05. 合规性检查
在智能出行生态系统中建立信任
需要注意的是,R155和ISO/SAE 21434都没有提供具体的解决方案和确切流程,而是强调实施高标准网络安全分析的重要性。这些指南概述了流程,明确了风险分析和响应目标,要求在从开发、生产到后续阶段的全周期内考虑网络安全威胁和漏洞。
R155要求OEM厂商在车辆生命周期的各个阶段实施、维护威胁分析与风险评估(TARA)。他们还须与自己的一、二级供应商共同制定针对未来攻击的处理和防护流程。该法规适用于OEM厂商,但因为CSMS包括整个价值链,所以也适用于供应商。R155适用于在参加1958年UNECE交通协议和公约的54个国家运营的OEM厂商。
按照R155,OEM厂商和供应商能够更准确地识别、更有效地应对与新兴车辆架构、出行服务和网联车辆生态系统相关的安全风险。这些威胁主要存在于:
• 与行驶车辆相关的后端服务器
• 车辆的通信方式
• 车辆的更新程序
• 可能导致网络攻击人类的“无心之失 ”
• 车辆的外部连接和链路
• 车辆数据/代码
R155法规在汽车网络安全的实用方法以及整体方法上独有独特性。在实用性上,给出了威胁的具体事例以及具体的缓解措施;在整体性上,提供了流程和治理方法以及IT、产品、OT和物联网视角。
该法规明确强调了“流程”一词,目的是为网络安全架构提供指导,而不涉及具体的技术规范。当今的汽车网络环境多样且动态,僵化的技术措施只会起到反作用。该法规遵循技术中立原则,旨在给予OEM厂商一定的灵活性来确定自己的网络安全措施。
2022年,全球OEM厂商都采用了正确的决策方向。UNECE 法规以及ISO/SAE 21434标准已达到临界规模,正在改变世界各地的业务运营。OEM厂商与供应商和网络安全公司密切合作,支持行业合规和认证工作,建立健全的网络安全治理架构和测试流程。
为了促进OEM厂商和供应商之间的合作,欧洲汽车制造商协会(ACEA)和欧洲汽车供应商协会(CLEPA)于2022年10月与Auto-ISAC联手,创建了一个欧洲汽车网络安全中央信息共享中心。
此外,根据ISO/SAE 21434标准和R155 CSMS要求,OEM厂商应在车辆下线后维护vSOC,进行长达10多年的持续监控。
2022年发现了151个新CVE漏洞,利益相关者必须持续评审和实施防护技术,防止自己的产品中存在已知漏洞和未来可能出现的未知漏洞。
ISO/SAE 21434和WP.29携手合作,为全球范围内的车辆提供保护。
2022年,欧盟立法者和加州监管机构在“零排放”上更进一步,批准自2035年开始禁止生产化石燃料汽车。
世界各国政府均在推动这一转型,再加上软件定义汽车的快速增长,立法者和监管机构逐步意识到汽车、基础设施和消费者隐私面临的网络安全风险,开始制定新法规加以应对,包括自动驾驶汽车法规。
2022年3月,中国工业和信息化部发布了《车联网网络安全和数据安全标准体系建设指南》,强调要加强网联汽车和智能出行的标准和技术要求,为保护中国车联网网络提供了路线图。
鉴于自动驾驶的迅速普及和V2X风险的不断增长,该指南为2023年和2025年设定了具体的监管目标。
在美国,加州公共事业委员会(CPUC)为通用汽车公司的Cruise子公司授予了无人驾驶部署许可证,并于2022年6月在旧金山正式开始向无人驾驶出租车收费。该许可证对最高速度、运营时间和特定区域进行了限制,将交通频繁的重型铁路道口和有轻轨交通的街道排除在外。
在日本,国家警察厅(NPA)宣布了一项计划,将于2023年4月将4级自动驾驶纳入交通法。立法框架于2022年4月确立,当时日本政府通过了一项法案,为下一代出行引入了新规则。
修改后的交通法将允许无人驾驶汽车在全国各地的公共道路上行驶,只要各县公共安全委员会允许。当然,这需要满足一些条件,如采用远程监控、位置验证和网络攻击防护措施等。
“维修权”法规也在不断演变,可能会引入新的安全和网络安全风险。2022年2月,美国立法机构提出了两项不同的“维修权”法案。《2022年维修自由法案》(H.R.6566)和《汽车行业公平和专业维修权法案》(H.R.6570)旨在确保消费者能够在独立网点维修车辆、电子设备和农用设备。在过去12个月里,这两项法案都没有取得其他进展。
在缅因州,独立汽车修理厂老板和员工等人组成联盟,开始为全州公投收集签名,目的是在2023年11月为此进行投票。他们要求汽车制造商向缅因州的独立修理店提供无线维修和诊断信息。
该倡议与马萨诸塞州选民2020年投票通过的一项倡议类似,后者将车辆数据的访问权限开放给独立修理店,以应对日益复杂的汽车技术。目前,就马萨诸塞州的这项法律,OEM厂商向联邦法院提出异议,企图阻止其实施。
2022年10月,通用汽车向联邦法官表示公司无法遵守这项法律,因为该法律带来了安全和网络安全风险,设定了一个无法达成的时间表,还与一些联邦法律相冲突。为了避免违法,斯巴鲁和起亚禁用了在马萨诸塞州注册的新车的远程通信系统和相关功能。
在澳大利亚,新的《机动车信息计划(MVIS)》于2022年7月1日生效,要求OEM厂商向独立修理店提供服务和维修信息,相关价格不得超过公平市场价值。
道路安全一直是推动新法规出台的一大主要因素,而新法规可能会对网络安全产生直接影响。2022年1月,联合国欧洲经济委员会宣布就商用车紧急制动加强管控(联合国第131号法规)。新规定预计最早将于2023年第一季度出台,将强制所有重型车辆使用自动紧急制动系统(AEBS)。联合国第133号法规的拟议修订内容旨在保障高速公路和市区安全,要求重型车辆配备AEBS,防止与同车道前车发生追尾碰撞,在检测到行人时能有效应对。新规定还对停用AEBS提出了限制条件,要求该系统在15分钟内自动重新启用。
联合国第131号法规的此次修订可能会带来网络攻击风险,攻击者可能会操控自动紧急制动系统,在该系统停用15分钟后无法再次启用。OEM厂商应考虑进行监控,发现单辆汽车以及整个车队的启用和停用异常问题。
2022年,Upstream的AutoThreat® PRO研究人员发现,有威胁主体和车辆消费者在深网/暗网中打探消息,意图篡改、控制和移除车中的AEBS传感器。
讨论篡改车中的传感器时通常涉及交换非官方文件和操作说明。
此外,这种信息交换可能会被黑帽攻击者或骗子利用,在暗网论坛中出于恶意目的分享这些敏感信息。传感器和ECU篡改文件若包含恶意代码、间谍软件或勒索软件,存在很大的网络安全隐患,可能导致车辆无法保修。
该文件最初于2016年发布,修订后考虑了新的行业标准和研究成果,并合入了从实际发生的事件中获得的知识以及关于2016年和2021草案的意见和建议。NHTSA持续评估网络安全风险,根据机动车及其网络安全的发展情况更新最佳实践。
NHTSA建议采用分层网络安全方法,该方法基于美国国家标准与技术研究院(NIST)网络安全框架的五大功能(识别、保护、检测、响应和恢复),包括:
- 针对关键控制系统和敏感信息,基于风险进行重点保护
- 及时发现并快速响应潜在威胁和事件攻击发生后快速恢复
- 推动整个行业吸取经验教训,包括有效的信息共享
NHTSA的指导方针强调了合作对于安全保障的重要性,建议相关企业加入Auto-ISAC,在行业内有效分享信息。Upstream对此表示支持。作为协作社区成员,我们维护着Upstream AutoThreat® 情报网络事件库,并在年度报告中分享我们的看法。
Upstream还很荣幸地成为了Auto-ISAC和ASRG的合作伙伴和赞助商,与其他成员共享行业知识,形成网络安全最佳实践。
将于2023年生效的第24号提案《加州消费者隐私法案》(CPRA)就是一个典型的例子。CPRA禁止汽车制造商和保险公司未经消费者许可使用精确的地理定位。
继CPRA后,弗吉尼亚州出台了《消费者数据保护法案》,科罗拉多州出台了《消费者隐私法案》,这两项法案也将于2023年生效,预计还会有六个州紧随其后。
在欧盟,监管机构开始为数据和人工智能制定新的监管框架,这将对汽车行业产生重大影响。
例如,最近提议的《数据法案》提出了公平和创新的数据经济措施,以及关于获取车辆数据、功能和资源的具体规定。欧盟委员会目前正在对这些规定进行评估。
《数据法案》允许联网设备的用户访问自己的数据,亦可与第三方共享这些数据,以获取售后服务或其他数据驱动的创新服务,从而确保数字环境的公平性,促进数据市场竞争,为数据驱动的创新创造机会。
2022年3月,欧盟委员会正式启动公众咨询,号召民众为影响评估提供证据,最终收到了来自行业利益相关者、倡议组织和相关人士提交的154份报告。欧盟委员会已于2022年第四季度完成了对这些报告的回复。
自动驾驶和网联车辆的数据及隐私立法已是大势所趋。2023~2024年,美国和欧盟市场预计会出台新法规,要求由消费者决定是否加入,或消费者最起码可以选择不加入。随着法规的不断发展,OEM厂商需要就自己的数据隐私和安全策略作出战略决策,最大限度地提高互信、合规性和消费者保护力度。
英国正在牵头实施《2021年电动汽车(智能充电桩)法规》,该法规于2022年6月30日生效,适用于家庭及工作场所的私人充电桩。
英国法规规定,充电桩必须满足以下要求:具有智能功能,如需求侧响应服务;电力供应商互通性;无网络充电能力;增强的安全功能;充电数据更为透明的计量系统;默认非高峰充电时间表;随机延迟以防止需求激增;合规声明;保存十年的销售记录。
该法规的附表1中列出了新的网络安全要求,于2022年12月30日生效。充电桩会预置上述设置,但车主可以根据自己的喜好进行调整。
在美国,交通部与能源部合作,为“国家电动汽车基础设施(NEVI)方程式计划”资助的项目提出了最低标准和要求。
拟议的美国标准和要求将适用于电动汽车充电设施的安装、运营和维护;电动汽车充电设施的互通性;与电动汽车充电设施一并获得、安装或运营的交通控制设备或现场标志;数据及其提交格式和时间表;电动汽车充电设施的网络连接;通过地图应用程序提供的电动汽车充电设施位置、定价、实时可用性和可访问性等方面的公开信息。这些标准要求各州按照《州电动汽车设施部署计划》实施物理和网络安全战略。
此外,2022年10月,国家网络总监办公室(ONCD)主办了电动汽车和电动汽车充电设施网络安全高管论坛,与政府和私营部门领导人(包括OEM厂商、零部件制造商、电动汽车充电设施制造商)探讨电动汽车和电动汽车充电设备的网络安全问题。考虑到新的网络风险不断出现,论坛重点探讨了建立“共享生态系统”的必要性以及是否需要制定针对电动汽车充电设施的新标准。
尽管欧盟和美国已同意制定电动汽车充电的统一标准,但进展缓慢。2022年10月,欧洲议会投票通过了《替代燃料基础设施条例》草案,提出了替代燃料基础设施部署的强制性国家目标,以及对电动汽车充电桩的最低要求。
• 学术或研究论文
• 汽车发烧友/极客论坛
• 社交媒体
• 代码分享网站
• 文件分享网站
互联网的第二层是深网。搜索引擎没有对这部分网络上的数据进行索引,原因有两种:(1)网络位于付费墙后面,需要登录凭证:(2)网络所有者禁止网络爬虫进行索引。对于普通人来说,深网包括私人社交媒体群组、付费内容、会员网站和机密企业网页。对于黑客来说,深网包括图像板,提供的是挑衅性、游走在非法边缘的匿名内容。深网占所有互联网网页的96%。
• 粘贴网站
• 有关汽车调校的秘密论坛或黑客论坛
互联网的最下一层是暗网,这里聚集着恶意活动、犯罪和窃取的数据。顾名思义,暗网躲在暗处,避免被人注意,要求用户事先知道如何访问所需信息。论坛或页面通常由版主管理。由于缺乏透明度,再加上论坛中的信息类型,暗网非常可疑。
• 图片分享论坛
• 封闭式黑客论坛
• 非法雇佣服务
• 存在潜在恶意主体的合法平台,如Tor、Telegram等
为了在暗网上保持匿名,大多数暗网黑客使用Tor浏览器或代理服务器。一种名为“代理链”(Proxychain)的工具可用于链接代理服务器(通常3~5台服务器)。这种情况下,攻击包会通过多台代理服务器。存在竞争关系的国家会选择使用代理服务器,因此,一国无法与另一国共享安全信息(例如代理日志),这样,就更难判断谁是黑客了。
2022年,Upstream的AutoThreat®研究人员发现,与2021年相比,针对OEM厂商和供应商的深网/暗网相关信息增加了35%。Upstream的研究表明,2022年网络论坛上与汽车相关的讨论出现大幅增长,大多与针对现代汽车和软件组件的攻击相关。此外,Upstream发现了专门攻击汽车行业和出行生态系统的新威胁主体。
这些活动不仅影响汽车利益相关者,还可能影响保险公司。车主篡改车辆时,可能会上报看似合法的虚假信息。极端情况下,威胁主体对车辆授权数据进行逆向工程,获取OEM厂商或保险公司的服务器访问权限。
深网/暗网上的最热话题:
为了省钱或主张维修权,经常会出现成千上万与自动编程车辆相关的问题和兜售信息。此外,刷ECU教程、指南、软件和调校文件演示也唾手可得。
2022年6月,Upstream的AutoThreat® PRO团队发现,在一个热门深网汽车论坛上,有人兜售适用于各OEM厂商的破解版诊断软件的远程安装说明。
在深网/暗网中发现了许多汽车相关威胁方面的讨论,包括:
- 与信息娱乐系统入侵、控制器局域网(CAN)总线逆向工程、芯片调校和软件攻击或非法升级相关的说明和指南
- 出售或公开数据泄露事件中被盗的OEM相关信息和凭证
- 讨论和销售车辆盗窃或改装工具,包括钥匙信号采集器、遥控钥匙编程器、GPS干扰器、雷达探测器等
- 与汽车共享或拼车账号相关的攻击或欺诈
- 出售或公开数据泄露事件中被盗的OEM相关信息和凭证
- 销售假驾照或汽车保险
2022年1月,某勒索软件Telegram频道公布了一家主流汽车OEM供应商被泄露的数据,包括机密的客户协议。
2022年3月,一个专注于Linux漏洞利用工具的Telegram频道发布了漏洞利用细节,或会影响数家OEM厂商。
许多安全研究人员会将自己的研究成果和新发现发布在开源代码库和GitHub等用于软件开发的互联网托管服务平台上。研究通常包括用于控制车辆的工具包和漏洞利用工具。
安全研究人员通常是白帽人员,经常在公开的开源平台上发布自己的知识。具有恶意的威胁主体可能会滥用他们分享的知识。
2022年5月,NCC集团的一名安全研究员发现了一起针对美国电动汽车OEM的攻击,攻击者利用OEM无钥匙进入系统使用的BLE协议中的漏洞进行中继攻击。
2022年6月,上海某集团软件与系统安全团队的安全研究人员在GitHub上发布了一个应用程序。该程序利用了一家美国电动汽车OEM厂商的车型及其手机钥匙中发现的几个安全缺陷。此外,利用BLE协议,该程序还能实现近距离中间人攻击,使攻击者轻松控制车辆,在一分钟内完全解锁、启动或盗窃车辆。
深网上最受欢迎的一项欺诈服务是里程数修改,正式名称为“里程表欺诈”,即断开、重置或修改车辆的里程表,改变显示数字。
据美国国家公路交通安全管理局(NHTSA)估计,在每年售出的车辆中,超过45万辆车的里程数被动了手脚,给美国购车者造成10多亿美元的损失。
2022年3月,在英国深网汽车论坛上,一位用户应另一位成员的请求,发布了一份文件,其中包含与某德国OEM车型相关的里程表篡改方法的详细信息。经销商级别的诊断工具可以合法在线购买,欺诈业务经营者可以使用这些工具通过OBD端口获得车辆ECU的完全访问权限。
2022年6月,一欺诈业务经营者在某深网汽车论坛上出售远程诊断软件安装包,包括模块和关键编程功能。非法访问诊断软件违反了OEM条款和条件,导致收入损失,泄露了实际使用数据。
3. 黑帽黑客
黑帽黑客指恶意破坏网络安全的黑客。许多黑帽黑客在不同的深网/暗网论坛和市场上活动。汽车黑帽黑客从事各种活动,有些专注于短距离黑客攻击,主要针对远程无钥匙进入系统,目的是窃取车辆;还有些则专注于远距离黑客攻击,主要是利用漏洞。
黑帽黑客在深网/暗网论坛上发布的远距离漏洞攻击包会被其他威胁主体利用,控制车辆系统或使系统崩溃,从而导致包括安全在内的重大风险。
2022年8月,黑帽黑客在某网络犯罪论坛上发布了一个Linux漏洞攻击工具,影响多家OEM厂商。攻击者利用该漏洞可以发起拒绝服务攻击,导致受影响车辆相撞。此外,利用该漏洞,还能对受影响车辆远程运行命令。
4. 汽车发烧友
“汽车发烧友”指对汽车及其工作原理和操作方式具有极大热情的人。许多汽车发烧友活跃在深网上的各个汽车论坛上,提供建议、提问、讨论车辆中发现的问题和漏洞,甚至分享汽车文件或非官方软件更新链接。
汽车发烧友在论坛上发布的信息可能存在风险,原因有两个。首先,恶意威胁主体通常是这些论坛的成员,会立即利用论坛中讨论的漏洞或问题。其次,发布的文件和链接不可信,可能包含恶意软件、间谍软件和勒索软件,或会导致无法保修。
2022年6月,在某汽车发烧友深网汽车论坛上出现了一德国OEM车型的非官方固件更新供用户下载。有些帖子说,音响系统能够被越狱,接受默认OEM配置之外的未经授权和验证的文件。
勒索软件攻击者越来越多地将目标对准汽车供应商
针对汽车零部件供应商甚至电动汽车充电设施的勒索软件攻击正在上升,引起了恶意主体的注意。供应链上的任一环节被攻击都可能导致OEM厂商被入侵。
OEM供应商具有高度的专业性,更换成本非常高,要更换他们并非易事。供应链环节的任何破坏都可能对OEM汽车生产产生负面影响。
为了勒索钱财,攻击者通常会在暗网上维护一个“泄密网站”,在那里发布窃取的数据和组织的敏感信息,并发布有关受害者的帖子。2022年,勒索软件攻击和泄密网站时常成为头条新闻。特别突出的事件包括:
2022年2月和3月,两家日本OEM附属供应商分别遭遇网络攻击,其中一次攻击最终导致OEM生产陷入停顿。2022年2月下旬,一家日本塑料零件和电子元件供应商感染了病毒,在其服务器上发现了勒索信息。此后,日本OEM决定于3月1日暂停日本14家工厂的28条生产线的运营,24小时后恢复生产。
大约一周后,另一家附属供应商也遭到网络攻击,影响了其在德国的运营。声称对此次攻击负责的勒索软件组织在一个泄密网站上发布了攻击细节和窃取的数据集样本。该勒索软件组织还威胁要在暗网上发布这些数据。根据泄密网站提供的信息,该组织拥有价值1.4兆字节的数据,包括157,000多份采购订单、电子邮件和草图。
2022年6月,一家日本汽车供应商的美国子公司遭到勒索软件攻击,被迫关闭用于控制生产的计算机设施,采用人工方式进行生产、装运。
2022年8月,黑客组织对一家一级跨国供应商进行了勒索软件网络攻击,威胁公布该公司的数据,除非收到赎金。同年11月,因该公司拒绝支付赎金,该组织在暗网泄密网站上标价5000万美元出售所有信息。
2022年10月,一个勒索软件组织攻击了在英国拥有200多家经销商的大型汽车经销集团,窃取了该公司5%的数据。攻击者还索要了破纪录的5300万英镑赎金,遭到该公司拒绝。
2022年8月,一台美国OEM拖拉机被黑,为“维修权”运动火上浇油,同时也凸显了“维修权”可能带来的安全影响。在DefCon安全会议上,一位名为Sick Codes的黑客介绍了一种新越狱方法,提供对拖拉机计算机的无限制Root访问权限,可以完全控制拖拉机,使用触摸屏随意更改任何内容。
寻求免费“破解”版本软件的汽车发烧友转向了深网/暗网这个充满危险的庞大而不受控制的生态系统。
从看似安全的网站或论坛下载了需要的软件,车主可能认为自己挖到了宝,还可能以为省了钱和时间,因为不用使用制造商提供的昂贵维修服务。然而,安装来自未知来源的恶意软件,会无意中引入恶意软件、间谍软件和勒索软件。使用未授权软件或入侵汽车以便自己进行维修还可能使保修失效。
利益相关者面临的挑战是,在传统的IT威胁情报产品中缺乏网联车辆的专业知识。
针对深网/暗网中的威胁主体,要先发制人,需要定期监测和缓解这些风险。在这一过程中,产品情报和汽车专业知识至关重要。
利益相关者必须监控互联网的这些领域,避免出现严重的安全漏洞。要有效保护网络安全,关键是要了解组织及其产品何时以及在什么背景下被提及,无论是在公网还是暗网。UNECE WP.29 R155法规和ISO/SAE 21434标准都要求收集网络威胁情报和监控漏洞。考虑这些要求时,不能忽略深网/暗网。
通过持续监控深网/暗网,组织可以提高检测能力,在发现漏洞或安全事件后,迅速进行缓解,再行公开。
他们还可以采取预防措施,例如为软件打补丁或更改相关配置。组织应想方设法,最大限度地减少犯罪分子复制和出售已泄露数据的机会窗口,早早向合作伙伴、员工、关键高管和客户发出预警,警惕潜在的利用可能。
但是,传统的IT威胁情报产品中缺乏网联车辆的专业知识,这为OEM厂商、一、二级供应商等出行利益相关者出了难题。
Upstream的AutoThreat® PRO专为出行生态系统构建,覆盖整个供应链,可以克服这些问题。该解决方案收集、分析和传播汽车和智能出行生态系统特有的网络威胁情报,针对各汽车细分市场量身定制,包括OEM厂商、一、二级供应商、网联车辆服务提供商、保险公司等。
通过威胁情报工作,Upstream积极监控深网/暗网,在公众知晓之前就能捕捉到新兴的汽车相关网络趋势和威胁主体。这样,Upstream就能及时发现新漏洞、漏洞利用工具和欺诈操作,防止它们在深网/暗网中广泛传播。
有了正确的网络威胁情报,汽车生态系统利益相关者可以主动实施必要的网络安全措施,防范网络事件。
根据美国政府官员的说法,网络犯罪分子因这次行动而失去了主要的收入来源。然而,安全专业人士表示,此次打击对黑客来说只是暂时的挫折,因为他们会找到其他市场转售窃取的数据。此次行动也向其他暗网市场发出了警告,随着世界各地纷纷打击网络犯罪,它们可能会成为下一个打击目标。
raidforums.com网站上的域名查封通知
免责声明
文章信息
发布日期:2023年1月
原文链接:https://info.upstream.auto/hubfs/Security_Report/Security_Report_2023/Upstream_2023_Global_Automotive_Cybersecurity_Report.pdf?utm_term=Download&utm_campaign=Upstream-GACR-2023&_hsmi=239515156&_hsenc=p2ANqtz–EICSYSkjzVB5wpOrPjxozr97S24x07UpdTY9_R77IiKoIAiOMsv486L82bGlMd3rYX6tdjcrLDc0r1TVsBkX0I3NyUg&utm_content=%5BDrip%5D_2023_Report-Email%231&utm_source=email