隨著『道路車輛-網路安全』2021年版,國際標準的發佈,開啟了汽車原廠與供應商的網路安全框架的稽核。
UNECE WP.29 對於CSMS ,及ISO/SAE 21434 對於流的程上的要求,我們必須面對問題及解決問題。
其中UNECE-WP.29中的CSMS 流程要求,與ISO/SAE 21434 的第5章、第6章、第7章、第8章、第10章、第13章、有異曲同工之妙。
面對國際車輛行業標準規範,國際品牌汽車原廠將開始要求他們的一階二階供應商,必須符合國際車輛行業標準新規範。
ISO/SAE 21434 解決方案
(一)需要擁有軟體組成分析技術
● 了解軟體供應鏈、獲取SBOM(軟體物料清單),並使用它來分析漏洞對於管理風險至關重要。
● Cybellum 網路安全 漏洞風險管理平台,使用專門的多因素檢測引擎,自動分析固件及其所有開源、商業和專有子組件,
● Cybellum 網路安全 漏洞風險管理平台,並生成最完整、最準確的材料清單。
(二)代碼片段檢測(Code Snippet Detection)
● Cybellum 產品安全評估自動檢測開源和商業軟體的許可訊息,支援代碼片段檢測,用於管理 OSS 許可策略:
● Cybellum SBOM 檢測技術會在每個文件上獨立運行。
● 如果代碼片段文件包含來自原始源文件的足夠跡象,就可以檢測到它們。
● Cybellum 閾值預設配置為能夠檢測相對於源大小合理的代碼片段。
● 即使只編譯了開源源代碼樹的一部分,在編譯後的文件中仍然可以找到許多指標。
● 檢測演算法的設計,使得片段代碼仍然可以被識別。
(三)威脅情報
● Cybellum 的一個重要部分是從各種來源獲取訊息和融合:公共、私人、暗網和 Cybellum 研究實驗室。
● 為了以有效的方式融合這些資源,該平台包括一個 NLP 層,以將不同類型的情報源聚合成一個有凝聚力的表示和適用的方式。
(四)靜態和動態漏洞檢測 (Static and Dynamic Vulnerability Detection):
● 靜態階段:靜態分析支持汽車架構、框架和協議,它在二進製文件上運行以檢測二進製文件中可能易受攻擊的可疑位置列表。
● 動態階段:動態執行引擎接收二進製文件中可能易受攻擊的可疑位置作為輸入,並嘗試從某些訪問向量(套接字、用戶輸入等)
● 靜態和動態輸出:驗證漏洞列表。
● Cybellum 使用一種新技術,將靜態分析與動態分析結合起來進行漏洞檢測。
● 檢測方法分為兩個主要階段——靜態和動態。雖然靜態分析的使用為檢測到的漏洞提供了基礎,但它的代價是會誤報結果。
● 許多已識別的代碼弱點實際上並不是真正的漏洞。在這方面,動態分析補充了靜態分析。
認識ISO/SAE 21434
ISO/SAE 21434 的標準旨在幫助汽車行業定義一個結構化流程,以確保將網絡安全納入道路車輛的設計,
包括系統、組件軟件和連接到任何外部設備或網絡。
該標準規定了設計、開發、道路車輛電氣和電子(E/E) 的生產、運營、維護和除役報廢的整個生命週期系統。
ISO/SAE 21434標準是100多位專家聯合工作組努力的結果。
這些來自14個國家和 82 個行業組織,涵蓋公共團體、私營企業和政府部門代表,
包括了SAE 車輛網絡安全系統工程委員會和22個 ISO 技術委員會、32個分委會、及11個工作組。
ISO/SAE 21434 歷經四個專注於風險管理的主要議題;產品開發、生產、運行、維護和除役報廢整個生命過程過程概述,
在國際標準化組織 ISO 26262已經制定了功能安全標準下,這次ISO/SAE 21434 新的網絡安全標準也呼應了ISO 26262精神,
ISO/SAE 21434 通過涵蓋完整的車輛工程週期(從設計到開發到驗證和維護)。
我們知道 SAE J306 由 SAE 於 2016 年開發,旨在為網絡安全標準奠定基礎。
這次ISO/SAE 21434 標準的演變,可以被視為更廣泛和最新的SAE標準。
在UNECE WP.29法規儘管WP.29 並未及 ISO/SAE 21434 標準,
但據了解,如果 OEM 及其供應鏈能夠證明符合該標準框架,則該合規性可用於證明符合 WP.29 法規。
作為具有明確控制的國際汽車網絡安全框架,ISO/SAE 21434 很可能成為大多數 OEM 和一級供應商所遵循或認證的框架。
關於ISO/SAE 21434 結構標準,其中前四個條款突顯出了:
標準的範圍(第 1條)、參考文獻(第 2 條)、定義(第 3 條)和一般注意事項(第 4 條)。
ISO/SAE 21434 大部分標準要求包含在第 5~8 條文中
● 第 5 條和第 6 條側重於網絡安全管理,
● 包括實施用於整體網絡安全管理的組織網絡安全政策、規則和流程以及依賴於項目的網絡安全管理(與WP.29 CSMS相似且相關規定)。
● 標題為“持續的網絡安全活動”的第 7 條定義了為以下目的提供信息的活動車輛的持續風險評估和脆弱性管理。
● 標題為“風險評估方法”的第 8 條定義了確定風險程度的方法。
ISO/SAE 21434 網路安全風險包含在第9~15條文中
● 第 9~14 條涵蓋車輛整個生命週期的要求,
● 包括“概念階段”(第 9 條)、
● “產品開發階段”(第 10 和 11 條)和
● “後開發階段”(第 12‑14 條) .
● 在標題為“分佈式活動”的第15 條中,該標準詳細說明了供應商管理的要求,並定義了客戶之間的交互、依賴關係和責任。
ISO/SAE 21434 還包括 10 個附件(AJ)
它們都是資訊性的,出於多種原因用於向文件的主體提供額外資訊,例如:
● 當資訊或表格很長時;
● 區分特殊類型的資訊;
● 提供有關文檔特定應用的資訊。
有哪些車用零部件適用於 ISO/SAE 21434 執行標準?
根據標題為“一般考慮”的第 4條,該標準僅限於車輛內部或車輛周邊的網絡安全相關項目和組件,包括售後市場和服務部件。
出於網絡安全目的,可以考慮車輛周邊以外的系統,但不在標準範圍內。
以下是可以作為一個整體考慮車輛級別的示例:
● 整車E/E架構
● 網絡安全相關項目和組件的網絡安全案例
ISO/SAE 21434 是汽車製造商和供應商確保有效管理網絡安全風險的基準。
該標準是 專門為確保最終道路使用者/駕駛員的安全而製定的,
因此,決定性的風險水平和相應的網絡安全措施是根據對駕駛員 的最終影響來設定的。
它提供了一個標準化的網絡安全框架,將網絡安全確立為從概念階段一直到退役的車輛整個生命週期中工程的一個組成 部分,
確保在後期生產過程中考慮網絡安全(軟件更新、服務和維護、事件響應等),
並呼籲採用與汽車網絡安全相關的 有效經驗教訓、培訓和溝通方法。
更具體地說,該標準的範圍包括:
1. 網絡安全風險管理的具體要求
2. 網絡安全流程框架
3. 幫助製造商和組織溝通 其網絡安全的通用語
ISO/SAE 21434 免除規範
特定的網絡安全技術或解決方案、補救方法的強制要求或電信系統、連接的後端服務器、 EV 充電器或自動駕駛汽車的網絡安全要求。
相反,該標準非常強調風險識別方法和已建立的流程來解決網絡風險。
因此,如果受損的後端服務器、充電器或自動駕駛車輛 對道路使用者造成直接風險,則必須對其進行監控、控制和緩解。
這是為原始設備製造商及其供應商提供了實施符合標準所需的技術和解決方案的靈活性。
說到風險評估的標準。
該標準要求原始設備製造商及其供應商分析整個車輛生命週期中新出現的威脅和風險,
以確定道路使用者/駕駛員可能受到威脅場景的影響程度。
這種威脅分析和風險評估的標準,一般過程稱為“TARA”。
TARA 有效風險評估的方法
● 資產識別 ‑ 知道什麼可能受到傷害。
● 威脅場景識別 ‑ 了解資產如何受到損害。
● 威脅影響分析和評級 ‑ 估計威脅可能造成的損害。
● 攻擊路徑分析 哪些行為(孤立或關聯)可能導致威脅。
● 攻擊可行性分析和評級 損害/傷害發生的可能性是多少。
● 風險確定 威脅造成的風險有多高。
● 風險處理決策:您將如何處理特定風險。
● ISO‑SAE 解釋說,列出的方法/“模塊”與車輛的特定階段無關生命週期,並且可以按最適合OEM 的順序使用。
● 說到 ISO‑SAE 21434 標準對供應商Tier‑1 和 Tier‑2 有什麼要求?
● 該標準的第 15 條側重於“分佈式網絡安全活動”,並討論了 OEM 與一級和二級供應商之間的網絡安全關係。
● OEM 負責確保其供應商實施方法以確保其產品和組件的網絡安全。
TARA 分析工具:SOX 安全平台 可以進行 TARA 分析、ATA攻擊樹分析
TARA,全名為 Threat Analysis and Risk Assessment (威脅分析和風險評估),是一種工程方法,用於識別和評估網路漏洞並選擇有效緩解這些漏洞的對策。
TARA 在ISO/SAE 21434 中被認為是網路安全分析的核心方法。網路安全管理貫穿於 ISO/SAE 21434 所提出的汽車系統全生命週期,例如在概念階段中,完成“物件”定義後,就需要進行TARA分析來識別車輛潛在的威脅及其風險等級,以明確網路安全目標,併為後續生成網路安全需求提供輸入,最終指導後續的正向開發。
詳細介紹請參考:SOX 功能安全與網路安全軟體 – 艾索科技
ISO/SAE 21434 對於供應商與OEM 關係的三個主要策略
● A. 評估:(第 15.4.1條)“供應商能力的展示和評估”作為 OEM 對供應商評估和評價的一部分,供應商應提供“網絡安全能力記錄”包括:
1. 證明他們在網絡安全方面的能力
2. 持續網絡安全活動的證據
3. 以往網絡安全評估的總結
4. 組織審核結果
5. 信息安全管理系統的證據
6. 組織管理體系的證據
● B. 確認:(第15.4.2 條)“詢價”:當 OEM 從一級或二級供應商處採購耗材和組件時,他們應該在他們的報價中包括:
1. 正式要求供應商遵守標準‧
2. 網絡安全責任預期列表供應商
3. 網絡安全目標或相關網絡安全要求集的詳細信息 供應商
● C. 對⿑:(第 15.4.3 條)“職責對⿑” OEM 和供應商必須通過稱為 CIAD“網絡安全接口開發協議”的過程。 CIAD 的職責分工包括以下方面的協議:
1. OEM 和供應商關於網絡安全的聯絡點
2. 聯合定製網絡安全活動
3. 確定由OEM 和供應商
OEM 和供應商應使用 CIAD 建立網絡安全責任分工RASIC 模型。在標準的附錄 C 中提到,代表:
● R(負責):負責完成活動的組織
● A(批准):有權批准或拒絕活動的組織完成。
● S(支持):將幫助負責活動的組織的組織;
● I (通知):獲知活動進展和任何活動進展的組織。正在作出的決定;
● C(諮詢):提供建議或指導但不積極開展工作的組織活動。
Cybellum 漏洞管理工具可以幫助您的產品面對 ISO/SAE 21434 標準
Cybellum 在國際標準、法規和最佳實踐領域上表現非常活躍,擔任 ISO/SAE 21434 標準委員會的主席之一,
領導負責標準“用例附 件”的工作組,並參與其他標準化工作,
例如即將推出的ISO/WD PAS 5112審計網絡安全工程指南, IAMTS網絡安全研究小組等等。
我們的解決方案使原始設備製造商及其供應商能夠開發和維護安全的產品,
幫助他們遵守 UNECE WP.29 法規和 ISO/SAE 21434 標準。
我們的平台是 CSMS 的基礎,涵蓋從風險評估和持續監控到文件記錄和審計準備的所有內容。
艾索科技講師擁有 SGS-TÜV Saar ISO/SAE 21434 CS1 和CS2培訓,並通過 CACSP 認證符合專家資格。
若您需要訂閱 Cybellum 平台,或想了解更多網路安全、漏洞風險相關資訊,請聯繫艾索科技。
網頁連結:Cybellum 資安漏洞管理平台簡介 – 艾索科技
如何開始面對道路車輛網路安全工程問題
和一般研發流程相同,我們製作產品流程,可設定為
● 建模處理(TARA & 架構定義)
● 網路安全處理(PLM & SBOM 導入 & CI/CD二進位來源 & 許可證)
● 營運處理(公共威脅 & 持續更新)
在建模處理階段、網路安全處理階段、營運處理階段、三大框架上會同時執行以下三種 Project;
● Modules(不同軟體模組功能)
● Product Security Workflow(分別執行 Project)
● Digital Twins(數位孿生、數位雙胞胎)
在建模處理工作階段要執行五大要點,分別是:
● 威脅建模
● 項目定義
● 架構定義
● 設定要求
● 制訂政策
附註1:威脅建模和我們常用的車輛整車建模、伺服器建模、流體建模、複材建模、電磁建模、觀念一致,只是已知條件要改為合規。
附註2:我們如果用PDM或PLM建模來形容,就會更貼切一些。
在網路安全處理工作階段要執行五大要點,分別是:
● Binary 掃描 & SBOM創建
● SBOM管理
● 漏洞管理
● 零日檢測
● License & 政策差距分析
在營運處理工作階段要執行四大要點,分別是:
● 即時偵測
● 實施挖掘調查
● 處置決定
● 事件報告
網路安全 漏洞管理平台 協助您面對 ISO/SAE 21434 標準
Cybellum 在國際標準、法規和最佳實踐領域上表現非常活躍,擔任 ISO/SAE 21434 標準委員會的主席之一,
領導負責標準“用例附 件”的工作組,並參與其他標準化工作,
例如即將推出的ISO/WD PAS 5112審計網絡安全工程指南, IAMTS網絡安全研究小組等 等。
我們的解決方案使原始設備製造商及其供應商能夠開發和維護安全的產品,
幫助他們遵守 UNECE WP.29 法規和 ISO/SAE 21434 標準。
我們的平台是 CSMS 的基礎,涵蓋從風險評估和持續監控到文件記錄和審計準備的所有內容。
艾索科技講師擁有 SGS-TÜV Saar ISO/SAE 21434 CS1 和CS2培訓,並通過 CACSP 認證符合專家資格,搭配 Cybellum資安漏洞掃描管理平台,協助您面對 ISO/SAE 21434 標準。
若您需要訂閱 Cybellum 網路安全、漏洞風險管理 平台 / 或想得到更多網路安全、漏洞風險管理資訊、 / 或其他服務。請聯繫艾索科技
艾索科技聯繫表單: 點我連結
艾索科技連絡電話:(02)2500-6210
善意提醒:國際標準也會順帶考核您具有:主導產品合規企劃能力、解決方案是證明您具有:主導面對問題應對能力,
最後才是稽核您具有:主導產品生命週期安全能力 並通過認證。
