摘要
汽车制造商正面临数字威胁的持续增长,这使得漏洞管理成为衡量网络安全水平的核心指标1。这一重大挑战具有普遍性且并非新问题:所有完成数据和流程数字化的企业都经历了这一转变,并制定了应对软件漏洞的策路与方法。然而,汽车作为全面数字化转型的复杂实体,其漏洞管理具有独特性——首要原因在于供应链各环节需共同承担责任,以最大程度保障道路使用者的安全。
本白皮书深入探讨汽车行业的漏洞管理,针对当前企业面临的三大核心挑战提出解决方案:软件物料清单(SBOM)质量、供应链信息流管理以及海量漏洞发现处理。文中阐述了如何通过创新方法提升流程效率与合规性,并展望了将漏洞管理纳入主动式安全监测体系的整体方案。
1.引言
推动软件定义汽车(SDV)发展的多重因素,正使现代车辆面临日益广泛的网络攻击威胁:更复杂的技术栈集成、不断增加的连接选项、电子控制单元(ECU)的集中化,以及自动驾驶和高级驾驶辅助功能带来的额外复杂性等(仅列举部分因素)。随着法律要求的持续演进,未来软件定义汽车发展之路上,威胁态势将进一步加剧(如右图所示)。
为此,整车厂(OEM)与供应商需构建覆盖车辆全生命周期的完善安全体系,以确保合规性,同时保护行车安全、数据隐私及整车功能。即使在当前环境下,网络安全措施的管理已颇具挑战,而未来其重要性将更加凸显。这些挑战既源于汽车行业的技术与组织特性,也来自相关法规的要求这些与漏洞管理相关的挑战看似具有普适性。毕竞,从小型手持设备到复杂的企业IT系统,所有数字化产品都面临着日益增长的漏洞威胁(如图2所示)。数十年来,应对这种情况已成为许多企业的日常业务。随着互联互通水平和跨平台应用的提升,行业间的界限已逐渐模糊。车辆已从机械化的独立运输工具,转变为与现实世界多种实体交互的联网驾驶计算机,常被称为“带轮子的智能手机”2.事实上,现代软件定义汽车与智能手机有许多共同点:安卓信息娱乐系统、第三方应用、WLAN,LTE、蓝牙、NFC、云端固件更新等。
然而,车辆是独特的系统。它们具有特定的硬件和软件组件,以及适应复杂机械实体需求的IT架构。现代汽车包含约50至150个电子控制单元(ECU),这为黑客提供了庞大而危脸的攻
击面。由于大多数ECU都集成了微控制器/微处理器、存储器、传感器接口和通信模块,漏洞可能出现在硬件或固件的多个环节。
更重要的是,许多ECU能直接影响车辆的物理运行特性。因此,与消费电子产品相比,安全事件导致的故障可能造成更严重的后果——道路使用者可能面临风脸。
汽车行业需要既能应对共性又能解决个性问题的、面向未来的高效漏洞管理方案。企业既可采用ETAS等专家的汽车专用工具,也可借鉴跨行业的最佳实践。当其他领域已有成熟解决方案或可高效利用协同效应时,无需重复造轮子。
本文来自知之小站
PDF完整报告已分享至知识星球,微信扫码加入立享4万+最新精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
