Khorina · 7月1日

汽车网络安全 -- 漏洞该如何管理

目录

1.漏洞获取途径汇总

2.CAVD的漏洞管理规则简析

2.1 通用术语简介

2.2 漏洞评分指标

2.3.1 场景参数

2.3.2 威胁参数 

2.3.3 影响参数

2.3 漏洞等级判定

3.小结

在汽车网络安全的时代背景下,作为一直从事车控类ECU基础软件开发的软件dog,一直在找切入点去了解车联网产品的各种网络安全知识。

特别是历史上各种汽车网络安全事件、攻破整车纵深防御架构的技术手段、一台汽车有哪些接口可以作为攻击向量等等,非常让人好奇。

最近在思考安全启动相关业务时,才发现对漏洞管理简直一窍不通,例如如何对漏洞进行评级、如何对漏洞相关事件进行响应。在没有思考清楚这些问题前,贸然开启相关业务,心里始终没有底。为此,各方咨询并且阅读相关报告,把思考过程记录下来,不一定准确。

1.漏洞获取途径汇总

俗话说站在巨人的肩膀上可以看得更远,在谈漏洞管理之前,了解历史上有哪些汽车网安事件,汽车威胁在哪里可以获取,对我们开展业务是非常有帮助的。

这里列举几个分享这些情报的平台:

  • AUTO-ISAC:成立于2015年,是国外OEM共同维护的一个汽车网络安全全球信息共享pingtai 。国内对应的就是C-AUTO-ISAC,旨在团结整车企业、零部件企业和安全公司等行业力量,推进汽车行业信息安全能力建设,促进汽车行业安全舆情共享,建立汽车信息安全研究生态体系。它运营的汽车行业专用漏洞数据库(CAVD),漏洞数量达2000以上,网址如下:车联网产品安全漏洞专业库

image.png

  • I Am The Cavalry:致力于提高汽车和医疗设备等物联网设备安全性的非营利组织,提供关于汽车网络安全的威胁情报和建议,下图为国际OEM\Tier 1的PRIST链接:

image.png

  • IACR(International Association for Cryptologic Research):属于自己没事翻翻的网站,可以看到很多以前的漏洞报告、论文等,比如著名的Model X :My other car is your car
  • CVE(Common Vulnerabilities and Exposures):公开的漏洞和安全问题数据库,其中包含了许多与汽车网络安全相关的漏洞信息。

image.png

漏洞是客观存在的,但是是否是符合核心价值观的漏洞,我们还得看看国家是怎么定义漏洞的。

2.CAVD的漏洞管理规则简析

2.1 通用术语简介

在CAVD漏洞报送页面,我们可以看到报送漏洞的危害等级、漏洞类型、详情、影响产品。

image.png

如何对其进行填写,我们就得首先了解CAVD漏洞分类分级管理规则。

首先,明确汽车漏洞的定义:

汽车漏洞(Vehicle vulnerability):是在智能网联汽车相关的硬件、软件、协议的具体实现或系统安全策略上存在的缺陷, 可使攻击者能够在未授权的情况下以远程、短距离或接触的方式进行访问或破坏系统,造成人身、 财产的危害或有价值信息的泄漏等危害。

其次,针对漏洞类型,又分为汽车通用型漏洞和事件型漏洞,其中,通用性漏洞指影响不同车型的汽车漏洞、事件型指影响单一车型的汽车漏洞。

最后,针对漏洞分类,主要依靠受影响组件和漏洞成因两个方面来进行划分:

受影响组件包括云平台、APP、T-box、IVI、车载网络、无线电、ECU;

漏洞成因主要就是一个手段方案,如图所示:

image.png

对于漏洞的等级根据对汽车潜在危害程度分为了超危、高危、中危、低危四个等级,这四个等级依据评分进行定义,因此我们就来了解影响漏洞评分的因素。

2.2 漏洞评分指标

在CAVD关于漏洞评分指标中提出了3大类(场景、威胁、影响),共计13小类指标,如下图:

image.png

image.png
image.png
image.png

2.3 漏洞等级判定

在CAVD中,漏洞等级判断是要依据汽车漏洞攻击等级和影响等级,综合判定,其中攻击等级计算是有场景参数SP+威胁参数TP组成,影响等级由影响参数IP组成,具体如下:

image.png

然后依据攻击等级评分和影响等级评分为矩阵,最终得出汽车漏洞等级评定:

image.png

3.小结

针对识别出来的漏洞,那当然是必须修复的,而漏洞的响应和修复周期则与公司的响应团队息息相关,这里面包好了响应周期、问题定位和修复周期以及OTA召回周期,这方面的内容还需要继续收集信息,就酱!

作者:快乐的肌肉
文章来源:汽车MCU软件设计

推荐阅读

更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。
推荐阅读
关注数
4570
内容数
191
Arm发布的PSA旨在为物联网安全提供一套全面的安全指导方针,使从芯片制造商到设备开发商等价值链中的每位成员都能成功实现安全运行。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息