智能网联汽车网络安全风险评估 | 磐老师化险为夷篇

4月20日盖茨基金会、世卫组织、武汉病毒所都受到了黑客攻击,成千上万的文件、密码、邮件并泄露在网上。

该事件对于风险评估专家的磐老师来说,有点震惊,甚至有些后怕,甚至对于从事智能网联汽车相关行业的人来说更是一种警示!在5G-V2X的环境下,如何做好智能网联汽车信息安全是一个急需解决的问题。11个字:防范于未然,切勿亡羊补牢! 做好智能汽车网络信息安全风险评估是最好的一道墙!

信息来源:CONFIRMED: Hackers Strike And Leak Bill Gates, WHO, And Wuhan Lab Emails

 

3个定义

风险评估(Risk Assessment)

在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。

即量化测评某一事件或事物带来的影响或损失的可能程度。

信息安全风险评估

对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。

 

 

网络安全风险评估

对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。

 

信息安全和网络安全的关系Discovery

包含和被包含的关系

信息安全包括网络安全,信息安全还包括操作系统安全,数据库安全,硬件设备和设施安全,物理安全,人员安全,软件开发,应用安全等。

 

针对的设备不同

网络安全侧重于研究网络环境下的计算机安全,信息安全侧重于计算机数据和信息的安全

 

侧重点不同

网络安全更注重在网络层面,例如通过部署防火墙、入侵检测等硬件设备来实现链路层面的安全防护,而信息安全的层面要比网络安全的覆盖面大的多,信息安全是从数据的角度来看安全防护。

通常采用的手段包括:防火墙、入侵检测、审计、渗透测试、风险评估等,安全防护不仅仅是在网络层面,更加关注的应用层面,可以说信息安全更贴近于用户的实际需求及想法。

网络安全风险评估广泛运用于金融、IT和医疗等行业领域。

如IT行业:

去年轰动一时的“ZAO”换脸APP风波,8元3000张人脸在网上公开售卖等事件,引发了大众的忧虑。

在IT行业人脸识别是人工智能技术颇为活跃的应用领域之一,然而人脸识别模型的构建需要大量人脸照片, 全国信息安全标准化技术委员会发布了《信息技术 安全技术生物特征识别信息的保护要求(征求意见稿)》,其中对于生物特征识别数据(biometric data)进行了相关定义,同时评估要素、问题、规范基础都做了相关说明。

 

智能网联汽车的应用场景日益丰富,看不到的C-V2X通信过程中看似平静实则蕴藏着巨大的威胁。

 

汽车行业面临着新的挑战

早期和持续的网络安全风险评估。越来越多的计算机化组件接入汽车核心系统,网络脆弱性也呈上升趋势。世界各地的监管机构已经起草了指导方针,以监督这些风险。

 

何时及为何需要网络信息安全风险评估RA?

第一次网络安全风险评估是在车辆生命周期的第一个阶段。根据ISO/SAE 21434标准“道路车辆-网络安全工程”设计新车时,汽车制造商需要进行初步的网络安全风险评估。

根据评估结果,确定网络安全目标,并完善网络安全要求,从而实现网络安全设计。

如何进行风险评估呢?

如何建立最佳的风险评估流程?新的ISO/SAE 21434标准给出了一个路线图。

STEP1 资产识别

确定是否有任何资产可能受到漏洞或攻击的潜在影响。

在资产识别之后,我们需要对其进行映射并考虑:

它们还可能影响哪些资产? 那些(现在的)风险资产存在于哪些车型上?

目前,进行准确资产识别所需的数据可能分散在原始设备制造商及其各个供应商之间,因此可能需要检查完整的硬件和软件BOM(物料清单)。这意味着,当发生任何类型的事故时,OEM将需要联系其供应商,询问他们是否存在受影响的资产。

STEP2 漏洞分析和威胁场景

假设资产受到了影响,下一个任务是了解攻击者如何处理此类漏洞或攻击向量。需要调查攻击者在试图利用上述漏洞时将面临哪些机会或可能性。

在自己的网络中“扮演”攻击者的角色,考虑到其完整的拓扑结构、端点特征以及我们部署的各种安全措施

STEP3 确定风险

一旦建立了完整的威胁模型,我们需要得出事件的风险水平。

需要考虑两个共同构成风险确定的参数:攻击可行性、影响级别

攻击可行性-这起事件发生的可能性有多大?

影响评级-如果此类事件真的发生,其影响将是什么?这是安全问题吗?或者,这可能只是一个财务问题,例如在使用前锁定车辆,从而防止其使用,例如勒索软件?

在不同的情况下,每种方法都可能产生完全不同的效果。一旦确定并考虑到风险水平,就可以最终得出面临的威胁程度,进而明确应对措施。

STEP4 风险处理

网络安全风险评估不是一个非经常性的过程。近年来,汽车袭击事件不断增加,因此,我们必须作出更迅速的反应,最好是在设计之初就把网络安全风险解决方案部署好

 

汽车信息安全行业的奥斯卡与格莱美

Cyber security excellence awards-是投资机构筛选行业黑马以及客户甄选最杰出的信息安全企业和产品的重要参考,该奖项由Cyber security Insiders与LinkedIn上的信息安全社区共同参与评选。

TU-Automotive Awards-互联汽车行业备受推崇的奖项,旨在对卓越性、创新技术和领导力进行表彰,由来自互联汽车行业各个领域的专家组成的评审小组选出10个奖项的入围者。

以上2个奖项每年都会进行群雄争霸,评选出汽车网络信息安全的Top 1。

 

磐起信科—汽车行业中的麦肯锡

 

作为中国的新生力量,我们能在智能网联汽车网络信息安全有一席之地,因为我们有着可以世界级抗衡的技术实力和专家。去年,磐起信科的技术大咖们,打败了黑莓,拿到了TU-Automotive Awards这个大奖。

  这里放图片

 

磐起信科—项目案例

磐起信科有幸与上汽集团合作洋山港5G+L4级智能驾驶重卡示范区运营中的信息安全项目,为洋山港智能重卡示范区的云、管、端、场4大领域进行V2X安全风险评估。 

评估过程是一个复杂的过程,准备工作是成功的关键,为了实现这样一个过程,项目初期尽可能的收集所需数据,以便根据需要支持不同的步骤。

 

网络信息安全风险评估是一个过程,它产出的不是0或1的二元结果,而是一个复杂的过程和决定。

 

磐起信科坚信在技术支撑下,未来可以为智能网联汽车的信息安全解决方案贡献更多的力量。

期待您的关注和问询,更多项目演示预约可见下方传送门。

 

欢迎扫码关注

欢迎扫码关注