2025年汽車行業(yè)漏洞管理的關鍵要素白皮書-易特馳_第1頁
2025年汽車行業(yè)漏洞管理的關鍵要素白皮書-易特馳_第2頁
2025年汽車行業(yè)漏洞管理的關鍵要素白皮書-易特馳_第3頁
2025年汽車行業(yè)漏洞管理的關鍵要素白皮書-易特馳_第4頁
2025年汽車行業(yè)漏洞管理的關鍵要素白皮書-易特馳_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

eT人SEmpoweringTomorrow‘sAutoeT人S汽車制造商正面臨數(shù)字威脅的持續(xù)增長,這使得漏洞管理成為衡量網(wǎng)絡安全水心指標1。這一重大挑戰(zhàn)具有普遍性且并非新問題:所有完成數(shù)據(jù)和流程數(shù)業(yè)都經(jīng)歷了這一轉(zhuǎn)變,并制定了應對軟件漏洞的策略與方法。然而,汽車作字化轉(zhuǎn)型的復雜實體,其漏洞管理具有獨特性——首要原因在于供應鏈各環(huán)本白皮書深入探討汽車行業(yè)的漏洞管理,針對當前企業(yè)面臨的三大核心挑戰(zhàn)方案:軟件物料清單(SBOM)質(zhì)量、供應鏈信息流管理以及海量漏洞發(fā)現(xiàn)處中闡述了如何通過創(chuàng)新方法提升流程效率與合規(guī)性,并展望了將漏洞管理納入為此,整車廠(OEM)與供應商需構(gòu)建覆蓋完善安全體系,以確保合規(guī)性,同時保護行車安全、及整車功能。即使在當前環(huán)境下,網(wǎng)絡安全措施的管挑戰(zhàn),而未來其重要性將更加凸顯。這些挑戰(zhàn)既源于我們在白皮書《全面揭示網(wǎng)絡安全》中對快速雖然空中下載(OTA)軟件更新便于快速雖然空中下載(OTA)軟件更新便于快速汽車供應鏈涉及眾多組件和軟件供應商,每個環(huán)具備網(wǎng)聯(lián)功能的車輛容易通過無線通信系統(tǒng)遭擊。黑客可遠程利用漏洞非法訪問車輛關鍵系漏洞數(shù)量正以更快速度增長,攻擊者能力也因工具攻擊入口增加而持續(xù)提升。汽車企業(yè)必須跟上這種這些與漏洞管理相關的挑戰(zhàn)看似具有普適性。畢竟,持設備到復雜的企業(yè)IT系統(tǒng),所有數(shù)字化產(chǎn)品都面臨長的漏洞威脅(如圖2所示)。數(shù)十年來,應對這種為許多企業(yè)的日常業(yè)務。隨著互聯(lián)互通水平和跨平臺升,行業(yè)間的界限已逐漸模糊。車輛已從機械化的獨具,轉(zhuǎn)變?yōu)榕c現(xiàn)實世界多種實體交互的聯(lián)網(wǎng)駕駛計算稱為"帶輪子的智能手機”2。事實上,現(xiàn)代軟件定義能手機有許多共同點:安卓信息娛樂系統(tǒng)、擊面。由于大多數(shù)ECU都集成了微控制器/微處器、傳感器接口和通信模塊,漏洞可能出現(xiàn)在硬件或固Q4Q3Q2更重要的是,許多ECU能直接影響車輛的物理運行此,與消費電子產(chǎn)品相比,安全事件導致的故障可聚焦軟件更新管理,要求制造商建立軟件更新GB44495-2024印度汽車行業(yè)標準委員會(AISC)發(fā)布的全,要求將安全能力嵌入產(chǎn)品設計、生產(chǎn)及生命全球性汽車網(wǎng)絡安全標準,為車輛從概念設計當前汽車行業(yè)在漏洞管理領域面臨三大核心挑戰(zhàn):軟件物料清單(SBOM)質(zhì)量、供應鏈漏洞信息流管雖然在標準和實施方面已有良好實踐,但在實制造商及其供應商往往難以保證SBOM的質(zhì)量。現(xiàn)有的S通常存在細節(jié)不足、質(zhì)量問題(如CPE等唯一標識符錯失或者未能遵循支持高效漏洞識別與管理的現(xiàn)有標準不符合CycloneDX3或SPDX?)。這導致第三方和開源組件缺乏可見性和透明度,在嘗試識別和修復漏洞時帶來網(wǎng)絡戰(zhàn)。這就引出了一個問題:為何這個問題在汽車行業(yè)如從零部件供應商的角度來看,其面臨的主要困境源于其碼庫的特性——這些代碼庫往往歷經(jīng)多個車型年周期和源生態(tài)系統(tǒng)(其組件通??赏ㄟ^包管理器中的包名稱識同,專有組件通常缺乏標準化、通用且機器可讀的唯符。在缺乏包管理機制且開發(fā)歷史悠久的深度嵌入判斷代碼庫是否包含特定子組件。此外,SBOM具有層級征——組件或子組件的抽象層級取決于漏洞報告的粒度,總體而言,在汽車行業(yè)創(chuàng)建SBOM通常需要大量手性、且易出錯的工作,包括組件清單編制、與SBOM下級供應商共同定義標識符,以及將這些信息轉(zhuǎn)的SBOM格式。在其他領域,這一問題通常通過將掃描工成至CI/CD流水線來解決——這些工具可掃描代碼倉庫或產(chǎn)物,使開發(fā)者即使在軟件組件數(shù)量持續(xù)增加、發(fā)布周期),另一方面,客戶(包括整車廠和各級供應商)需要面處于軟件物料清單(SBOM)成熟度不同階段的供應商所有供應商都具備提供高質(zhì)量SBOM的能力——即便SBOM,也可能無法有效支持客戶端的漏洞管理。不同對同一組件的標識可能不一致,且專有組件、第三方組開源組件可能存在遺漏,即便漏洞管理責任明確歸屬于此外,客戶在缺乏獨立驗證的情況下,往往難以對SBO建立充分信心。此時二進制掃描技術展現(xiàn)出獨特價值,允許客戶直接從供應商交付范圍內(nèi)的固件文件生成SBO汽車行業(yè)漏洞管理的關鍵要素6我們進一步建議:所有供應商應為作為產(chǎn)品銷售的軟定義并提供清晰、唯一且機器可讀的標識符(如PURL、等)。這將確保SBOM生產(chǎn)方與使用方能維護統(tǒng)一),交換格式(如通用安全公告框架CSAF?),以確保供應鏈各方汽車行業(yè)漏洞管理的關鍵要素-通過網(wǎng)絡安全接口協(xié)議(CIA)及相關服務-非公開漏洞交換采用CSAF等標準化機器可讀格式-建立包含供應商協(xié)作預案的應急響應計劃-定期開展供應鏈漏洞管理專項網(wǎng)絡安全演練基于物料清單(BOM)和供應鏈信息,我們可以對已知掃描。集中式SDV(軟件定義車輛)電子控制單元(ECU的一個典型挑戰(zhàn)是漏洞數(shù)量龐大——特別是在采用大量件的現(xiàn)代SDV中,單個ECU的漏洞掃描結(jié)果可能輕松達個。然而,并非所有漏洞都具有相同的嚴重性高效的漏洞管理過程中,準確區(qū)分漏洞優(yōu)先級至關重要速響應機制能夠以恰當?shù)木o急程度降低風險,特別是當在安全損害時,這對避免安全事故尤為關鍵。為實現(xiàn)項的優(yōu)先級劃分,必須將漏洞發(fā)現(xiàn)置于具體項目背景下進進行威脅分析與風險評估(TARA)。這類TARA評估包具價值的上下文信息,例如當特定安全屬性遭到破壞可能面臨的最嚴重損害程度。這些信息可被重新用于例如,某項資產(chǎn)對特定安全屬性(如機密性)是否無求極低這類信息包含在TARA評估中,而漏洞具體會破安全屬性的信息則記錄在通用漏洞評分系統(tǒng)(CVSS)里。通過綜合這兩類數(shù)據(jù),就能實現(xiàn)基于具體上下文的二進制文件蘊含了重要且可直接應用的信息件、功能或參數(shù)是否被實際調(diào)用;漏洞相關代碼在運行的真實活躍度。將這些信息與漏洞數(shù)據(jù)交叉分析,可物料清單(BoM)-基于二進制-圖3:通過二進制分析與TARA評估實現(xiàn)高效風-利用現(xiàn)有威脅分析和風險評估(TARA制分析和TARA評估)的上下文優(yōu)先級排序方法。測真實案例驗證流程并獲取量化數(shù)據(jù):測試環(huán)個連接車內(nèi)外網(wǎng)絡的通信ECU(含兩個微控制),正向結(jié)果如圖4所示,通過二進制上下文分析將漏2,787個降至1,793個,再結(jié)合TARA評估后本演示通過API集成ONEKEY技術支持的ESCCycurAnalyze和ESCRYPTCycurRISK工具實現(xiàn)了優(yōu)先級3特定產(chǎn)品的通用漏洞漏洞21特定產(chǎn)品的通用漏洞漏洞21全部汽車品版本高危數(shù)量24該方案本質(zhì)上是基于二進制分析和TARA評估的雙維該方案本質(zhì)上是基于二進制分析和TARA評估的雙維優(yōu)先級排序體系。這種雙維度的基于上下文的優(yōu)先法,能夠?qū)⒎治鰣F隊的資源精準投放到關鍵領域,避汽車行業(yè)漏洞管理的關鍵要素9在網(wǎng)絡安全管理系統(tǒng)框架下,所有制造商的共同目標持車輛安全的高水平狀態(tài),特別是最大限度減少安生。漏洞監(jiān)控在此發(fā)揮著關鍵作用,能有效控制攻擊但這只是網(wǎng)絡安全監(jiān)控的一個維度。如圖5所示,完整體系可分為三大分支:漏洞監(jiān)控(本文重點論述),威該分類依據(jù)待監(jiān)控信息的不同來源進行劃分。針對)),解決方案。在這三大領域中,響應速度都是關鍵所在采用成熟的自動化解決方案來盡可能實現(xiàn)流程自動化漏洞監(jiān)控網(wǎng)絡威脅監(jiān)控漏洞數(shù)據(jù)庫漏洞賞金計劃開源情報(OSSINT)漏洞數(shù)據(jù)庫漏洞賞金計劃深網(wǎng)監(jiān)測離車數(shù)據(jù)(日志文件)車載數(shù)據(jù)(日志文件/實深網(wǎng)監(jiān)測離車數(shù)據(jù)(日志文件)車載數(shù)據(jù)(日志文件/實時數(shù)據(jù)/入侵檢測系統(tǒng))暗網(wǎng)監(jiān)測暗網(wǎng)監(jiān)測汽車行業(yè)在提升網(wǎng)絡安全監(jiān)控能力及漏洞管理這一關鍵環(huán)節(jié)的進程中面臨多重軟件物料清單(SBOM)質(zhì)量參差不齊、漏洞發(fā)現(xiàn)數(shù)量龐大、嵌入式軟件封閉規(guī)合規(guī)要求嚴苛,以及亟需建立跨系統(tǒng)聯(lián)動機制。通過引入行業(yè)最佳實踐,的威脅與風險分析(TARA)以及高效的漏洞優(yōu)先級排序,汽車產(chǎn)業(yè)將顯著提本文提出的雙維度(二進制分析與TARA評估)方法論不僅為漏洞管理提供決方案,更為相關衍生工作奠定了基礎——例如將已識別漏洞反饋至TARA持續(xù)優(yōu)化閉環(huán)。此外,供應鏈協(xié)同將成為應對新威脅的關鍵:采用CSAF等格式實現(xiàn)高效漏洞信息交換,從而全面提升響應速度與運營效率。通過積極挑戰(zhàn),配合網(wǎng)絡安全監(jiān)控的其他關鍵維度(如威脅情報與產(chǎn)品監(jiān)控),汽車幅增強針對網(wǎng)絡威脅的防御韌性,助力制造商筑牢軟件定義汽車與智能網(wǎng)聯(lián)汽車行業(yè)漏洞管理的關鍵要素11ESCRYPT漏洞管理解決方案為您的產(chǎn)品安全保駕護航,提供自動化固件分析、1)/ww/media/a_flyer/etas-automotive-cyber-maturity-report-2024-en-2)/article/20180202/ANE/180209932/mercedes-touts-new-a-class-as-smartphone-on-wh5)/report/2021/minimum-elements-software-bill-materi與計算中間件解決方案、以及安全、信息與診案。我們的產(chǎn)品解決方案和服務使汽車制造商

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論