当前位置:首页 >  企业战略

汽车制造商必须捍卫网络安全 将安全作为重中之重

发布时间:2021-07-14 16:58:58

由于具有各种电子控制单元和基于软件的功能,现代车辆通常被描述为车轮上的计算机。尽管近年来车辆网络安全的重要性有所增加,但对于汽车制造商而言,它仍然是一个相对较新且复杂的挑战。

多年来已经发布了许多最佳实践摘要和建议表,鼓励开发人员在开发过程中采用某些工具或措施。这些是有用的指南,但汽车网络安全现在正受到正式监管。除了各种技术要求外,即将出台的标准还意味着汽车制造商和供应商必须将网络安全作为重中之重。

预计在 2021 年下半年,即将推出的 ISO/SAE 21434 标准旨在确保车辆在其整个生命周期内都是安全的,特别关注风险管理。它还特别提到了在组织层面建立强大的网络安全文化的必要性。该标准预计将刺激该行业的汽车制造商、供应商和产品开发商进行一系列组织变革。

全球软件公司 Synopsys 的首席汽车安全策略师 Dennis Kengo Oka 博士表示,ISO/SAE 21434 的引入不仅会影响企业的运营方式,还会影响员工日常思考网络安全的方式。“为了满足这些新要求,组织必须做出改变,”他肯定地说。

改变你的文化

“文化转变”有些含糊,但可以通过某些举措和内部政策来表征。在基本层面上,整个组织的员工需要更好地了解网络安全,以及他们在降低风险方面可以做些什么。

这将需要的不仅仅是一份公司备忘录:将为直接参与车辆设计的开发人员和其他员工举办专门的培训课程。还需要提名的“网络安全冠军”来协调不同公司部门的工作。每当开发新功能时,必须首先考虑安全设计和测试。还必须留出新的预算。实际上,网络安全必须成为从 C 级高管到入门级职位的关键考虑因素。

“安全必须成为思考过程的一部分,但对于许多组织来说,这将是一个相当困难的过渡,因为这对于汽车行业来说是一个相当新的话题,”Oka 观察到。“这将需要进行文化变革,以自上而下地促进网络安全。”

网络安全使创新成为可能

随着这种文化转变,汽车制造商必须继续采用可以防止车辆或其数据被黑客入侵的解决方案。

Synopsys 总部位于加利福尼亚,提供多种不同的工具和服务,可帮助 OEM 和供应商快速开发高质量、安全的代码。其静态分析工具 Coverity 可以扫描源代码并识别代码中的弱点或漏洞;这可能是从缓冲区溢出到各种内存损坏问题的任何事情。

静态分析有助于加快原本费时费力的过程:手动代码审查极其耗时,而计算机程序可以以比任何人类团队更快的速度和规模执行扫描。这意味着会尽早标记并修复任何错误。

另一个重要问题是开源软件的使用,它大大减少了开发现代车辆提供的许多新功能所需的时间和精力。然而,有人担心当代码被重用时错误可能会开始蔓延,这可能会造成网络安全漏洞。“大型汽车组织无法自己开发所有东西,在许多情况下,这些开源软件组件非常有益,”Oka 说。“使用开源软件的挑战在于管理它;你需要知道你的产品和系统中使用了哪些组件和版本,以及是否存在与这些版本相关的任何漏洞。”

2017 年,Synopsys 收购了 Black Duck Software,现在提供同名产品来应对这些挑战。Black Duck 专注于自动化开源软件的管理,标记任何已知的安全漏洞或许可证合规性问题。Oka 解释说,此类解决方案不应被视为费用或负担,而应视为推动因素。他引用了一个常见的行业类比:“工程师不会设计更好的制动器来帮助汽车减速;他们设计了更好的刹车来帮助汽车跑得更快。” 同样,Oka 说,网络安全措施不会阻碍创新。相反,它们允许汽车制造商继续为客户提供更先进的自动化和互联技术。

在某种程度上,汽车行业已经开始培养围绕网络安全的文化。2014 年,通用汽车任命了第一位网络安全主管,他将领导其保护车辆免受黑客攻击的战略。当时,这家汽车制造商将其描述为提供了“竞争优势”。“一些组织比其他组织更早地开始了他们的网络安全之旅,”Oka 观察到,“除了新的监管标准之外,我们过去还看到了其他触发因素。”

各种原始设备制造商已主动与研究人员合作,以发现其车辆中可能存在的漏洞;“漏洞赏金”为发现的每个问题提供现金奖励,随着问题潜在严重程度的增加,其价值会增加。网络安全公司与汽车制造商和一级供应商之间的战略合作伙伴关系(在某些情况下是全面收购)也有助于加强汽车行业的能力和对网络安全的理解。Black Hat 和 Def Con 等会议也推动了努力,向公众详细介绍了各种突破性的黑客技术。“这类论坛无疑提高了人们对汽车网络安全的认识,”Oka 总结道,“但许多 OEM 不明白,下一次出现的可能是他们的漏洞。”

随着新标准的出台,围绕网络安全建立文化不再是自愿的,组织必须考虑对他们前进的要求。随着汽车行业家喻户晓的品牌继续武*自己抵御网络攻击,已经嵌入该领域的公司的专业知识将证明是无价的。

《汽车制造商必须捍卫网络安全 将安全作为重中之重》不代表本网站观点,如有侵权请联系我们删除

战略网 版权所有

联系我们 关于我们 版权申明