安全是一个过程,而不是一个产品(安全不在于单一的产品,更多的是在过程中)——布鲁斯·施耐德。
信思科技中国区资深咨询服务专家于志浩指出,在软件产品的整个生命周期中,需要不断地对风险进行梳理、评估和分析,衍生出相关的安全目标和需求,最终在研发阶段实现,后期对产品进行验证、测试和维护。当一个新的产品形态出现时,上述所有过程都需要再次经历循环迭代,以保证整个软件生命周期的安全。
新思科技中国区高级咨询服务专家于志浩。
基于汽车软件开发全链条的ISO/SAE 21434网络安全管理标准。
随着软件定义汽车时代的到来,一方面,汽车中的软件代码急剧增加,系统的复杂度也随之增加。与此同时,漏洞出现的频率也呈线性增长。卡内基梅隆大学软件工程学院的研究数据显示,常规水平下每百万行代码约有6000个缺陷或漏洞;在优秀级别,每百万行代码中会有不到600个漏洞。另一方面,联网增加了汽车与外界连接的端口数量,云端、手机、无线通信接口、车载网络、外部设备都有可能成为汽车的被攻击面。
因此,行业内对汽车软件的安全开发和维护的重视程度也越来越高。2021年8月,汽车信息安全领域首个国际标准ISO/SAE 21434正式发布。该文件定义了汽车电子电气系统的网络安全风险管理要求,涵盖了概念、开发、生产、运维、报废等全生命周期的各个阶段,并明确了标准,为安全编码规范、安全功能相关测试、风险相关测试等部分提供了指导。涉及“如何在传统车辆开发模型中嵌入具体的安全相关控制节点”;“如何将安全开发生命周期的流程嵌入现有的产品开发生命周期”等行业难点。
图片来源:新思科技
于志浩特别提到,ISO/SAE 21434除了发展全生命周期管理之外,还强调车辆运营周期的安全管理,提出建立覆盖车辆全生命周期的常态化、长效化安全管理模式。
ISO/SAE 21434分为15章。前5-7章从宏观角度阐述了车辆网络安全的一般要求,包括整体网络安全管理、基于项目的网络安全管理和持续的网络安全活动。在接下来的七章中,根据汽车的全生命周期,定义了汽车网络安全的需求,包括威胁分析和风险评估、概念开发、验证、生产、运维等。
加州塔拉,基于风险的相关测试
于志浩着重介绍了两个关键部分:一是概念开发阶段的威胁分析与风险评估(以下简称TARA),以及与TARA相关的网络安全保障等级(CAL)。二是产品开发阶段基于风险的模糊测试和渗透测试。
具体来说,TARA的目的是在车辆产品开发初期识别潜在的威胁和安全漏洞,综合考虑攻击规模和影响范围等因素,确定系统可能存在的风险和风险等级,从而获得相应的网络安全目标。TARA需要七个步骤:资产定义、威胁场景分析、影响等级、攻击路径分析、攻击可行性等级、风险判定、风险处置决策。
ISO/SAE 21434为每项资产指定了网络安全保证级别(CAL)。虽然车载芯片的计算能力迭代速度极快,但随着智能电气化的发展,每辆车的计算能力资源都需要用到车辆控制、网关、智能驾驶、智能驾驶舱、网络安全等诸多领域。所以要合理统筹,把“好钢用在刀刃上”。于志浩表示,CAL意在对资产的不同安全级别进行分类和定义。结合TARA衍生的安全目标,CAL级别可以融入网络安全需求,为开发团队提供资源分配的决策依据。
图片来源:新思科技
开发阶段的测试可以分为两种不同的类型:一种是安全功能测试;另一种是基于风险的测试,包括模糊测试和渗透测试。其中,模糊测试主要是向系统中注入非法、异常或意外的输入,以揭示软件缺陷和漏洞。这种“扫雷”安全漏洞的方式通常依靠自动化软件工具来实现其目标。
渗透测试需要测试人员站在系统攻击者的角度思考,属于对计算机系统的授权模拟攻击,旨在评估系统安全性。渗透测试人员使用与攻击者相同的工具、技术和流程来发现和显示系统弱点可能造成的影响。
于志浩表示,网络安全团队可以将上述环节有机结合,实现基于流程的安全管理目标。比如先进行静态安全静态代码分析和模糊测试,寻找代码中的潜在漏洞,然后将报告结果公开给渗透测试人员,让其更有针对性地进行模拟攻击。
图片来源:新思科技
于志浩表示,只有完成各个环节的安全需求,才能形成有组织的安全能力,进而在概念开发、验证、生产、运维等全流程链条的网络安全管理中实现协同。
具体安全活动的实用点,如TARA、静态代码分析、漏洞扫描、模糊测试和渗透测试。
ISO/SAE 21434标准涉及六个具体的安全活动:TARA、静态代码分析、漏洞扫描、模糊测试、渗透测试和网络安全监控。于志浩对每一项活动都进行了阐述,并结合新思科技的行业经验,着重介绍了这六项具体安全活动在实践中的注意事项。在于志浩看来,自动化软件的应用、基于流程的思维、战略统筹和常态安全监控是网络安全管理的四个关键点。
于志浩表示,TARA非常依赖分析师的经验和企业自身的积累。此外,网络安全团队还可以使用自动化工具来驱动和完成TARA实施中计算所涉及的相关步骤,从而减少人为错误和不确定性,确保不同分析师得出一致的结果。此外,如果需要实现TARA,企业需要集成和维护模板、漏洞等数据库。
值得注意的是,TARA的实施必须基于产品的整个开发过程。从循环流程图中可以看出,TARA将贯穿网络安全管理的整个生命周期,它需要随时反映软件的所有变化以及这些变化对产品安全的未知影响。
图片来源:新思科技
静态静态代码分析尤其依赖自动化工具。幸运的是,行业中有许多自动化工具可以帮助制造商应对这些挑战。比如新思科技提供的Coverity静态应用安全测试工具,可以在不运行软件的情况下对源代码进行分析,可以帮助发现代码中的缓冲区溢出、信息泄露、内存损坏等缺陷。与静态静态代码分析类似,漏洞扫描也依靠自动化的软件工具,如黑鸭软件组成的分析工具,检测目标系统开源组件中的已知漏洞。于志浩特别补充道,自动化工具的使用还需要结合战略实施计划。
基于风险的模糊测试和渗透测试可以在黑客攻击之前识别应用程序和服务中的漏洞。其中,模糊测试更多的是针对系统的接口和内部逻辑,而渗透测试已经在业界得到了广泛的应用。值得注意的是,除了自动化工具和战略应用,企业还需要配合常态化的网络安全监控和反馈,才能实现网络安全管理。
于志浩补充道,越来越多构建云原生应用的企业都在采取以开发者为中心的安全策略,安全“向左移动”,以便开发者能够尽量在开发生命周期的早期进行安全测试。
安全不在于单一产品,更在于过程。如何交流……针对这一目标,新思科技也提出了相关策略。比如在软件开发阶段,由于代码量巨大,漏洞扫描时间过长,会在一定程度上影响交付进度。信思科技通过建立软件安全成熟度模型(BSIMM),将安全风险以数字化、可视化的方式呈现,通过对网络安全项目大量数据的分析和存储,帮助企业更有策略地扫描风险等级较高的模块,减少其他模块的扫描频率,从而加快项目进度。
图片来源:新思科技
软件安全构建成熟度模型(BSIMM)不仅可以应用于上述领域,还可以作为信思科技推出的软件安全规划的测量和评估工具。BSIMM的第一版于2008年推出。通过收集大量企业的网络安全管理真实数据,创建了开放标准,旨在建立基于软件安全实践模块的框架,帮助企业规划、实施、评估和改进其软件安全计划,并协助企业与其他网络安全团队进行横向和纵向比较。
(以上内容根据2022年8月25日盖世汽车主办的2022中国汽车信息安全与功能安全大会上,新思科技中国区高级咨询服务专家于志浩发表的《ISO/SAE 21434时代的安全汽车软件开发》主题演讲进行理解和整理。)安全是一个过程,而不是一个产品(安全不在于单一的产品,更多的在于过程)——布鲁斯·施耐德。
信思科技中国区资深咨询服务专家于志浩指出,在软件产品的整个生命周期中,需要不断地对风险进行梳理、评估和分析,衍生出相关的安全目标和需求,最终在研发阶段实现,后期对产品进行验证、测试和维护。当一个新的产品形态出现时,上述所有过程都需要再次经历循环迭代,以保证整个软件生命周期的安全。
新思科技中国区高级咨询服务专家于志浩。
基于汽车软件开发全链条的ISO/SAE 21434网络安全管理标准。
随着软件定义汽车时代的到来,一方面,汽车中的软件代码急剧增加,系统的复杂度也随之增加。与此同时,漏洞出现的频率也呈线性增长。卡内基梅隆大学软件工程学院的研究数据显示,常规水平下每百万行代码约有6000个缺陷或漏洞;在优秀级别,每百万行代码中会有不到600个漏洞。另一方面,联网增加了汽车与外界连接的端口数量,云端、手机、无线通信接口、车载网络、外部设备都有可能成为汽车的被攻击面。
因此,行业内对汽车软件的安全开发和维护的重视程度也越来越高。2021年8月,汽车信息安全领域首个国际标准ISO/SAE 21434正式发布。该文件定义了汽车电子电气系统的网络安全风险管理要求,涵盖了概念、开发、生产、运维、报废等全生命周期的各个阶段,并明确了标准,为安全编码规范、安全功能相关测试、风险相关测试等部分提供了指导。涉及“如何在传统车辆开发模型中嵌入具体的安全相关控制节点”;“如何将安全开发生命周期的流程嵌入现有的产品开发生命周期”等行业难点。
图片来源:新思科技
于志浩特别提到,ISO/SAE 21434除了发展全生命周期管理之外,还强调车辆运营周期的安全管理,提出建立覆盖车辆全生命周期的常态化、长效化安全管理模式。
ISO/SAE 21434分为15章。前5-7章从宏观角度阐述了车辆网络安全的一般要求,包括整体网络安全管理、基于项目的网络安全管理和持续的网络安全活动。在接下来的七章中,根据汽车的全生命周期,定义了汽车网络安全的需求,包括威胁分析和风险评估、概念开发、验证、生产、运维等。
加州塔拉,基于风险的相关测试
于志浩着重介绍了两个关键部分:一是概念开发阶段的威胁分析与风险评估(以下简称TARA),以及与TARA相关的网络安全保障等级(CAL)。二是产品开发阶段基于风险的模糊测试和渗透测试。
具体来说,TARA的目的是在车辆产品开发初期识别潜在的威胁和安全漏洞,综合考虑攻击规模和影响范围等因素,确定系统可能存在的风险和风险等级,从而获得相应的网络安全目标。TARA需要七个步骤:资产定义、威胁场景分析、影响等级、攻击路径分析、攻击可行性等级、风险判定、风险处置决策。
ISO/SAE 21434为每项资产指定了网络安全保证级别(CAL)。虽然车载芯片的计算能力迭代速度极快,但随着智能电气化的发展,每辆车的计算能力资源都需要用到车辆控制、网关、智能驾驶、智能驾驶舱、网络安全等诸多领域。所以要合理统筹,把“好钢用在刀刃上”。于志浩表示,CAL意在对资产的不同安全级别进行分类和定义。结合TARA衍生的安全目标,CAL级别可以融入网络安全需求,为开发团队提供资源分配的决策依据。
图片来源:新思科技
开发阶段的测试可以分为两种不同的类型:一种是安全功能测试;另一种是基于风险的测试,包括模糊测试和渗透测试。其中,模糊测试主要是向系统中注入非法、异常或意外的输入,以揭示软件缺陷和漏洞。这种“扫雷”安全漏洞的方式通常依靠自动化软件工具来实现其目标。
渗透测试需要测试人员站在系统攻击者的角度思考,属于对计算机系统的授权模拟攻击,旨在评估系统安全性。渗透测试人员使用与攻击者相同的工具、技术和流程来发现和显示系统弱点可能造成的影响。
于志浩表示,网络安全团队可以将上述环节有机结合,实现基于流程的安全管理目标。比如先进行静态安全静态代码分析和模糊测试,寻找代码中的潜在漏洞,然后将报告结果公开给渗透测试人员,让其更有针对性地进行模拟攻击。
图片来源:新思科技
于志浩表示,只有完成各个环节的安全需求,才能形成有组织的安全能力,进而在概念开发、验证、生产、运维等全流程链条的网络安全管理中实现协同。
具体安全活动的实用点,如TARA、静态代码分析、漏洞扫描、模糊测试和渗透测试。
ISO/SAE 21434标准涉及六个具体的安全活动:TARA、静态代码分析、漏洞扫描、模糊测试、渗透测试和网络安全监控。于志浩对每一项活动都进行了阐述,并结合新思科技的行业经验,着重介绍了这六项具体安全活动在实践中的注意事项。在于志浩看来,自动化软件的应用、基于流程的思维、战略统筹和常态安全监控是网络安全管理的四个关键点。
于志浩表示,TARA非常依赖分析师的经验和企业自身的积累。此外,网络安全团队还可以使用自动化工具来驱动和完成TARA实施中计算所涉及的相关步骤,从而减少人为错误和不确定性,确保不同分析师得出一致的结果。此外,如果需要实现TARA,企业需要集成和维护模板、漏洞等数据库。
值得注意的是,TARA的实施必须基于产品的整个开发过程。从循环流程图中可以看出,TARA将贯穿网络安全管理的整个生命周期,它需要随时反映软件的所有变化以及这些变化对产品安全的未知影响。
图片来源:新思科技
静态静态代码分析尤其依赖自动化工具。幸运的是,行业中有许多自动化工具可以帮助制造商应对这些挑战。比如新思科技提供的Coverity静态应用安全测试工具,可以在不运行软件的情况下对源代码进行分析,可以帮助发现代码中的缓冲区溢出、信息泄露、内存损坏等缺陷。与静态静态代码分析类似,漏洞扫描也依靠自动化的软件工具,如黑鸭软件组成的分析工具,检测目标系统开源组件中的已知漏洞。于志浩特别补充道,自动化工具的使用还需要结合战略实施计划。
基于风险的模糊测试和渗透测试可以在黑客攻击之前识别应用程序和服务中的漏洞。其中,模糊测试更多的是针对系统的接口和内部逻辑,而渗透测试已经在业界得到了广泛的应用。值得注意的是,除了自动化工具和战略应用,企业还需要配合常态化的网络安全监控和反馈,才能实现网络安全管理。
于志浩补充道,越来越多构建云原生应用的企业都在采取以开发者为中心的安全策略,安全“向左移动”,以便开发者能够尽量在开发生命周期的早期进行安全测试。
安全不在于单一产品,更在于过程。如何交流……针对这一目标,新思科技也提出了相关策略。比如在软件开发阶段,由于代码量巨大,漏洞扫描时间过长,会在一定程度上影响交付进度。信思科技通过建立软件安全成熟度模型(BSIMM),将安全风险以数字化、可视化的方式呈现,通过对网络安全项目大量数据的分析和存储,帮助企业更有策略地扫描风险等级较高的模块,减少其他模块的扫描频率,从而加快项目进度。
图片来源:新思科技
软件安全构建成熟度模型(BSIMM)不仅可以应用于上述领域,还可以作为信思科技推出的软件安全规划的测量和评估工具。BSIMM的第一版于2008年推出。通过收集大量企业的网络安全管理真实数据,创建了开放标准,旨在建立基于软件安全实践模块的框架,帮助企业规划、实施、评估和改进其软件安全计划,并协助企业与其他网络安全团队进行横向和纵向比较。
(以上内容根据2022年8月25日盖世汽车主办的2022中国汽车信息安全与功能安全大会上,新思科技中国区高级咨询服务专家于志浩发表的《ISO/SAE 21434时代的安全汽车软件开发》主题演讲进行理解和整理。)
9月9日,孚能科技正式举行“2022孚能科技战略及新品发布会”,推出全新动力电池解决方案SPS(SuperPouchSolution),提出一整套从电芯到系统,从制造到回收的创新解决方案,
1900/1/1 0:00:009月6日,由中国电动汽车百人会主办的“第四届全球新能源与智能汽车供应链创新大会”隆重召开,蔚来执行副总裁兼质量委员会主席沈峰发表了主旨演讲。
1900/1/1 0:00:00Securityisaprocess,notaproduct(安全不在于单一的产品,而是更多体现于流程)BruceSchneier。
1900/1/1 0:00:00“新发展形势下,软件的复杂度和开发效率的提升之间存在巨大差距,我们无法仅仅依靠效率的提升应对未来整体复杂度。
1900/1/1 0:00:009月6日,在2022第四届全球新能源与智能汽车供应链创新大会上,安徽江淮汽车集团股份有限公司采购中心副总经理戚军针对目前汽车行业的供应链体系安全发表演讲。
1900/1/1 0:00:00盖世汽车讯9月8日,随着领先的汽车市场开始强制要求安装驾驶员监控系统(DMS),意法半导体(STMicroelectronics)宣布推出下一代双图像传感器VDVB1940,
1900/1/1 0:00:00
汽车导航