随着新的安全漏洞被发现在汽车电子、谁负责保护我的车吗?ISO / SAE 21434可能的答案。
在COVID-19时期,聚集几个朋友围成一个圈,玩“烫手山芋”可能听起来像一个梦。汽车制造商和汽车电子产品供应链,处理网络安全烫手山芋并不是一场噩梦但肯定不是一个有趣的游戏。公司如大众、菲亚特、福特有很多专业知识在管理一个复杂的供应链和售后支持。大部分车主都曾有过的经历告知他们的车需要维修特别会议。在大多数情况下,罪魁祸首是安全。不久前,我不得不更新(免费)屋顶照明在我一岁大的车,因为在某些湿度条件已经确定了火灾隐患。在车库里,一些软件也提供新功能更新,我被告知。当然,没有人提到任何关于bug修复。成熟的回忆很少,但仍比行业希望更频繁。
随着高级驾驶员辅助系统(ADAS)和连接自动车辆(骑士),复杂的电子参与——并且越来越负责——更关键的驱动函数和私人信息管理。你可能听说过这已经从我:无安全保障。也有隐私。与安全问题,主要是由于人为错误,安全问题往往源自滥用和误用的硬件和软件组件。安全研究人员和黑客的最有创意的人。后果之一是,经常发现新的漏洞,提高供应链管理的挑战和售后支持一个全新的水平。在供应链负责保持汽车保护?
原始设备制造商(oem)有两个主要的方向,解决网络安全烫手山芋的挑战。首先是将硬件和软件开发尽可能多的房子。第二个是分发网络安全活动在整个供应链使用严格的和标准的方法。ISO / SAE 21434“公路车辆——网络安全工程”标准可以派上用场。
网络安全生命周期。来源:现代汽车集团
据说是分化和半导体电子产品成为关键使80%的汽车创新oem厂商有足够的原因,除了网络安全,采取内部路径。特斯拉已经显著投资在软件开发中。真正的声明,“人真的想软件应该让自己的硬件,“2019年,Elon Musk自己提出了特斯拉的第一个全我驱动芯片开发的房子。
在DVCon欧洲2020年,马蒂亚斯·特劳布,E / E-Architecture和平台在大众汽车集团,其中包括奥迪,座位,斯柯达,和许多其他品牌,一个非常有趣的主题。汽车结构不灵活。数以千万计的电子控制单元(ecu)函数主要是独立。每个ECU都有自己的软件堆栈,使供应商运行在数百人。2020年1月,大众集团建立了一个独立的组织将雇用5000名软件工程师在今年年底。采取内部路径简化供应链,但没有一个组织可以自己做任何事情。
ISO / SAE 21434允许分享的痛苦整个供应链新发现的漏洞。标准涵盖了汽车电子产品的整个生命周期,包括操作和维护阶段,识别连续网络安全活动。监测新发现的漏洞、威胁,并提出了缓解是第一步。当一个项目或组件收集相关的信息(正在开发或已经在路上),这被认为是一个网络安全事件。评估过程是需要确定事件的临界。该漏洞可能不得不进行分析,找出其根源,并妥善管理。例如,在某些情况下,附加险可以被认为是可接受的,而别人的补救措施可能会实现。任何更新或改变管理在硬件或软件根据标准的要求。当在操作和维护阶段,网络安全事件可以上升到事件的水平。标准草案包括报告称“组织可以定义调用事件反应的标准。“有需求致力于这种特殊场景。
OEM不会所有的专业知识、工具和平台,实现这些需求。幸运的是,ISO / SAE 21434认为网络安全活动可能是分布在整个供应链。客户和供应商必须有正式的协议,明确责任,如何决策,和信息共享。客户还必须评估供应商的能力来实现兼容标准过程在开发过程中,至关重要的是,支持开发后的活动,比如评估新发现的漏洞的临界。值得注意的是,可以为OEM供应商Tier1 Tier2供应商和客户。
避免事件总是更可取的(而且更便宜)。ISO / SAE 21434有很多要求和建议形成过程和创造一种组织文化,整合网络安全从概念阶段。虽然硬件安全仍处于初级阶段,电子设计自动化(EDA)行业已经提供了大量相关的解决方案。正式的方法和硬件模型检查支持的弱点和漏洞的检测在pre-silicon开发阶段的半导体ip和SoC (SoC)设备。
然而,安全是军备竞赛。不可能降低到零。集成电路(ic)和半导体ip供应商必须分析有效新发现的漏洞。他们需要保持和增强硬件开发环境post-silicon分析。这是至关重要的,以确定一个安全问题的根源,找出补救行动。OneSpin具有独特的设计分析技术,可以针对特定设计功能。它也可以被用来执行一个严格的,详尽的“假设”分析开发和充分验证硬件和软件处理。
我邀请你去看一看的信任和安全术语表,下载白皮书信任半导体ip和ICs的保证和安全验证,加入LinkedIn组ISO / SAE 21434汽车网络安全。当然,不要错过下一个6分钟的安全博客!
|
|
|
|
|
|
|
|
留下一个回复