導(dǎo)讀:一個(gè)系統(tǒng)的脆弱性的關(guān)鍵評(píng)價(jià)指標(biāo)是其連接接口的安全性,無(wú)論是遠(yuǎn)程還是本地連接。最容易受到攻擊的是具有無(wú)線接口的部件(如信息娛樂系統(tǒng)),具有容易訪問(診斷)接口的部件和網(wǎng)絡(luò),以及具有外部通信連接(如用于下載數(shù)據(jù))的部件及其周圍網(wǎng)絡(luò)。
1、車載IDS正成為持續(xù)網(wǎng)絡(luò)安全保護(hù)的核心要素
持續(xù)的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)管理正成為VTA的要求。通過IDS車載入侵檢測(cè)可以為整個(gè)車隊(duì)提供信息安全保護(hù)。但是,分布式IDS的指導(dǎo)原則是什么?
為了滿足UNECE.WP29法規(guī)要求,整車生產(chǎn)商和車隊(duì)運(yùn)營(yíng)商必須對(duì)其車輛的網(wǎng)絡(luò)安全采取一種基于風(fēng)險(xiǎn)的評(píng)估方法。聯(lián)合國(guó)第155號(hào)條例(UN R155)以及ISO/SAE 21434規(guī)定,需要在車輛全生命周期內(nèi)對(duì)整個(gè)車隊(duì)進(jìn)行持續(xù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理。因此,在未來(lái),持續(xù)的狀態(tài)監(jiān)測(cè)和基于風(fēng)險(xiǎn)的安全措施將成為汽車網(wǎng)絡(luò)安全的重要組成部分。
2、分布式 IDS四個(gè)決定性因素
當(dāng)涉及到車隊(duì)時(shí),車載入侵檢測(cè)系統(tǒng)(IDS)通常是基于風(fēng)險(xiǎn)的持續(xù)保護(hù)的關(guān)鍵組成部分,以防止網(wǎng)絡(luò)攻擊。但在這種情況下,操作IDS可能是一個(gè)真正的挑戰(zhàn),因?yàn)镋/E架構(gòu)本質(zhì)上依賴于分布式系統(tǒng),其中車輛功能和ECU通過不同的軟件和硬件平臺(tái)以及不同的通信協(xié)議以各種方式進(jìn)行交互。這就是為什么在車輛應(yīng)用中有效的入侵檢測(cè)需要一個(gè)分布式IDS。
確切地說(shuō),如何整合這種基于風(fēng)險(xiǎn)的分布式IDS,取決于每輛車的具體E/E架構(gòu)。我們所需要的是一種解決方案,它不僅可以根據(jù)車輛系統(tǒng)的安全風(fēng)險(xiǎn)和所需的保護(hù)水平進(jìn)行評(píng)估,還可以根據(jù)E/E架構(gòu)的技術(shù)參數(shù)或資源限制尋求平衡。以下四個(gè)決定因素有助于決定如何進(jìn)行:保護(hù)要求、攻擊矢量、實(shí)施和維護(hù)。
3、保護(hù)要求
入侵檢測(cè)天然就會(huì)被部署于網(wǎng)絡(luò)攻擊后果最嚴(yán)重的地方;換句話說(shuō),在信息安全關(guān)鍵系統(tǒng)或那些對(duì)車輛和車隊(duì)運(yùn)行至關(guān)重要的系統(tǒng)中。但僅僅監(jiān)控這些車輛系統(tǒng)是不夠的。入侵檢測(cè)系統(tǒng)穿透網(wǎng)絡(luò)和連接單元進(jìn)行監(jiān)測(cè)工作同樣重要,甚至更重要,即使這些網(wǎng)絡(luò)和連接單元被網(wǎng)關(guān)與安全域隔開。(圖1)
圖1:以簡(jiǎn)化的E/E架構(gòu)為例,對(duì)安全關(guān)鍵型車輛系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊的四個(gè)階段。第一階段是通過遠(yuǎn)程連接進(jìn)入車輛。第二階段是對(duì)具有遠(yuǎn)程接口的設(shè)備/系統(tǒng)的攻擊。第3階段是試圖通過車內(nèi)網(wǎng)絡(luò)到達(dá)目標(biāo)系統(tǒng)。第4階段是試圖對(duì)目標(biāo)系統(tǒng)進(jìn)行所需的操作。
4、攻擊媒介
一個(gè)系統(tǒng)的脆弱性的關(guān)鍵評(píng)價(jià)指標(biāo)是其連接接口的安全性,無(wú)論是遠(yuǎn)程還是本地連接。最容易受到攻擊的是具有無(wú)線接口的部件(如信息娛樂系統(tǒng)),具有容易訪問(診斷)接口的部件和網(wǎng)絡(luò),以及具有外部通信連接(如用于下載數(shù)據(jù))的部件及其周圍網(wǎng)絡(luò)。
5、實(shí)施資源
在E/E架構(gòu)中特別稀缺;這里必須考慮RAM、ROM和CPU負(fù)載等方面。還有一些重要的限制條件需要重點(diǎn)考慮。例如,CAN IDS要求在被監(jiān)控的總線上接收所有的CAN幀,由于性能原因,事先不在硬件中過濾信息。然后是人員和專家資源。只有那些在汽車領(lǐng)域具有特定專業(yè)知識(shí)的人才有能力配置IDS規(guī)則。此外,復(fù)雜的配置和定期更新減少了IDS的誤報(bào)數(shù)量,從而減輕了專家的負(fù)擔(dān)。
6、維護(hù)
一個(gè)IDS需要定期的引擎更新或臨時(shí)更新(例如,根據(jù)可能影響車輛的新攻擊)。它還需要定期的配置更新(至少是軟件更新或車內(nèi)通信更新),以確保異常檢測(cè)機(jī)制的不斷提升,并被來(lái)自現(xiàn)場(chǎng)的數(shù)據(jù)所檢驗(yàn)和豐富。
7、基于主機(jī)(Host)或網(wǎng)絡(luò)(Network)的IDS傳感器
車輛中分布式入侵檢測(cè)系統(tǒng)(IDS)的第一個(gè)且最重要的應(yīng)用是IDS傳感器。它們可以被描述為確保系統(tǒng)掌握著車輛ECU和網(wǎng)絡(luò)通信的脈搏。IDS傳感器的工作是識(shí)別所有安全事件(SEvs)--包括數(shù)據(jù)流量的異常—預(yù)示著車輛系統(tǒng)受到了網(wǎng)絡(luò)攻擊或未經(jīng)授權(quán)的訪問。
這里必須對(duì)基于主機(jī)的入侵檢測(cè)(基于主機(jī)的IDS,或HIDS)和基于網(wǎng)絡(luò)的入侵檢測(cè)(網(wǎng)絡(luò)IDS,或NIDS)進(jìn)行區(qū)分。由于HIDS傳感器直接監(jiān)測(cè)關(guān)鍵系統(tǒng)點(diǎn),它們位于個(gè)別ECU上,如信息娛樂系統(tǒng)的ECU。它們是根據(jù)主機(jī)的具體特點(diǎn)和功能定制的,這使它們能夠快速而精確地檢測(cè)到可疑活動(dòng)。然而,它們的視野僅限于單個(gè)ECU。
NIDS傳感器的情況就不同了:它們監(jiān)測(cè)特定網(wǎng)段的數(shù)據(jù)流量,不斷分析網(wǎng)絡(luò)、傳輸和應(yīng)用協(xié)議的任何可疑活動(dòng)。它們可以根據(jù)需要在車輛的內(nèi)部網(wǎng)絡(luò)中靈活地部署。但除了通過開放接口的攻擊外,NIDS只有在被攻擊的系統(tǒng)已經(jīng)被攻破后才會(huì)檢測(cè)到網(wǎng)絡(luò)攻擊或操縱。
8、分布式 IDS
分布式入侵檢測(cè)系統(tǒng)(分布式IDS,或dIDS)旨在將來(lái)自分布式車載系統(tǒng)的所有相關(guān)安全數(shù)據(jù)匯集起來(lái),形成安全狀況的完整圖景。在適當(dāng)?shù)那闆r下,它依賴于基于主機(jī)的傳感器的檢測(cè)精度或基于網(wǎng)絡(luò)的傳感器的更大范圍。它還能適應(yīng)車內(nèi)網(wǎng)絡(luò)使用的不同類型的通信標(biāo)準(zhǔn)組成的系統(tǒng)。通過這種方式,dIDS將整個(gè)車輛的SEvs聯(lián)系起來(lái)。
不同的IDS傳感器具有不同的功能。例如,AUTOSAR堆棧傳感器通常只滿足基本要求,如生成簡(jiǎn)單的錯(cuò)誤信息。另一方面,智能傳感器可以檢查復(fù)雜的事項(xiàng),并自主預(yù)過濾SEvs.它最終歸結(jié)為結(jié)合合適的傳感器并正確定位。
9、基于規(guī)則的方法
今天的車載IDS傳感器遵循異常狀況檢測(cè)的原則開展工作;它們將偏離正常操作的情況登記為SEvs。這就是NIDS傳感器如何將非定義的CAN ID或非定義的以太網(wǎng)MAC地址識(shí)別為潛在的IT SEvs。相比之下,一個(gè)HIDS傳感器將登記"它的 "ECU上診斷會(huì)話的非法驗(yàn)證重復(fù)嘗試。即使訪問失敗,在這種情況,也會(huì)被以SEvs的形式記錄下來(lái),因?yàn)樗鼈兛梢运阕鞫嚯A段攻擊(網(wǎng)絡(luò)攻擊鏈)的嘗試,因此可以被用于隨后的取證和風(fēng)險(xiǎn)狀況評(píng)估工作。
盡管如此,IDS的日志文件首先是關(guān)于檢測(cè)到的異常情況;這些可能表明網(wǎng)絡(luò)攻擊或試圖操縱,但也可能只是故障的結(jié)果。IDS還將記錄其他與安全有關(guān)的信息,如成功的軟件更新。因此,IDS傳感器的精確性和可靠性不僅取決于在E/E架構(gòu)中的正確定位,也取決于為其分配的規(guī)則。
10、將基于規(guī)則的IDS納入開發(fā)過程中
這種基于規(guī)則的入侵檢測(cè)的實(shí)用性在于這樣一個(gè)事實(shí),即車輛系統(tǒng),無(wú)論多么復(fù)雜,往往都是靜態(tài)的。原始設(shè)備制造商精確定義了系統(tǒng)中使用的組件和它們的工作方式,以及系統(tǒng)的資源消耗、協(xié)議和流量。更重要的是,與企業(yè)IT網(wǎng)絡(luò)不同的是,運(yùn)行中的車輛的系統(tǒng)架構(gòu)并不意味著會(huì)發(fā)生變化或重新配置。這些固定的配置一般可以通過采取基于規(guī)則的方法來(lái)實(shí)現(xiàn)。最終,最好的情況是車輛支持NIDS和HIDS傳感器的完全自動(dòng)配置。
然而,在實(shí)踐中,存在著一些挑戰(zhàn)。OEM技術(shù)規(guī)格必須是完整的、無(wú)缺陷的,并且在需要時(shí)可以使用。此外,信號(hào)內(nèi)容或物理規(guī)律必須被考慮到規(guī)則的擴(kuò)展。只有通過應(yīng)用特定的汽車工程知識(shí),才能將車輛系統(tǒng)的互動(dòng)轉(zhuǎn)化為一套有效的規(guī)則。這也說(shuō)明了為什么這種基于規(guī)則的IDS必須被納入到汽車開發(fā)過程中。如果是這樣的話,基于規(guī)則的IDS技術(shù)規(guī)范甚至需要在開發(fā)過程被測(cè)試驗(yàn)證。
11、IDS管理人員。對(duì)事件進(jìn)行鑒定,減少數(shù)據(jù)量
檢測(cè)發(fā)生在車輛部件和網(wǎng)絡(luò)流量中的SEvs與根據(jù)車輛和車隊(duì)所需的安全級(jí)別對(duì)這些事件進(jìn)行有效匯總、鑒定和評(píng)估同樣重要。dIDS在IDS管理器(IdsMs)和IDS報(bào)告器(IdsR)的幫助下,采用了額外的軟件組件。在這里,IdsMs作為控制點(diǎn),管理入侵檢測(cè)的效率。IdsM是所有由連接到它的IDS傳感器檢測(cè)到的SEvs匯集的地方。除了過濾這些事件外,它還有一個(gè)重要的任務(wù),就是去除任何噪音和非安全相關(guān)的事件。這里的目標(biāo)是將數(shù)據(jù)量減少到必要的數(shù)量,以便只有合格的安全事件(QSEvs)被轉(zhuǎn)發(fā)到后端進(jìn)行進(jìn)一步分析。
為此,必須在 IdsM 中為 IDS 傳感器記錄的 SEvs 定義一個(gè)中央數(shù)據(jù)格式。此外,IdsM中的過濾功能可以幫助確定哪些SEvs實(shí)際上被優(yōu)先考慮為相關(guān)的,從而作為QSEvs轉(zhuǎn)發(fā)給IdsR。這使得IdsM成為平衡傳感器收集的數(shù)據(jù)的適當(dāng)風(fēng)險(xiǎn)過濾和帶寬適當(dāng)?shù)臄?shù)據(jù)減少的元素。安裝在車輛網(wǎng)絡(luò)中的IdsMs的所有QSEvs最終匯集到IdsR中,IdsR將這些QSEvs集體發(fā)送到車輛安全運(yùn)營(yíng)中心(VSOC),以便對(duì)整個(gè)車隊(duì)進(jìn)行分析。(圖3)
12、AUTOSAR作為一個(gè)可擴(kuò)展的基礎(chǔ)
因此,IdsMs的規(guī)范為分布式入侵檢測(cè)提供了一個(gè)框架,必要時(shí)還可以通過各種HIDS和NIDS傳感器擴(kuò)展到E/E架構(gòu)。這就是為什么這些規(guī)范必須在OEM整個(gè)供應(yīng)鏈中得到考慮。為此,自R20-11以來(lái),基本的IdsM規(guī)范已被整合到Classic AUTOSAR和Adaptive AUTOSAR版本中。事實(shí)上,AUTOSAR R20-11版本是首次為AUTOSAR堆棧中的DIDS制定了一致的標(biāo)準(zhǔn)。然而,考慮到各種ECU的不同,AUTOSAR Classic往往提供非常有限的資源,該版本中定義的功能范圍代表了非常低的共同標(biāo)準(zhǔn)。
根據(jù)報(bào)告策略,當(dāng)系統(tǒng)可以在E/E架構(gòu)內(nèi)提供更高的計(jì)算能力時(shí),IdsM的功能范圍可以大幅擴(kuò)大,例如可以包括SEvs的更復(fù)雜的聚合以及更廣泛的過濾功能。AUTOSAR也尚未指定IdsR,這意味著除了AUTOSAR規(guī)范外,OEM還需要一個(gè)車載dIDS的全局概念。
來(lái)源:糖果 Autosar
