[G.28[a]-[c]]持续更新状态的流程。
[G.29]Organizationsshoulddevelopmetricstoperiodicallyassesstheeffectivenessoftheirresponseprocess.
组织应该开发出能够定期评估它们响应流程有效性的矩阵。
[G.30]Organizationsshoulddocumentthedetailsofeachidentifiedandreportedvulnerability,exploit,orincidentapplicabletotheirproducts.
组织应记录适用于其产品的每个已识别和报告的漏洞、利用或事件的详细信息。
[G.31]Thenatureofthevulnerabilityandtherationaleforhowthevulnerabilityismanagedshouldbedocumented.
应该记录漏洞的属性和如何管理漏洞的基本原理。
[G.32]Commensuratetoassessedrisks,organizationsshouldhaveaplanforaddressingnewlyidentifiedvulnerabilitiesonconsumer-ownedvehiclesinthefield,inventoriesofvehiclesbuiltbutnotyetdistributedtodealers,vehiclesdeliveredtodealershipsbutnotyetsoldtoconsumers,aswellasfutureproductsandvehicles.
与评估的风险相适应,组织应制定计划,以解决现场消费者拥有的车辆、已制造但尚未分销给经销商的车辆库存、已交付给经销商但尚未销售给消费者的车辆以及未来产品和车辆的新发现的漏洞。
[G.33]AnyincidentsshouldalsobereportedtoCISA/UnitedStatesComputerEmergencyReadinessTeam(US-CERT)inaccordancewiththeUS-CERTFederalIncidentNotificationGuidelines.
任何事故也应根据CERT联邦事故通知指南报告给CISA/计算机应急准备小组(CERT)。
[G.34]Industrymembersshouldperiodicallyconductandparticipateinorganized,cyberincidentresponseexercises.
行业成员应该定期进行和参与有组织的网络安全事件演练。
[G.35]Theautomotiveindustryshoulddocumentthedetailsrelatedtotheirvehiclecybersecurityriskmanagementprocesstofacilitateauditingandaccountability.
[G.36]Further,suchdocumentsshouldberetainedthroughtheexpectedlifespanoftheassociatedproduct.
[G.37]documentsshouldfollowarobustversioncontrolprotocol,andshouldberevisedregularlyasnewinformation,data,andresearchresultsbecomeavailable.
文档应该遵循一个强有力的版本控制计划,也应该随着新的信息,数据,研究成果落地进行定期升级。
[G.38]Theautomotiveindustryshouldestablishproceduresforinternalreviewofitsmanagementanddocumentationofcybersecurity-relatedactivities.
[G.39]Theautomotiveindustryshouldconsidercarryingoutorganizationalandproductcybersecurityauditsannually.
汽车行业应考虑每年进行组织和产品网络安全审计。
[G.40]Vehiclemanufacturers,suppliers,universities,andotherstakeholdersshouldworktogethertohelpsupporteducationaleffortstargetedatworkforcedevelopmentinthefieldofautomotivecybersecurity.
[G.41]Theautomotiveindustryshouldconsidertherisksthatcouldbepresentedbyuser-ownedoraftermarketdeviceswhenconnectedwithvehiclesystemsandprovidereasonableprotections.
汽车行业应该考虑到用户手里或者售后设备在连接车辆系统的风险并提供合理的保护。
[G.42]Anyconnectiontoathird-partydeviceshouldbeauthenticatedandprovidedwithappropriatelimitedaccess.
[G.43]Aftermarketdevicemanufacturersshouldemploystrongcybersecurityprotectionsontheirproducts.
售后设备制造商应该在它们的产品使用强有力的网络安全保护措施。
[G.44]Theautomotiveindustryshouldconsidertheserviceabilityofvehiclecomponentsandsystemsbyindividualsandthirdparties.
业内应考虑车辆部件和系统的可维修性,以便于个人和第三方使用。
[G.45]Theautomotiveindustryshouldprovidestrongvehiclecybersecurityprotectionsthatdonotundulyrestrictaccessbyalternativethird-partyrepairservicesauthorizedbythevehicleowner.
25个车辆网络安全技术最佳实践
[T.1]Developer-levelaccessshouldbelimitedoreliminatedifthereisnoforeseeableoperationalreasonforthecontinuedaccesstoanECUfordeployedunits.
如果没有因为对正在使用单元的电子控制单元的持续访问权限的预期操作,那么应该限制或者消除开发者级别的访问权限
[T.2]Ifcontinueddeveloper-levelaccessisnecessary,anydeveloper-leveldebugginginterfacesshouldbeappropriatelyprotectedtolimitaccesstoauthorizedprivilegedusers.
[T.3]Cryptographictechniquesshouldbecurrentandnon-obsolescentfortheintendedapplication.
对于预期应用,应该使用最新且不过时的加密技术。
[T.4]Cryptographiccredentialsthatprovideanauthorized,elevatedlevelofaccesstovehiclecomputingplatformsshouldbeprotectedfromunauthorizeddisclosureormodification.
[T.5]Anycredentialobtainedfromasinglevehicle’scomputingplatformshouldnotprovideaccesstoothervehicles.
从某一汽车计算平台获得的任何凭证应该不能访问其他车辆。
[T.6]Diagnosticfeaturesshouldbelimited,asmuchaspossible,toaspecificmodeofvehicleoperationwhichaccomplishestheintendedpurposeoftheassociatedfeature.
[T.7]Diagnosticoperationsshouldbedesignedtoeliminateorminimizepotentiallydangerousramificationsiftheyweremisusedorabusedoutsideoftheirintendedpurposes.
如果诊断功能在预期目的之外被错误使用或者随意乱用,那么应该将诊断操作设计为可以消除或者最小化危险的且复杂很难预料的结果。
[T.8]Theuseofglobalsymmetrickeysandad-hoccryptographictechniquesfordiagnosticaccessshouldbeminimized.
应该将针对诊断功能的全球对称密匙和点对点加密技术的使用降到最小范围。
[T.9]Vehicleanddiagnostictoolmanufacturersshouldcontroltools’accesstovehiclesystemsthatcanperformdiagnosticoperationsandreprogrammingbyprovidingforappropriateauthenticationandaccesscontrol.
[T.10]Whenpossible,criticalsafetysignalsshouldbetransportedinamannerinaccessiblethroughexternalvehicleinterfaces.
如果可能的话,关键的安全信号应该通过外部汽车接口无法访问的方式进行传输。
[T.11]Employbestpracticesforcommunicationofcriticalinformationoversharedandpossiblyinsecurechannels.Limitthepossibilityofreplay,integritycompromise,andspoofing.Physicalandlogicalaccessshouldalsobehighlyrestricted.
采用最佳实践,通过共享和可能不安全的渠道交流关键信息。限制重放、完整性损害和欺骗的可能性。物理和逻辑访问也应受到严格限制。
[T.12]Alogofeventssufficienttorevealthenatureofacybersecurityattackorsuccessfulbreachandsupporteventreconstructionshouldbecreatedandmaintained.
应该创建和维护能够充分揭露网路安全攻击或者成功入侵特性的事件日志,并能够支持事件重建。
[T.13]Suchlogsthatcanbeaggregatedacrossvehiclesshouldbeperiodicallyreviewedtoassesspotentialtrendsofcyberattacks.
应该定期总结评价涉及到整个车辆的总体日志,来评价网络攻击的潜在趋势。
[T.14]Manufacturersshouldtreatallnetworksandsystemsexternaltoavehicle’swirelessinterfacesasuntrustedanduseappropriatetechniquestomitigatepotentialthreats.
OEM应该将所有连接车辆无线接口的外部所有网络和系统视为不可信的,并且应该使用合适的技术来缓解潜在的威胁。
[T.15]Networksegmentationandisolationtechniquesshouldbeusedtolimitconnectionsbetweenwireless-connectedECUsandlow-levelvehiclecontrolsystems,particularlythosecontrollingsafetycriticalfunctions,suchasbraking,steering,propulsion,andpowermanagement.
应使用网络分段和隔离技术来限制无线连接ECU和低级别车辆控制系统之间的连接,特别是控制安全关键功能的系统,如制动、转向、驱动和电源管理。
[T.16]Gatewayswithstrongboundarycontrols,suchasstrictwhitelist-basedfilteringofmessageflowsbetweendifferentnetworksegments,shouldbeusedtosecureinterfacesbetweennetworks.
应该使用带有强力边界控制的网关来确保网络之间的接口安全,比如基于严格白名单制度的不同网络分割体的信息流的过滤机制。
[T.17]Eliminatingunnecessaryinternetprotocolservicesfromproductionvehicles;
关闭量产车不必要的网络协议服务。
[T.18]LimitingtheuseofnetworkservicesonvehicleECUstoessentialfunctionalityonly;and
限制只针对关键功能块的汽车电子控制单元的网络服务的使用。
[T.19]Appropriatelyprotectingservicesoversuchportstolimitusetoauthorizedparties.
[T.20]Manufacturersshoulduseappropriateencryptionandauthenticationmethodsinanyoperationalcommunicationbetweenexternalserversandthevehicle.
[T.21]Manufacturersshouldplanforandcreateprocessesthatcouldallowforquicklypropagatingandapplyingchangesinnetworkroutingrulestoasinglevehicle,subsetsofvehicles,orallvehiclesconnectedtothenetwork.
OEM应该计划并创建一个可以快速传播和应用网络路由规则的变更,网络路由规则是针对单车,车辆的子系统,或者所有连接到网络里的车辆。
[T.22]Automotivemanufacturersshouldemploystate-of-the-arttechniquesforlimitingtheabilitytomodifyfirmwaretoauthorizedandappropriatelyauthenticatedparties.
[T.23]Manufacturersshouldemploymeasurestolimitfirmwareversionrollbackattacks.
OEM应该采取措施来限制固件版本回滚攻击。
[T.24]MaintaintheintegrityofOTAupdates,updateservers,thetransmissionmechanism,andtheupdatingprocessingeneral.
总体上维护远程升级,升级服务器,传递机构和升级过程的完整性。
[T.25]Takeintoaccount,whendesigningsecuritymeasures,therisksassociatedwithcompromisedservers,insiderthreats,men-in-the-middleattacks,andprotocolvulnerabilities.