摘要
2021年1月,美国国家公路交通安全局(NHTSA)发布《现代车辆安全性的网络安全最佳实践》(Cybersecurity Best Practices for the Safety of Modern Vehicles)2020版草案,征求公众的反馈意见。
2016年,NHTSA发布第一版《现代车辆网络安全最佳实践》,其中描述了NHTSA对汽车行业改善车辆网络安全的非约束性指导。最近发布的这版草案中,NHTSA整理了过去四年所获得的资料,包括过去反馈的意见、持续的研究、研究人员发现的机动车网络安全问题以及相关行业活动等。为了强调NHTSA的安全(Safety)使命,《最佳实践》中的建议重点放在对机动车及相关设备有安全(Safety)影响的网络安全最佳实践上。
01 发布背景
1.1 汽车安全性
伴随着汽车技术的发展,电子系统、软件和无线连接的使用日益广泛。在过去十年中,技术进化的步伐已显著加快。现如今汽车已成为消费者能买到的最复杂的计算机化产品之一。增强的无线连接和电子控制系统的不断创新,为公路运输的安全性、机动性和效率带来了巨大的提升。然而,随着基于计算机的控制系统、软件、网络连接和车载数字数据通信网络的普及,现代车辆的故障模式、脆弱性和威胁等问题还需要更多的关注。
连通性和安全性技术可以干预并协助驾驶员控制车辆(如自动紧急制动),但也会增加网络安全风险。如果没有在整个车辆生命周期内采取主动措施,风险可能会导致负面的安全后果。因此,机动车网络安全仍然是NHTSA的首要任务。NHTSA在这一领域的工作旨在支持汽车行业不断提高机动车网络安全的可靠性和弹性。该机构耗费大量资源研究并推广软件开发、测试实践和需求管理的现代方法,因为这些方法与车辆生命周期内潜在安全危害和风险的健壮性管理有关。NHTSA与工业界密切合作,以促进强有力的风险管理文化和相关的组织和系统工程流程。
1.2 2016 版最佳实践介绍
2016年10月,NHTSA发布了第一份关于机动车和机动车设备的网络安全最佳实践。《现代车辆网络安全最佳实践》(以下简称《2016年最佳实践》)是NHTSA多年来与公共和私人利益相关者广泛接触的成果,也是NHTSA对车辆网络安全和加强全行业网络安全方法的研究成果。正如随附的《联邦公报》文件所解释的那样,NHTSA发布《2016年最佳实践》的目的是支持汽车行业牵头做出的努力,以改善行业内的网络安全态势,并就汽车行业如何在车辆的整个生命周期内开发和应用合理且基于风险的网络安全管理流程提供意见。
《2016年最佳实践》借鉴了现有的汽车领域研究以及非汽车和IT领域的重点标准,如美国国家标准与技术研究所(NIST)的网络安全框架和互联网安全中心(CIS)的关键安全控制框架。NHTSA认为这些来源合理适用,并且有助于补充当时有限的行业指南。NHTSA在发布时指出,《2016年最佳实践》将会根据汽车行业的相关新信息、新研究以及其他网络安全最佳实践进行更新,并邀请利益相关方和有关各方对该文件提出意见。
1.3 2020版更新时的考量
NHTSA收集了来自政府机构、受监管实体、行业协会、倡导团体和组织以及个人的意见,并将这些意见反映在2020年修订的《现代车辆安全性的网络安全最佳实践》(以下简称《2020年最佳实践》)中。
指南vs规则。许多评论者指出,网络安全是一个不断发展的学科,最佳实践需要保持常态更新,建议NHTSA的网络最佳实践应保持非约束性和自愿性。NHTSA同意这些评论者的意见,表示《2020年最佳实践》中列出的任何条款都可被自愿采用。
NHTSA的网络最佳做法应与行业措施保持一致。评论者指出,在2016年最佳做法发布时,许多行业措施尚在制定中。NHTSA认为,2020年修订版中概述的具体最佳实践反映了与国际汽车工程师学会(SAE)、国际标准化组织(ISO)、国家标准技术研究所(NIST)和汽车信息共享和分析中心(Auto-ISAC)等组织的网络安全关键措施和做法的紧密联系,总体上与这些组织制定的指南、标准和最佳实践保持一致。
专注于安全性(Safety)。一些评论者指出,NHTSA的最佳实践应该完全专注于网络安全(cybersecurity)的安全性(safety)方面。NHTSA同意上述观点。本次修订中提出的最佳实践是专门针对影响机动车在设计、运营、维护和处置的整个生命周期内安全性(safety)的网络安全(cybersecurity)问题。这一重点问题的修订贯穿在整个文件中,例如标题的改变:现代车辆安全性的网络安全最佳实践。
将网络安全作为软件开发过程的一部分来考虑。多位评论者建议将网络安全纳入软件开发生命周期流程的一部分,进行更充分、更正式的考虑。NHTSA修订后的最佳做法反映了需要将网络安全考虑纳入整个软件供应链以及整个软件系统开发、实施和更新的生命周期管理过程中。
补充网络安全术语、定义。评论者指出,如果文件能提供某些术语的扩展定义,以增加推荐的最佳实践的精确性和清晰度,将会对整体理解大有裨益。NHTSA为整个文件中使用的关键术语提供了几个补充定义。
02 2020版的更新内容
更新后的文件草案以PDF格式提供,编号为NHTSA-2020-0087,围绕五个关键领域展开:
- 通用网络安全最佳实践
- 安全教育
- 售后市场/用户自有设备
- 服务性
- 车辆网络安全技术最佳实践。
2020年最佳实践还反映了NHTSA在机动车网络安全方面持续研究的结果,包括空中(OTA)更新、加密方法、构建网络安全渗透测试和诊断方面的能力,以及通过研究人员和利益相关者参与而获得的新知识。
以下是新版最佳实践的清单,并解释了纳入本次更新的原因。
[G.6] 制造商应考虑与传感器漏洞和潜在的传感器信号操控(例如GPS欺骗、道路标志修改、激光雷达/普通雷达干扰和欺骗、摄像头致盲或诱发机器学习误报)相关的风险。
研究表明技术的行为可能受到传感器欺骗的影响,这与传统上软件操纵导致的网络问题有所不同。
[G.7] 任何对安全关键系统的不合理风险都应通过设计消除或减轻到可接受的水平,任何可能带来不可避免和不必要风险的功能都应尽可能消除。
这是为了与《国家交通和机动车安全法》禁止制造商销售可能含有不合理安全风险的机动车和机动车设备的规定保持一致。
[G.9] 应明确网络安全期望,并将其传达给支持预期保护的供应商。
车辆是在一个复杂的供应链中生产的,为实现制造商的网络安全目标,需要澄清并协调各参与方之间的网络安全角色和期望。
[G.10] 制造商应维持一个数据库,记录每个汽车ECU和每辆组装车辆所使用的操作软件组件,以及应用的版本更新历史记录;
[G.11] 制造商应记录软件组件的细节,当发现开放源码或现成软件存在新的弱点时,制造商可以迅速确定哪些ECU和特定车辆会受其影响。
确定某个组件问题的影响范围,以及识别每个车辆或设备组件上安装的不同软件版本的能力,对于确定潜在的风险范围和事故快速响应至关重要。
[G.12] 制造商应针对已知的漏洞,评估车辆ECU中使用的所有商用现成和开源软件组件。这也是其他领域的常见做法。NIST建立了一个国家数据库来推进这一行为。
[G.22]应遵循安全软件开发的最佳做法,例如NIST 8151和ISO/SAE 21434中概述的做法。
该最佳实践为公司提供了进一步详细资源,可酌情考虑实施。列明这些资源对所有公司都有帮助,特别是对网络安全项目不太成熟的公司。
[G.23] 制造商应通过Auto-ISAC和其他公认的标准制定组织,积极参与汽车行业特定的最佳实践和标准制定活动。
当实体积极参与诸如ISO / SAE 21434之类的行业标准制定,确保其独特需求被考虑并满足时,行业标准将被更广泛地采用。
[G.30] 根据评估的风险,各组织应制定计划,处理消费者已购买的车辆、已制造但尚未分配给经销商的车辆库存、已交付给经销商但尚未出售给消费者的车辆以及未来产品和车辆上新发现的漏洞。
处于不同经销阶段的车辆为受影响人群解决问题的能力可能会有所不同。计划时考虑到这些阶段可以促进更有效的组织响应。
[T.7] 应尽量减少使用全局对称钥匙和ad-hoc加密技术进行诊断访问。
这一最佳实践不鼓励使用全局对称密钥或未经验证的加密技术,因为这可能给制造商和消费者带来虚假的安全感。此外,研究表明对称密钥的效果差强人意。
[T.8] 车辆和诊断工具制造商应提供适当的认证和访问控制措施,以控制工具对可进行诊断操作和重新编程的车辆系统的访问。
研究表明利用诊断工具可以对车辆系统进行逆向工程并触发漏洞。
[T.12] 应定期审查车辆间的可汇总日志,以评估网络攻击的潜在趋势。
与只关注单一车辆或分门别类的信息相比,在制造商车队的多辆汽车上汇总的信息可以突出趋势,并帮助制造商在攻击成功之前识别网络安全攻击。
[T.13] 制造商应将汽车无线接口外部的所有网络和系统视为不受信任,并使用适当的技术来减轻潜在威胁。
这是利益相关方和NHTSA的常见做法。在无线接口上看到的各种形式的"中间人"网络攻击表明,在为预定的用途进行适当认证之前,不应信任车辆无线接口外部的信息。
[T.22] 保持OTA更新、更新服务器、传输机制和更新过程的完整性。
OTA更新是对车辆或设备软件进行远程推送的更新。OTA更新过程中不应通过更新本身或更新过程引入网络安全漏洞。
[T.23] 在设计安全措施时,考虑到服务器失陷、内部威胁、中间人攻击和协议漏洞等风险。
该最佳实践就T.22中的风险考虑因素提供了更细化的建议。
03 最佳实践的经济分析
如果这些公司决定将《2020年最佳实践》中的建议纳入其业务实践中,NHTSA会不遗余力地评估汽车行业公司可能承受的潜在成本。以下是NHTSA针对本节评估考虑的因素。
首先,尽管作为指南性文档,《2020年最佳实践》是自愿采用的,但NHTSA希望大多数实体遵守NHTSA认可的建议。
其次,适用《2020年最佳实践》的实体之间存在巨大的差异。文件中的建议必须具有通用性和灵活性,以适用于任何规模或人员配置的行业实体。NHTSA认识到,目标受众在组织上存在很大的差异,且在网络安全方面具有不同程度的组织成熟度,以及不同程度的潜在网络安全风险。这些预期,再加上NHTSA对指南中任何建议的组织成熟度和实施情况缺乏详细了解,使得NHTSA难以对每个组织实施建议的成本进行合理量化。
第三,应用《2020年最佳实践》带来的成本将仅限于新建议的增量成本。更新后的文件重点强调了65项最佳实践,相对于2016年发布的第一版,其中只有16项是“新的”。
第四,如果组织在本次征求意见前已实施部分建议,那么花费的成本将会有限。
第五,NHTSA的许多建议在很大程度上依赖于行业标准,如国际标准SAE/ISO 21434草案。对于那些已经采用SAE/ISO 21434标准的公司来说,花费的成本也将有限。虽然2020年最佳实践中有一些建议目前还不能纳入到行业标准文件中,但这些建议大多涉及常见的汽车工程和合理的商业管理实践,如风险评估和供应链管理。这些建议被NHTSA纳入2020年网络最佳实践中,起到了提醒作用。
在效益方面,未实施适当的网络安全措施(如上述建议所述的措施)或其他合理控制措施的实体,面临更高的网络攻击风险,或在发生网络攻击时面临更大的风险敞口,可能导致公众的安全担忧。
因此,实施最佳实践可以促进"成本预防",因为如果未采取适当的网络安全实践可能会给公司带来其他直接或间接成本(即人身伤害、车辆损坏、保修、召回或自愿维修/更新)。定量分析需要对未来效益进行现值估算,或需要对两个类似的样本组进行比较,其中一个组正在参照建议执行,另一个组则没有。这种比较将说明各组之间的差异,从而可以计算出实施最佳实践所带来的效益。然而,目前这两种方法都不可行。
本文件中概述的最佳实践有助于各组织更好地衡量其残余风险,特别是与其设计和制造的机动车和机动车设备中潜在网络安全问题相关的安全风险。本文件还提供了一套技术工具,各组织可以根据所衡量的风险利用这些工具,并采取适当的行动来减少或消除这些风险,从而降低未来公众和企业的安全风险责任。
此外,车辆安全和安保(safety and security)措施已定量地显示出积极的外部效应(Ayres & Levitt, 1998)。网络安全故障(崩溃)的高边际成本会波及到第三方。良好网络安全实践若被广泛接受,将会限制这些潜在成本,并减少试图破坏市场(如信号操纵、GPS欺骗或逆向工程等)的动机。
本文为安全内参编译,如需转载可联系本号获取权限。
原文链接:
https://public-inspection.federalregister.gov/2021-00390.pdf
声明:本文来自zhangwenhui,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。