2018年11月13~14日,第七届GFIC全球家庭互联网大会在上海隆重召开,本届大会以“+连接,再创新”为主题,共设12大主题论坛:GFIC全球家庭互联网领袖峰会、GFIC亚太CDN年会领袖峰会、4K超高清论坛、IPTV创新论坛、视频加速论坛、OTT领袖峰会、家庭大屏营销论坛、融合CDN论坛、跨境加速论坛、亚太物联网峰会、智慧家庭AIoT论坛、5G车联网论坛。在14日上午举行的亚太物联网峰会上,来自上汽云计算中心上海帆一尚行科技有限公司资深安全架构师罗莹做了题为《车联网安全体系建设实践》的精彩演讲。
上汽云计算中心上海帆一尚行科技有限公司资深安全架构师 罗莹
上汽云计算中心,现在独立为上海帆一尚行科技有限公司,是上汽全资投资的汽车行业第一个云计算中心。
现在荣威的斑马系统运行在这个云平台上面,其实在车联网这一块发展非常迅猛,但是《速度与激情8》中也可以看到,车智能网联的过程当中,也不可避免的带来了一些网络安全的问题,上汽集团自从做智能网联发展以来,就格外重视云安全和智能网联汽车的网络安全,具体做了一些实践。
车联网的安全风险开始得到各方重视
第一是车联网的安全风险分析,像2014年宝马的Web漏洞。2015年上汽通用的安吉星移动应用和云端的一些安全的问题。标志性的是2015年的Jeep事件,导致了第一个批量召回的,当时召回了140万辆,一般把这件事定义为车联网安全的元年,这是一个里程碑的事件,从此各大车企开始重视网络安全这一块了。
2018年之后也发生了几起事件,比如说2月份本田印度在用户信息上的泄露,还有6月份科恩实验室对宝马做的一个智能汽车攻击,也是可以获取远程的控制权。
在车联网攻击的路径上有云安全、移动端、通信、车载和车内的。在云上比如宝马Web服务器XSS漏洞,还有本田印度再AWS存储上不安全的存储,还有像尼桑车联网服务不安全的API,借用这个API就可以调用去查询所有的用户信息。
在移动端典型的就是安吉星移动应用安全,这里面虽然对移动应用做了一些安全的控制措施,但是攻击者可以用中间人攻击的形式,同时欺骗移动端和云端达到攻击的目的。
通信安全就是Jeep的,手机卡联到的基站跟车联到的基站在一个网络里面,用手机卡网络就能探测到车联网络上面的系统,这样再加上它车载系统的一些安全漏洞,车内像MCU固件的刷新,达到了远程车控。
还有最近科恩实验室攻击宝马的事件,根据公开信息,用一个伪基站,通过4G通道对车上的车机系统网络服务、网络端口进行了攻击,结合系统的安全漏洞达到远程车控的目的。
没有绝对的安全,安全都是相对而言
攻击面是各式各样的,如何做这个安全?其实是没有绝对安全的,安全都是相对而言的,攻击者可以从各种角度有各种尝试,它攻破其中一个点都可以导致很大的损失,但是对于防护方来讲安全是一个面上的过程,是一个体系的过程。
这也引出来一个安全的本质是什么问题?传统都是讲CIA,就是完整性、可用性和机密性;从技术上来讲,普遍的看法就是说安全本质是信任的问题,比如说身份认证、不安全的API之类的,都是信任的问题。从建设这样一个安全体系的过程来讲,安全其实是一个涵盖管理、技术、人这样几个方面的工作。
从云端、管端,通信的通道4G、GPS、蓝牙之类的,包括V2X的,比如说路上的智能路灯,还有车路协同的以及车端的,包括物理接口、USB接口之类的,还有车内的TBOX、娱乐系统、安全网关,这里有所有的硬件安全、软件安全等等的,攻击面是非常多的。
如何筹划安全体系,车企重点关注汽车电子网络
然后就涉及到怎么来筹划安全的体系。这里有国际国内通用的标准和一些方法,信安标委和汽标委的《汽车电子系统网络安全指南 征求意见稿》、SAE的J3061等,结合传统的网络安全通用指南来指导汽车电子网络安全安全。信安标委在今年4月份发布了一份《汽车电子网络安全标准化白皮书》,它是侧重于汽车电子网络的,所以在移动端、管端、云端其实只提到很小一部分,重点是在车内的部分。这个也是一个很重要的参考依据。
根据这些依据和标准以后,就可以得出来在哪些方面需要重点关注,比如说云端、管端和终端这几个方面来讲,这几年有GDPR合规性的要求都普遍得到了实施,数据安全现在大家都非常重视,已经成为了一个影响企业生死存亡的核心要素之一,对于智能网联汽车也是一样的。
从影响性来讲,也可以看到,Jeep的大批量召回和特斯拉的问题,都是从云端和管端发起的攻击,这样的攻击一般可以控制大规模的车辆,从车端做的攻击可能仅仅影响这一辆车或者是某一辆特定的车,但是从管端和云端发起的攻击,能够影响使用这个云端服务是通信通道的网联汽车,规模在几万、几十万辆等等之类的。如Jeep这样一个通信端的漏洞,当时攻击者估计的是十几万辆,但实际上召回了140万辆,这方面的攻击会导致大规模的安全事件,非常值得关注的。
作为车厂关注的可能是车本身的网络安全,比如说车载系统,还有车内的一些网关之类的安全,还有比如说固件刷新这样的安全。依据这些关注的重点上汽云计算中心规划了从云管端到数据安全的车联网安全解决方案。
涵盖云管端数据的车联网整体安全解决方案和实践
云端安全建设:
云中心成立以来陆续通过了等保三级、ISO27001和CSTAR云安全认证,这是云中心纵深防御的网络安全架构,在物理安全、平台安全、网络安全、主机安全、应用安全、数据安全等层面都有相应的技术手段,也做了不少实践工作。
1、数据安全:除了常见的网络DLP以外,也会做异地容灾备份,目前上汽云在上海和南京建有数据中心,后面也会在郑州建第三个点,如果做到的话,那就相当于是三地了,确保数据安全和业务连续性。
2、统一的日志平台:收集包括云端、应用、车端的,比如说车控指令,还有移动端的这样一些日志信息,从里面挖掘分析安全的隐患。
3、安全事件管理上,从事前事中事后,分别在安全意识、渗透测试、安全监控、态势感知、事件管理、响应恢复等方面建立起一套完善的流程。
车联网开发安全流程:
结合微软SDL安全开发生命周期和J3061 V型流程,在设计、开发、测试、运营阶段,整合安全能力。
安全工作中存在“木桶效应”,在管理、技术和人三个维度都要下功夫,不能有短板,要形成一个全面的安全体系。
1、车机系统安全基线:包括安卓、嵌入式系统安全基线规范要求,对不必要的端口和服务的进行关闭。
2、车载端安全评估:从硬件安全、系统安全、软件安全、通信安全、数据安全等方面对车载端进行测试评估。比如这个案例,硬件上调试口没关可以直接接入、系统默认开放telnet服务且是弱口令高权限、加密密钥明文存储在文件系统中、4G网络未作隔离与公交车摄像头行车记录仪同在一个内网中。
3、车机系统加固:通过内核主动防御模块,提供漏洞修复、漏洞利用监测、特权监控等功能,这样来检测恶意的攻击,因为一般的恶意攻击都会涉及到这些东西,还会把这个能力跟应用层的探针来结合,把它作为一个输入,输入到云平台,做一个联动的分析。
车联网可信体系建设:
基于PKI技术的车联网可信体系建设,这是一个整体的架构图,涵盖云管端上的可信标识、身份认证、加解密、安全存储和密钥管理等,比如设备和云端的双向身份认证、基于数字证书身份的权限控制、FOTA安全、移动端多因素认证等。
车联网入侵防御和安全态势感知:
之前的介绍都是安全防护能力方面的实践,这是一个安全检测和感知能力方面的实践工作。通过在云端TSP平台服务器上、车载娱乐主机、TBOX、移动端网联APP安装轻量级的探针,结合网络上的全流量分析,作为数据输入,利用后台的大数据分析、人工智能、威胁情报、可视化展示等能力,对车联网云管端整体安全做一个联动分析,形成入侵防御和态势感知的能力。接下来就是这个方案的产品界面展示,云端的资产管理、入侵检测、漏洞管理,云端的安全态势感知,车载端的资产管理、风险评估、车机应用安全检测、ROOT监测、车载端安全态势感知。