隨著互聯網、5G 網絡和車用無線通信技術(V2X)等科技的興起,智能網聯汽車成為汽車行業未來的發展主流趨勢和方向。智能網聯汽車通過互聯網、以太網、V2X 技術將人、道路、云、App 之間構成了復雜的車聯網,而車聯網作為互聯網的一部分,必然也會面臨各種復雜的信息安全威脅和風險。為有效應對車聯網安全風險,需構建一個具備大規模數據的實時異常檢測和分析、智能化安全分析、用戶異常行為分析、安全可視化、風險預警、威脅情報共享和安全態勢感知等功能的車聯網安全綜合管理平臺。
一、背景概述
ISO 21434《道路車輛網絡安全工程》是替代SAE J3061 的推薦性汽車網絡安全實踐標準。該標準規定了道路車輛、部件和接口在整個階段(如概念、設計、開發、生產、運行、維護和報廢)的網絡安全風險管理要求。根據 IOS 21434 以及 WP29 中的相關內容,可將威脅梳理歸類為十大類,分別包括硬件安全威脅、固件安全威脅、總線安全威脅、系統安全威脅、無線安全威脅、網絡安全威脅、WEB 安全威脅、移動端 App 安全威脅、隱私安全威脅、傳感器安全威脅。下文簡單介紹其中一些類別的威脅。
1. 硬件安全威脅
由于針對電路板的物理攻擊方法較多,能夠直接造成泄露接口信息、協議信息、芯片信息等風險。當芯片等硬件存在安全風險時,黑客能夠直接根據芯片自身的安全漏洞對車輛硬件進行攻擊,進而造成財產的損失。因此,針對硬件攻擊的防護顯得尤為重要。
2. 系統安全威脅
黑客能夠針對訪問控制漏洞、系統漏洞、OTA升級漏洞的安全風險進行滲透,針對車載操作系統進行攻擊。
3. 無線安全威脅
由于偽基站等技術的逐漸成熟,仿冒 Wi-Fi、仿冒基站等攻擊手段層出不窮。進而黑客能夠在車主無感知的情況下針對汽車進行攻擊,抓取車云、車、車路等交流的數據,竊取車主隱私信息。而針對管端通道傳輸的安全隱患,目前可以使用商用密碼算法等方式對傳輸數據進行加密,進而解決信息泄露等問題。
4. 網絡安全威脅
由于車云通信、總線通信、車內設備通信、V2X通信等通信需求愈加頻繁,帶來的風險點也逐漸增多。通過協議漏洞、重放攻擊等手段,黑客也能夠對車輛信息進行竊取,破壞車內操作系統。
基于以上分析,傳統的車載安全防護體系并不適用智能車聯網的特點和需求。對于車聯網的安全防護,只有達到“主動防御,快速響應”的效果才能夠應對復雜的車聯網安全威脅。做到事前防御全面化、事中響應快速化、事后追溯可信化才能夠確保在當前的網絡環境下,車聯網安全產品的有效性。所以,建設一套行之有效的車聯網態勢感知平臺值得探討和研究。
二、理想條件下的平臺架構
1. 平臺架構具備的特點
面對復雜的網絡攻擊,車聯網態勢感知平臺應能夠通過數據采集、機器學習、語義網絡、關聯分析、情報分析、數據挖掘等大數據分析技術手段,在融合各種網絡安全要素的基礎上從宏觀的角度實時評估網絡的安全態勢,并在一定條件下對網絡安全態勢的發展趨勢進行預測。融合所有可獲取的信息實時評估網絡的安全態勢,在提高網絡的監控能力、應急響應能力和預測網絡安全的發展趨勢等方面將發揮重要作用,為企業信息化管理部門的決策分析提供依據,將不安全因素帶來的風險和損失降到最低。
車聯網態勢感知平臺應具備大數據存儲、大數據分析等基礎服務。同時,根據需求,提供數據采集、風險管理、安全監測、安全處置、安全分析等功能。在基礎服務之上,應具備認證、負載均衡等安全性、可靠性功能,確保平臺的安全穩定運行。在安全功能上,應為用戶提供 WEB、App 等管理手段,減輕運維壓力。
平臺應側重于“日志+流量”大數據分析威脅發現能力,特別是已有數據系統的對接,包括終端安全、網絡安全、邊界安全、安全自查和審計系統、應用安全等,具備全方位的網絡設備、安全設備、數據庫、服務器、虛擬終端、中間件等的日志采集能力;側重于各級安全設備監控、管理;側重于內部安全管理,對服務器、工作站運維管理、配置管理及管理監控;側重于與運維處置系統聯動自動化處置,實現“威脅感知+響應+管理”三位一體的安全管理中心。
2. 平臺架構的功能組件
車聯網態勢感知平臺主要包括信息采集、數據處理、展示/報警/處置,共 3 個主要功能組件。
信息采集主要是收集車載安全類資產設備、以及云端安全類資產運行過程中產生的各種日志信息,將需要收集日志上的不同廠商、不同類型設備、不同協議標準的海量各類被監控系統或設備的日志信息(如 Syslog 日志、SNMP 日志、JDBC/ODBC 數據日志、Web 服務日志、TCP/UDP 網絡數據包等),通過 Netflow、DNS Flow、HTTP Flow、SMTP Flow 等多種接口協議進行數據采集。
數據處理首先要對所收集到的日志數據的格式分析、過濾,對敏感數據信息格式的統一和標準化,結合數據關聯和標簽等預處理操作,以預處理方式提取日志關鍵字信息,將所收集信息進行“數據清洗”后的數據存儲在 ElasticSearch 中。根據系統預定義的、用戶自定義的、外部擴展的規則庫、特殊庫,利用Flink 大數據流處理技術對數據進行關聯、分析、匹配,從而獲得結果信息并生成分析結果。
平臺將報警、處置的分析結果進行展示,并對其中安全威脅等級較高的事件進行突出展示的同時,根據預先擬定的安全事件策略規則,通過防火墻、IPS、EDR 等安全防護設備或系統的對接,進行 IP地址或端口封禁操作半自動或全自動操作,從而實現聯動響應。
三、態勢感知的核心功能
為實現“主動防御,快速響應”,應建立一套基于態勢感知技術的安全平臺解決方案。態勢感知層基于系統下層安全要素的采集和分析,負責向用戶呈現態勢感知能力,根據安全防護的重點和影響安全態勢的幾個重要方面,分為車聯網探針態勢、漏洞態勢、威脅態勢和風險態勢。
1. 車聯網探針態勢
車聯網探針態勢是車聯網態勢感知平臺的基礎,首先它將車輛核心元器件,如 T-BOX、CAN 網關、ECU 中的防火墻、入侵檢測系統所產生的日志收集起來,將所獲得并維護的被防護對象的信息,在整個態勢分析呈現過程中,被其他維度的感知所利用,成為面向安全對象安全態勢分析的數據基礎。在車聯網探針態勢的安全日志收集基礎上,車聯網探針態勢也會融合平臺所收集的各類攻擊威脅信息和脆弱性信息,形成被保護車輛及業務對象視角的安全態勢。
保護車輛及業務視角的安全態勢將從車輛信息、地理位置、駕駛習慣、車輛類型角度、地理區域角度和業務系統角度來審視在網車輛的整體安全防護狀態。從每個視角維度都可以提供車輛受危害概覽、車輛弱點情況、車輛受攻擊情況以及車輛風險的相關態勢信息,具體如下。
各車輛類型的概要信息:車輛類型、車輛型號。
安全組件類型統計:車載防火墻、車載 IDS、車載以太網防護墻、車載 EDR。
車輛可用性情況:展現車輛使用年限、保養頻率展示、車況分析。
車主風險分析:駕駛行為異常分析、地點異常分析。
2. 弱點分析
綜合漏洞掃描、基線核查所掃描的全網在網車輛漏洞弱點進行弱點態勢呈現,使用戶統一把控全網車輛的弱點暴露。所呈現的態勢包括漏洞的級別統計、分類統計、地理區域漏洞發生和處理情況、資產漏洞發生和處理情況等。
弱點態勢的信息來源自各類脆弱性掃描器的掃描結果信息,包括系統漏洞掃描器、應用漏洞掃描器、配置核查掃描器以及外部的漏洞情報信息。經過對各類脆弱性信息的分析處理,結合安全對象信息,弱點態勢可以從車輛類型、分布地域和業務系統維度進行漏洞態勢的呈現。基于不同的維度可以展現如下的漏洞態勢信息。
漏洞概要統計信息:包括當前發現漏洞的總數量、高危漏洞數量、新增漏洞數、長期未處理的漏洞情況。
漏洞總體安全態勢:以漏洞風險矩陣的形式,分別從資產類型、分布地域、業務系統的視角呈現漏洞的整體安全態勢。
漏洞分布態勢:包括漏洞和配置弱點在資產類型上的分布態勢,漏洞和配置弱點在地理區域上的分布態勢,漏洞和配置弱點在業務系統上的分布態勢。
漏洞數量趨勢:反映一定時間范圍內全網安全漏洞的數量變化趨勢,也可以展示不同等級漏洞的數量變化趨勢。
漏洞處置態勢:從漏洞掃描、處置過程中各漏洞狀態視角呈現漏洞的處置態勢,包括漏洞消除的態勢、新發現漏洞的態勢、遺留未處理漏洞的態勢和復現漏洞的態勢。
3. 攻擊態勢
攻擊態勢基于匯總全網相關的攻擊行為信息,通過統計分析、關聯融合等手段對攻擊信息進行處理,從而獲得全景式的攻擊態勢監視。攻擊態勢從遭受攻擊、攻擊的類型、分布、攻擊關系、趨勢、攻擊結果等維度進行攻擊態勢的呈現。包括分別從內部和外部的視角監視受攻擊和發起攻擊的態勢,攻擊在網絡、車機、車載應用、數據層面上的分布和趨勢,攻擊的源目關系態勢,攻擊類型在不同地理區域及業務系統或資產類型上的分布,攻擊成功與否的結果態勢等。
攻擊態勢通過對全網攻擊相關信息的整合分析,可以從 6 個基礎的維度來感知攻擊行為,這 6 個維度分別是發起攻擊維度、遭受攻擊維度、攻擊關系維度、攻擊類型維度、攻擊結果維度和攻擊趨勢維度。
發起攻擊維度:感知攻擊來源的分布,包括外部發起的攻擊或是內部云端發起的攻擊。
遭受攻擊維度:感知攻擊目標在地理區域的分布。
攻擊關系維度:感知攻擊來源和目的之間的關系,感知攻擊類型與車端的關系。
攻擊類型維度:感知攻擊類型在地理區域的分布,在業務系統的分布和在資產類型的分布。
攻擊結果維度:從被阻斷和未被阻斷的角度感知攻擊結果。
攻擊趨勢維度:感知網絡層、系統層、網絡層和數據層的攻擊趨勢。
通過這幾個維度的攻擊相關信息的感知,可以進一步了解獲取全網范圍內的攻擊態勢情況,所獲得的攻擊態勢可以劃分為 4 個方面,分別為攻擊來源態勢、遭受攻擊分布態勢、攻擊規律和趨勢態勢以及攻擊結果態勢。
攻擊來源態勢:通過攻擊來源態勢,用戶首先可以了解車聯網絡中所遭受的攻擊哪些來自內網,哪些來自外網。對于來自外網的攻擊,用戶可進一步了解哪些是被監測到的具體攻擊行為,而哪些是基于威脅情報感知到的外部攻擊威脅。對于來自內網的攻擊,用戶可進一步了解發起的攻擊在地理區域或具體車輛型號上的分布。
遭受攻擊分布態勢:在遭受攻擊分布態勢中,用戶可以從多個維度了解掌握各類攻擊行為所針對目標對象的分布。從對象集合的維度來看,可以呈現被攻擊目標在地理區域、車輛類型和業務系統上的分布;從網絡分層的維度來看,可以呈現被攻擊目標在網絡層、主機層、業務層以及數據層的分布。
攻擊規律和趨勢態勢:通過攻擊規律和趨勢態勢,用戶可以綜合各類攻擊信息從多個方面了解攻擊的攻擊規律和趨勢情況。攻擊規律方面,用戶可以了解攻擊源與攻擊目標的一個匯總抽象關系,監視地理區域、攻擊類型、資產類型之間的對應關系及規律,以及掌握當前受攻擊最嚴重的地理區域、資產類型和具體資產等信息。趨勢態勢方面,用戶可以從網絡、主機、業務、數據 4 個維度了解攻擊數量的發生趨勢。
攻擊結果態勢:通過對攻擊信息中有關攻擊結果信息的抓取和分析,可以為用戶呈現攻擊結果的態勢。這里首先為用戶提供兩個基本維度的攻擊結果監視,分別是被阻斷攻擊態勢和未被阻斷的攻擊態勢。被阻斷攻擊態勢包括各區域被防護的攻擊、被防護的針對業務系統的攻擊、內部發起被防護的攻擊、外部發起被防護的攻擊。未阻斷攻擊態勢包括各區域未阻斷的攻擊、未被阻斷的針對業務系統的攻擊、內部發起未被阻斷的攻擊、外部發起未被阻斷的攻擊。
4. 風險態勢
風險態勢綜合資產價值、安全屬性、脆弱性、攻擊威脅等風險要素,基于風險模塊內置的風險計算模型,進行全網、各地理區域及各業務系統的風險量化評估和風險賦值。
風險態勢是從風險的角度來衡量被防護對象的安全態勢,在平臺的態勢呈現過程中,風險態勢存在于資產態勢、弱點態勢和態勢總攬當中,通過在各維度中為對應的目標給定風險值來幫助用戶把握安全態勢,例如在資產態勢中,通過風險視圖呈現各資產類型、地理區域及業務系統的風險值,在態勢總攬中通過風險視圖給出全網的風險等級。
5. 總體態勢
集中全部獲取的安全信息進行綜合安態勢呈現,幫助用戶從全局的角度把控全網安全狀態。包括攻擊態勢地圖,圍繞網絡中的資產呈現被防護對象的安全態勢,安全威脅趨勢,全網告警分布,全網漏洞及配置弱點分布以及業務系統的健康態勢等。
四、探針構成
1. 防火墻探針
車載終端信息系統的網絡是非常重要的攻擊層面,是黑客實現遠程惡意控車的主要途徑。因此,對車載終端信息系統的網絡層面進行安全防護,能夠極大地提高整個系統的安全性,減少攻擊發生的可能。使用防火墻探針能夠有效地提升車載終端信息系統網絡層面的安全防護能力。
防火墻探針基于 IP(源/目的)、端口(源/目的)進行規則匹配,對以太網流量進行過濾,監控車輛聯網行為,發現車輛異常聯網行為,阻斷異常網絡訪問。
通過防火墻探針能夠收集網絡層的安全事件。
2. EDR 探針
端點檢測與響應(EDR)探針從主機、應用、配置、文件等維度來評估車端系統的未知風險,以日志分析引擎為核心,縮短威脅從發現到處置的時間,有效降低業務損失,增加可見性,提升整體安全能力。產品能夠支持 Android、Linux 系統,以適應不同的車機及硬件。
通過 EDR 探針能夠收集系統層的安全事件。
3. 安全接入系統探針
為保證車載終端與 TSP 服務器之間通信的數據機密性,建議在 TSP 服務器之前部署安全接入系統探針。安全接入系統探針中的 TLS 安全傳輸模塊,在用戶和 TSP 應用系統之間建立起高強度的安全加密連接,保證傳輸信息的可信和保密,并且提供用戶身份機制和級別訪問控制機制。
通過 EDR 探針能夠收集傳輸層的安全事件。
五、總結
隨著智能網聯汽車的逐步應用,針對智能網聯汽車的攻擊手段愈發多樣化,同時由于網絡環境的復雜化,導致單點的車載安全模塊難以精準識別網絡攻擊。評估攻擊的影響范圍,更難以事前預警,防患于未然。搭建一套能夠針對“端、管、云”的全流程車聯網態勢感知平臺,能夠有效地從海量安全事件中準確識別出真實的攻擊行為,一方面,減少誤報,提高報警信息的實用性;另一方面,提前預警,增強事件響應的主動性,實現“端、管、云”整體最佳的車聯網安全防護效果。
