在上一篇關于UN R155和ISO/SAE 21434的博文中，我說明了汽車業及汽車行業供應商如何被賦予了為每輛車配備網絡安全性的責任。汽車網絡安全是一項重大的挑戰，UN R155和ISO/SAE 21434等新規已經生效，從2024年款起，所有車輛都將強制執行。我們來深入探討一些汽車廠商及其供應商現在和將來面臨的問題。

規模驚人

ISO/SAE 21434要求汽車廠商提供清晰、可理解且有辯護依據的理由，并有證據和文件支持，以證明某物項或組件在應用時有足夠的網絡安全性。為實現這一目標，汽車廠商必須確定網絡安全與各物項或組件的相關性；對于相關的物項或組件，汽車廠商可以進行分析和風險評估 (TARA)。評估后，他們可以得出一套網絡安全目標和要求，實現可驗證的安全水平。

由于每輛車都有數百個可能帶來網絡安全問題的組件，再加上最后期限緊迫，這一流程不僅對汽車廠商構成了嚴峻的挑戰，對其供應商也是如此。現代汽車越來越依賴無線通訊來與周圍環境交互并利用基于云的服務。這種連接在汽車內部得以延續，因此車內幾乎每個電子組件都可能成為黑客的潛在目標。

2021年9月，恩智浦宣布符合ISO/SAE 21434汽車網絡安全新標準，剛剛通過了第一次年度重新審計。了解此舉的重要意義，點擊這里>>

安全設計和遺留組件

理想情況下，這一挑戰應在設計的最初階段解決?！鞍踩O計”也逐漸成為許多汽車供應商的標準做法。然而，當今許多汽車系統 (ECU) 的半導體和軟件組件在標準獲得批準甚至制定之前就已經完成設計。這并不意味著它們不安全，而是需要對這些系統進行威脅分析和風險評估 (TARA)；根據評估得出最新的安全要求；收集和分析現有文檔以確定是否能夠滿足這些安全要求。如果現有文檔已經足夠，則必須執行其他安全活動，如回顧性設計審核或滲透測試，以彌合差距。這樣做可能代價高昂，因此必須仔細確定是否應該進行評估，尤其是對于可能即將報廢的“遺留”組件。在某些情況下，升級到較新的組件可能是更經濟高效的方法

模糊性

汽車廠商和供應商的密切合作和共識至關重要。幸運的是，ISO/SAE 21434通過詞匯表及其定義的安全工程框架提供了基礎。不過，“產品是否合規？”這個簡單的問題很難回答。很難回答是因為該標準留有充分的解釋空間。例如，流程步驟只是廣義的定義，而要求是相當通用的。因此，“合規性問題”是由客戶 (汽車廠商和Tier 1供應商) 根據他們對標準的解釋來判斷的。因此，問題在于產品以及在開發和后續生命周期階段應用的流程是否符合其解釋。如果該標準的第二版能減少模糊性，將會很有幫助。

組件“脫離使用場景”

我們還觀察到，汽車廠商和Tier 1供應商的采購程序通常采用“使用場景”組件，使用場景組件是為滿足特定使用情形 (即使用場景) 的特定要求而開發的。然而，大多數半導體被設計成通用的“脫離使用場景”的組件，因為它們可用于各種用例。組件的使用場景通常不明確，僅僅基于假定用途，以及與客戶的接觸或與客戶簽訂的協議。使用場景的不匹配會導致效率低下，帶來各種挑戰。

《網絡安全/開發接口協議》(CIA/DIA協議) 適用于供應商與客戶合作，在已知使用場景的情況下進行共同開發，如果沒有合作開發，客戶仍堅持必須符合CIA/DIA協議，則可能會造成效率低下。然而，這類協議并沒有為脫離應用背景的開發增添多少價值。此外，客戶通常擁有獨立的CIA/DIA協議模板，這會進一步增加工作量，因為創建每個組件時需為每個客戶創建單獨卻內容相同的文檔。能精簡這種冗余問題的流程將提高這一方法的效率。

了解恩智浦如何幫助加速向安全設計轉變，點擊下載白皮書>>

對半導體和軟件的要求

當客戶根據其對標準的理解向采購流程添加新的具體要求時可能會帶來挑戰。安全編碼規則就是個很好的例子。該標準有一項一般性要求，即編程語言未涉及的網絡安全標準應包含在編碼指南或開發環境中。該標準提供了一些提示，但沒有提供編碼指南。因此，客戶會定義自己的編碼規則并通常要求嚴格遵守。有些甚至指定了必須用來檢查合規性的具體工具版本。

這帶來了一些挑戰，特別是對半導體和通用軟件而言。首先，不同的客戶可能有不同的要求，這與開發通用組件以服務于多個客戶和用例 (以實現規模經濟) 的目標相悖。其次，脫離背景組件的采購流程通常在其開發項目結束后進行，并且考慮自定義要求，流程的后期可能不可行或成本過高。

因此，非常需要一套明確的半導體和軟件編碼指南和其他通用要求；理想情況下，指南應盡可能地重復使用。MISRA C是個很好的起點，已使用多年，是用C語言開發汽車軟件的實際標準，其中功能安全和網絡安全至關重要。

常見威脅情景、攻擊可能性評級和保障級別

另一個挑戰是缺乏衡量威脅情景和攻擊可能性評級的通用基準。盡管R155提供了車規級的一般威脅列表，但并未針對半導體做出規定。因此，很難與客戶就特定產品的攻擊類型達成一致。

要就風險評級和更具體的攻擊可能性達成一致也很困難。ISO/SAE 21434附件G為基于攻擊可能性、基于CVSS和基于攻擊向量這三種不同的評級方法提供了指南。雖然這些指南非常有用，但是并不十分一致——采用不同的方法可能會導致對同一攻擊的評級完全不同。業界如果就半導體和軟件選擇哪種方法達成共識將有所幫助?；蛟S更重要的是，利益相關方明白，盡管這些評級有助于確定問題的優先級，但肯定不是完美的，因為總有“誤差幅度”。因此，這種評級不應作為業務流程或法律協議中的硬指標而忽視了專家判斷的必要性。

同樣，業界在保障水平方面尚未達成共識。該標準的附件E介紹了網絡安全保障等級(CAL)，可用于具體說明并傳達一套嚴格的保障要求，確保組件保護得到充分發展和驗證。這些指南也并不是很具體，因此，如今很少有機構提及這些指南也就不足為奇了。但是，定義明確的保障級別將提供有用的指標，使客戶能夠確信產品滿足其安全要求，其安全能力值得信任。

業界已經采取了一些舉措來彌合這些差距。例如，ISO/SAE PWI 8475正在解決目標攻擊可能性 (TAF) 和網絡安全保障級別 (CAL) 問題。此外，在MITER ATT&CK的啟發下，汽車信息共享與分析中心 (Auto-ISAC) 正在研究汽車威脅矩陣，有望作為通用汽車威脅模型的基礎用于汽車及其組件。最后，在涉及經濟高效的方法時，有幾項舉措可以保證產品符合其安全目標。其中一項是SESIP，這是一個新的認證方案，旨在滿足對通用、優化方法的需求，以便評估不斷發展的物聯網生態合作體系中連接設備的安全性。

知識共享讓知識翻倍

這不僅關乎要求和指標。如今，許多公司都有核心能力團隊，他們對UN R155和ISO/SAE 21434有著廣泛的了解。然而，這些專業知識也必須轉移到其他團隊，從設計和開發到產品管理、客戶經理、現場支持工程師、質量保障、采購等。安全是一項團隊運動，所有相關人員都必須至少具備基本的安全知識才能在職責范圍內做正確的事情。沒有基本的安全知識，就可能出現明確而現實的危險，即最終在合規方面采取“復選框”的做法。眾所周知，這種方式不能帶來有效的安全性和抗風險能力。

長期安全支持

UN R155要求在整個產品生命周期中對安全性進行管理。一般而言，這意味著必須監控威脅狀況以發現新的威脅，并在出現漏洞和事件時對其進行管理。最大的挑戰在于車輛及其組件的壽命很容易達到20年以上。ISO/SAE 21434更寬容一些，允許產品在生命周期結束前終止網絡安全支持。爭取網絡安全長期支持是必要的一步。然而，這種支持不是免費的；由于需要經常性投資，付費服務模式可能不可避免。例如，保留知識、工具、IT設備和實驗室環境所需的經常性投資。

協作是關鍵所在

到那時，我希望大家已經清楚地認識到：合作是汽車業及其供應商在有限時間內滿足UN R155和ISO/SAE 21434廣泛要求的唯一途徑。這意味著，在實踐中，客戶與供應商的直接接觸至關重要。

正如我之前在博客中所述，Auto-ISAC (汽車信息共享和分析中心) 是連接汽車業網絡安全專家的關鍵平臺。這提供了一個極好的機會，專家可以通過交流經驗和最佳做法來應對一些共同挑戰。在整個行業開展公開對話可以大大減少提供安全解決方案所需的時間。時不我待。

本文作者

Timo van Roermund領導恩智浦汽車安全團隊。他在嵌入式設備的應用安全方面擁有深厚的專業知識，如車聯萬物（Vehicle-to-X）通信系統、車載網絡、架構和系統、物聯網設備、移動電話和可穿戴設備等。他是國際會議的?？?。他為行業聯盟（汽車ISAC、C2C-CC）和汽車安全標準的制定做出了各種貢獻。Timo在埃因霍溫理工大學獲得計算機科學與工程碩士學位。