Security is a process,not a product(安全不在于單一的產(chǎn)品����,而是更多體現(xiàn)于流程)——Bruce Schneier�。
新思科技中國區(qū)資深咨詢服務(wù)專家俞之浩提出�����,在軟件產(chǎn)品的全生命周期中����,需要不斷對風(fēng)險進行梳理、評估���、分析���,導(dǎo)出相關(guān)的安全目標(biāo)與需求�����,最終在研發(fā)階段得到實現(xiàn)��,并對產(chǎn)品進行驗證��、測試��、后期運營維護���。當(dāng)新的產(chǎn)品形態(tài)出現(xiàn),前述所有流程需要再度經(jīng)歷循環(huán)迭代�����,以保證軟件全生命周期的安全性�����。
新思科技中國區(qū)資深咨詢服務(wù)專家俞之浩
ISO/SAE 21434基于汽車軟件開發(fā)全鏈條的網(wǎng)絡(luò)安全管理標(biāo)準
隨軟件定義汽車時代的到來�,一方面,車內(nèi)軟件代碼急劇增加���,系統(tǒng)復(fù)雜度提升的同時�����,漏洞出現(xiàn)的頻率也直線上升�����,卡耐基梅隆大學(xué)軟件工程學(xué)院研究數(shù)據(jù)表明:常規(guī)水平下���,每百萬行代碼大約有6000個缺陷或漏洞�����;在優(yōu)異水平下,每百萬行代碼也會有600個以內(nèi)的漏洞�。另一方面,網(wǎng)聯(lián)化使得汽車同外界互聯(lián)的端口增多�,云端、手機端��、無線通訊接口�、車載網(wǎng)絡(luò)、外接設(shè)備都可能成為汽車的被攻擊面�����。
因此,行業(yè)內(nèi)對于汽車軟件安全開發(fā)與維護的重視度也在不斷提升�。2021年8月,汽車信息安全領(lǐng)域首個國際標(biāo)準ISO/SAE 21434正式發(fā)布��,該文件定義了汽車電子電氣系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險管理要求���,覆蓋概念�����、開發(fā)��、生產(chǎn)��、運維���、報廢等全生命周期的各個階段,針對安全編碼規(guī)范����、安全功能相關(guān)測試、風(fēng)險相關(guān)測試等部分闡明標(biāo)準與提供指導(dǎo)���。涉及“如何在傳統(tǒng)車輛開發(fā)模型中嵌入安全相關(guān)的具體控制節(jié)點”;“如何將安全開發(fā)生命周期的流程嵌入現(xiàn)有的產(chǎn)品開發(fā)生命周期中”等行業(yè)難點�。
圖片來源:新思科技
俞之浩特別提到,除了開發(fā)生命周期管理以外�,ISO/SAE 21434也強調(diào)車輛運行周期中的安全管理,提出建立覆蓋汽車全生命周期的常態(tài)化�����、長效安全的管理模式�����。
ISO/SAE 21434總共被劃分為15個章節(jié)���,前5-7章從宏觀上闡述了車輛網(wǎng)絡(luò)安全的總體要求:包含整體網(wǎng)絡(luò)安全管理��、基于項目的網(wǎng)絡(luò)安全管理�、持續(xù)網(wǎng)絡(luò)安全活動�。后續(xù)7章依據(jù)汽車全生命周期���,定義了威脅分析與風(fēng)險評估��、概念開發(fā)���、驗證�����、生產(chǎn)�、運維等各環(huán)節(jié)的汽車網(wǎng)絡(luò)安全要求���。
TARA�、CAL�����、基于風(fēng)險的相關(guān)測試
俞之浩著重對其中的兩個關(guān)鍵部分進行了介紹:首先是概念開發(fā)階段的威脅分析與風(fēng)險評估(Threat Analysis and Risk Assessment���,以下簡稱TARA)��,以及TARA相關(guān)的網(wǎng)絡(luò)安全保障等級(CAL)���。二是產(chǎn)品開發(fā)階段中基于風(fēng)險的模糊測試與滲透測試。
具體而言�,TARA的目的是在車輛產(chǎn)品開發(fā)早期識別潛在威脅和安全漏洞,綜合考慮攻擊性大小�、影響范圍等因素���,確定系統(tǒng)可能存在的風(fēng)險以及風(fēng)險等級,從而得出相應(yīng)的網(wǎng)絡(luò)安全目標(biāo)���。TARA需要進行七個步驟:資產(chǎn)定義�����、威脅場景分析�����、影響等級���、攻擊路徑分析、攻擊可行性等級���、風(fēng)險確定�、風(fēng)險處置決策�。
ISO/SAE 21434為每項資產(chǎn)(Asset)指定了一個網(wǎng)絡(luò)安全保障等級(CAL)。雖然車機搭載芯片的算力迭代速度極快����,但隨著智能電動化的發(fā)展,每輛車上的算力資源需要用于車控�、網(wǎng)關(guān)、智駕�、智能座艙、網(wǎng)絡(luò)安全等多個領(lǐng)域����。因此需要合理統(tǒng)籌,將“好鋼用在刀刃上”�����。俞之浩表示�����,CAL意在對資產(chǎn)的不同安全等級進行劃分和定義�,結(jié)合TARA導(dǎo)出的安全目標(biāo),CAL等級就可以被集成至網(wǎng)絡(luò)安全需求中�,為開發(fā)團隊提供資源分配上的決策依據(jù)。
圖片來源:新思科技
開發(fā)階段的測試又可以被分成兩種不同類型:一種是安全功能性測試��;另一種測試則基于風(fēng)險進行���,包含模糊測試����、滲透測試等方式。其中模糊測試主要是向系統(tǒng)注入非法��、畸形或非預(yù)期的輸入��,以揭示軟件缺陷和漏洞��,這種安全漏洞“掃雷”的方式通常依賴自動化軟件工具達成目的�����。
滲透測試則需要測試人員從系統(tǒng)攻擊者的角度思考�����,屬于在計算機系統(tǒng)上進行的授權(quán)模擬攻擊��,旨在對系統(tǒng)安全性進行評估�。滲透測試人員使用與攻擊者相同的工具、技術(shù)和流程�,來查找和展示系統(tǒng)弱點可能帶來的影響。
俞之浩表示���,網(wǎng)絡(luò)安全團隊可以將以上幾項環(huán)節(jié)有機結(jié)合�����,基于流程地去達成安全管理目標(biāo)���。比如,首先進行靜態(tài)安全代碼掃描與模糊測試���,發(fā)現(xiàn)代碼中的潛在漏洞��,再將報告結(jié)果披露給滲透測試方�����,從而使其能夠更有針對性地進行模擬攻擊���。
圖片來源:新思科技
俞之浩表示,只有完成各個環(huán)節(jié)的安全要求���,才能形成組織化的安全能力���,進而在概念開發(fā)、驗證、生產(chǎn)�����、運維等全流程鏈條的網(wǎng)絡(luò)安全管理上實現(xiàn)協(xié)同效應(yīng)���。
TARA���、靜態(tài)代碼分析、漏洞掃描��、模糊測試��、滲透測試等具體安全活動的實操要點
ISO/SAE 21434標(biāo)準中涉及了六項具體安全活動:TARA���、靜態(tài)代碼分析���、漏洞掃描、模糊測試��、滲透測試以及網(wǎng)絡(luò)安全的監(jiān)控��。俞之浩針對每一項活動展開闡述��,結(jié)合新思科技的行業(yè)經(jīng)驗,著重介紹了這六項具體安全活動在實操中的注意點�����。俞之浩看來����,自動化軟件的運用����、基于流程的思維方式、策略性地統(tǒng)籌規(guī)劃����、常態(tài)化地安全監(jiān)控是網(wǎng)絡(luò)安全管理的四大關(guān)鍵點。
俞之浩表示���,TARA非常依賴分析師的經(jīng)驗與企業(yè)的自身積累�����。除此以外�,網(wǎng)絡(luò)安全團隊也可以利用自動化工具驅(qū)動�,完成TARA實施中涉及計算的相關(guān)步驟����,減少人為的誤差和不確定性�,保證不同的分析人員能夠推導(dǎo)出一致性的結(jié)果。此外�����,如果需要實施TARA��,企業(yè)需要整合并維護模板��、漏洞等數(shù)據(jù)庫����。
值得注意的是,TARA的實施必須基于產(chǎn)品的全開發(fā)流程���。從循環(huán)狀流程圖可以看出���,TARA會滲透在網(wǎng)絡(luò)安全管理的全生命周期中,需要隨時反映軟件的所有變化��,以及這些變化對產(chǎn)品安全所造成的未知影響��。
圖片來源:新思科技
靜態(tài)代碼掃描尤其依賴自動化工具,值得慶幸的是��,業(yè)內(nèi)已經(jīng)有許多自動化工具可以幫助制造商應(yīng)對這些挑戰(zhàn)����,例如,新思科技所提供的Coverity?靜態(tài)應(yīng)用安全測試工具就可以在不運行軟件的情況下分析源代碼�����,可以幫助發(fā)現(xiàn)緩沖區(qū)溢出���、信息泄漏、內(nèi)存損壞和代碼中的其它缺陷�。類似于靜態(tài)代碼掃描,漏洞掃描同樣依賴自動化軟件工具���,比如Black Duck?軟件組成分析工具就可以檢測目標(biāo)系統(tǒng)開源組件中的已知漏洞����。俞之浩特別補充����,自動化工具運用也需要結(jié)合具備策略性的實施方案�。
基于風(fēng)險的模糊測試�、滲透測試可以搶在黑客攻擊之前找出應(yīng)用和服務(wù)中的漏洞。其中模糊測試更多是去針對接口和系統(tǒng)內(nèi)部邏輯����, 滲透測試則已經(jīng)得到了業(yè)內(nèi)的廣泛應(yīng)用。值得注意的是��,除了自動化工具����、策略性的應(yīng)用之外,要達到網(wǎng)絡(luò)安全管理�����,企業(yè)還需要配合進行常態(tài)化的網(wǎng)絡(luò)安全監(jiān)控與反饋���。
俞之浩補充�����,越來越多構(gòu)建云原生應(yīng)用的企業(yè)在采取以開發(fā)人員為中心的安全策略和安全“左移”�����,以便開發(fā)人員能夠盡量在開發(fā)生命周期早期進行安全測試。
安全不在于單一的產(chǎn)品����,而是更多體現(xiàn)于流程。如何達到這個目的�,新思科技也提出了相關(guān)策略。比如說�����,軟件開發(fā)階段由于代碼巨量而導(dǎo)致漏洞掃描時間過長��,這在一定程度上會影響交付的進度��。新思科技通過建立軟件安全構(gòu)建成熟度模型(BSIMM)�,將安全風(fēng)險以數(shù)字化和可視化的方式進行呈現(xiàn)���,通過分析和儲存大量的網(wǎng)絡(luò)安全項目的數(shù)據(jù)��,以“他山之石”幫助企業(yè)更具策略性地針對風(fēng)險等級較高的模塊進行掃描�,降低其他模塊的掃描頻率��,從而加快項目進度。
圖片來源:新思科技
軟件安全構(gòu)建成熟度模型(BSIMM)不僅可以應(yīng)用于以上領(lǐng)域����,作為新思科技推出的測量和評估軟件安全計劃工具�����,BSIMM首版于2008年推出���,通過收集大量企業(yè)在網(wǎng)絡(luò)安全管理上的真實數(shù)據(jù)��,打造開放的標(biāo)準��,旨在建立基于軟件安全實踐模塊的框架��,幫助企業(yè)規(guī)劃�����、執(zhí)行、評估和完善其軟件安全計劃�,協(xié)助企業(yè)同其他網(wǎng)絡(luò)安全團隊做橫向與縱向的比較,BSIMM迄今已迭代12個版本。
(以上內(nèi)容根據(jù)新思科技中國區(qū)資深咨詢服務(wù)專家俞之浩于2022年8月25日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發(fā)表的《ISO/SAE 21434時代的安全汽車軟件開發(fā)》主題演講進行理解和整理���。)
來源:蓋世汽車
作者:唐吉
本文地址:http://www.idc61.net/news/qiye/184379
返回第一電動網(wǎng)首頁 >
以上內(nèi)容轉(zhuǎn)載自蓋世汽車�,目的在于傳播更多信息�,如有侵僅請聯(lián)系admin#d1ev.com(#替換成@)刪除,轉(zhuǎn)載內(nèi)容并不代表第一電動網(wǎng)(www.idc61.net)立場���。
文中圖片源自互聯(lián)網(wǎng)��,如有侵權(quán)請聯(lián)系admin#d1ev.com(#替換成@)刪除��。
京公網(wǎng)安備
11010502033163號
