美国汽车网络安全最佳实践
美国汽车网络安全最佳实践
E安全·独家译制
第1.0节:背景
随着汽车日益自动化与不断联网,汽车系统的安全性与完整性成为汽车行业的当务之急。2016年1月发布的主动安全原则(the Proactive Safety Principles)表明企业行业合作提升乘客安全的承诺。第四个原则“提升汽车网络安全”的目标就是探索并采取方法共同应对可能出现不合理安全或安全风险的网络威胁。这包括制定最佳实践,以确保机动车辆的生态系统安全。
为了进一步实现这个目标,汽车信息共享与分析中心(Automotive Information Sharing and Analysis Center,英文缩写Auto-ISAC,以下简称“Auto-ISAC”)担负着制定并维护一系列汽车网络安全最佳实践(Automotive Cybersecurity Best Practices)的任务,包括管治、风险管理、安全设计、检测威胁、事件响应、培训以及与相关第三方合作。
最佳实践详细阐述汽车网络安全最佳实践框架(Framework for Automotive Cybersecurity Best Practices)。此框架由汽车制造商联盟(the Alliance of Automobile Manufacturers)和全球汽车制造商协会(the Association of Global Automakers)于2016年1月联合发布。Auto-ISAC与这两大行业协会密切合作推动制定最佳实践。这些最佳实践遵循其它信息共享与分析中心(以下简称“ISAC”)设定的先例以及类似组织在各自行业制定的最佳实践。
第2.0节:简介
2.1目的
最佳实践为个别企业如何在各自组织机构内部实施“提升汽车网络安全”原则给予指导。此文档是最佳实践的行动纲要。
2.2适用范围
最佳实践关注机动车辆生态系统内部以及整个汽车生命周期的产品网络安全。这里主要是指美国轻型、行车车辆,但也适用于其它汽车市场,包括重型以及商用车辆。最佳实践内容特意保留灵活性,允许个性化的实施并支持全球汽车制造商的国际应用。
虽然参与的汽车制造商肩负着车辆网络安全的共同使命,但他们的电子构架、联网服务与组织结构大相近庭。因此,最佳实践没有规定具体的技术或组织解决方案。
Auto-ISAC将不时更新最佳实践解决新兴网络安全领域的问题并反映不断变化网络格局。
2.3基于风险的方法
最佳实践根据基于风险的方法帮助汽车制造商和行业利益相关者管理并缓解车辆的网络安全风险。基于风险的方法让所有组织机构(无论规模大小、汽车技术或网络安全成熟度如何)以适当的方式将最佳实践应用到各自的系统、服务和组织结构。
网络安全专家认为,未来汽车要实现零风险不可能、也不现实,最佳实践强调风险管理,包括识别风险以及采取合理的措施降低风险。
2.4 受众目标
最佳实践主要指导汽车制造商实施最佳实践。机动车辆组件供应商也许还会考虑在具体制度、过程和政策内应用最佳实践。
2.5权威与相关参考资料
最佳实践未形成评估或合规框架,没有强制规定的要求。每个汽车制造商将决定是否和/或如何在内部应用最佳实践。
最佳实践参考了美国国家标准与技术研究院(National Institute of Standards and Technology,英文缩写NIST)、国际标准化组织(International Organization for Standardization,英文缩写ISO)、SAE International国际自动机工程师学会和其它组织机构的标准和框架概念。
此外,最佳实践的适用范围和内容反映了其它ISAC以及行业最佳实践的深度回顾与基准。这里所指的是解决信息技术、供应链和制造安全的行业最佳实践。最佳实践不重述这些领域的现有最佳实践。
2.6关键术语
行动纲要中的术语定义如下:
术语 | 定义 |
关键网络安全功能 (“功能”) | 最佳实践分类的水准。指导管理车辆网络风险的功能 |
最佳实践声明 | 识别管理或技术活动提升车辆网络安全的声明 |
参考模型 | 一类文件,用来获取并整理所有按功能分类的最佳实践声明 |
最佳实践指南 | 提供更多细节和实施指导的特定功能指南 |
第3.0节: 关键网络安全功能
最佳实践包含7大功能。该框架定义了影响汽车网络安全的5大指导原则,这些原则应用在“最佳实践即功能”中。
·设计安全
·风险评估与管理
·威胁检测与保护
·事件响应
·第三方合作与参与。最佳实践还解决两大额外功能:
·管治
·意识与培训
总之,这7大功能覆盖影响机动车辆生态系统的各种因素。功能之间相互影响,并且许多最佳实践适用于功能和汽车生命周期阶段。
为了让成员与相关行业利益相关者受益,Auto-ISAC正在补充最佳实践资料。附加的最佳实践资料包括:
·参考模型:整理所有最佳实践,以及
·最佳实践指南:提供信息支持与实施指导。
参考模型与个别最佳实践指南中的某些内容可能涉及机密,因此此类资料可能仅限于Auto-ISAC成员使用。
第4.0节:最佳实践概述
4.1管治
有效的管治将车辆网络安全计划与组织机构的使命与目标相结合。此外,强有力的管治能帮助促进并维护网络安全文化。最佳实践没有规定车辆网络安全管治的特定模式,但会考虑组织设计与功能的角色和责任相符。管治与问责制最佳实践包括:
·定义产品安全的执行监管。
·利用定义的组织角色和责任让组织解决车辆网络安全。
·与所有相关内部利益相关者沟通监管责任。
·为企业的网络安全活动贡献资源。
·建立管治程序,以确保遵守法规、内部政策与外部承诺。
管治与问责制最佳实践参考ISO/IEC 27001—信息安全管理(ISO/IEC 27001—Information Security Management)和其它网络安全管理参考资料。
4.2风险评估与管理
风险评估与管理策略旨在缓解网络安全漏洞的潜在影响。最佳实践注重识别、分类、排序、以及处理可能导致安全和数据安全的网络安全风险过程。风险管理流程可以帮助汽车制造商识别和保护关键资产,协助制定保护措施,并帮助制定运营风险决策。风险评估与管理最佳实践包括:
·建立规范的流程,以识别、衡量、并优先考虑网络安全的风险源。
·建立一个决策过程,以管理确定的风险。
·拟定一个流程,向利益相关者报告并通知风险。
·监控并评估识别的风险变化,将其作为风险评估反馈的一部分。
·将供应链纳入风险评估。
·建立一个流程确认关键供应商合规,以验证安全要求、指南和培训。
·在最初车的辆开发阶段加入风险评估,并在车辆的生命周期的各个阶段重新评估。
风险评估最佳实践参考NIST 800-30:风险评估指南(NIST 800-30: Guide for Conducting Risk Assessments)以及其它既定资源。
4.3设计安全
安全车辆设计包括在产品开发阶段整合硬件与软件的网络安全功能。设计安全最佳实践包含:
·在设计过程初期与关键阶段考虑相应的安全风险。
·识别并解决设计过程出现的潜在威胁和攻击目标。
·考虑并理解减少攻击面的适当方法。
·增强网络安全防御,实现深度防御。
·确定信任边界并使用安全控制保护信任边界。
·在开发过程中加入安全设计审查。
·强调车辆内外的安全连接。
·限制网络互动,并帮助确保环境适度分离。
·测试硬件和软件,以作为组件测试的一部分评估产品的完整性和安全性。
·执行软件层漏洞测试,包括软件单元和集成测试。
·测试并验证整车级安全系统
·证实并验证所有软件更新(不管采取什么更新方法)。
·按照《汽车技术与服务消费者隐私保护原则》(Consumer Privacy Protection Principles for Vehicle Technologies and Services)考虑数据隐私风险和要求。
安全设计最佳实践参考SAE J3061:网络物理车辆系统的网络安全指南(SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems)、NIST 800–64:系统开发生命周期的安全考量(NIST 800–64: Security Considerations in the Systems Development Lifecycle)、NIST SP 800–121:蓝牙安全指南(NIST SP 800–121 Guide to Bluetooth Security)、NIST SP–127:保护WiMAX无线通信指南(NIST SP–127: Guide to Securing WiMAX Wireless Communications)、ISO 17799:移动手机安全(ISO 17799: Mobile Phone Security)以及其它既定资源。
4.4威胁检测与保护
通过检测威胁、漏洞和事件实施的主动网络安全措施能让汽车制造商缓解相关风险和后果。威胁检测过程能提高对可疑活动的认识,从而采取主动补救和恢复措施。威胁检测与保护最佳实践包括:
·使用符合整体风险管理程序的过程评估风险并处理确定的威胁和漏洞。
·借助威胁监控告知基于风险的决策,通过了解和预测现有和新型威胁降低企业风险。
·通过各种手段,包括日常扫描和测试风险最高的领域,从而识别威胁和漏洞。
·协助对车辆操作系统、车辆服务和其它联网功能进行异常检测,注意考虑隐私。
·概括组织如何管理外部各方的漏洞披露。
·按照内部流程将威胁和漏洞报告给相关第三方。
威胁检测与保护最佳实践参考NIST 800–137:联邦信息系统与组织的信息安全持续监控(NIST 800–137: Information Security Continuous Monitoring for Federal Information Systems)以及ISO/IEC 30111:处漏处理程序(ISO/IEC 30111: Vulnerability Handling Procedures)以及其它既定资源。
4.5事件响应与恢复
事件响应计划文档意在通知相关方对机动车辆生态系统的网络安全事件做出响应。最佳实践包括以可靠敏捷的方式从网络安全事件中恢复过来的协议,以及确保连续过程改进的方式。事件响应与恢复最佳实践包括:
·从通过补救和恢复以识别与遏制事件的角度出发,制定事件响应生命周期。
·确保事件响应小组到位,以协调整个企业对车辆网络事件做出响应。
·进行定期测试和事件模拟,以提升事件响应小组的预备能力。
·识别并验证车辆网络事件发生的源头。
·确定车辆网络事件的实际和潜在广泛影响。
·控制事件,以消除或减轻严重程度。
·推进采取及时恰当的措施,以补救车辆网络事件。
·恢复标准车辆功能和企业经营;解决车辆网络事件的长期影响。
·通知车辆网络事件的内部和外部利益相关者。
·根据经验教训不断改进事件响应计划。
事件响应最佳实践参考NIST SP 800–61:计算机安全事件处理指南(NIST SP 800–61: Computer Security Incident Handling Guide)、ISO/IEC 27035:2001信息安全事件管理(ISO/IEC 27035:2011 Information security incident management)以及其它既定资源。
4.6培训与意识
培训与意识项目有助于培育安全文化并增强车辆的网络安全责任。培训与意识最佳实践强调组织的培训与意识,增强利益相关者对网络安全风险的理解。培训与意识最佳实践包括?
·在机动车辆的生态系统中建立内部利益相关者培训计划。
·涵盖IT、移动和汽车特有的网络安全意识。
·培养员工的安全意识、角色与责任。
·按角色制定培训与意识计划。
培训与意识最佳实践参考NIST SP 800–50:构建信息技术安全意识和培训计划(NIST SP 800–50: Building an Information Technology Security Awareness and Training Program)以及其它既定的网络安全培训资源。
4.7相关第三方的合作与参与
防范网络攻击往往需要多个利益相关者共同合作,以提高网络威胁意识和网络攻击响应。当面对网络安全挑战时,汽车行业致力于与第三方共同合作,包括同行企业、供应商、网络安全研究人员、政府机构和Auto-ISAC。合作与参与最佳实践包括:
·将资料和数据发放给第三方之前,使用标准化的分类过程检查资料和数据。
·与行业机构合作,比如Auto-ISAC、汽车制造商联盟、全球汽车制造商协会及其它机构。
·与政府机构合作,包括美国国家公路交通安全管理局、国家标准与技术研究所、美国国土安全部、美国计算机应急准备小组、联邦调查局和其它机构。
·与学术机构和网络安全研究人员合作,网络安全研究人员是威胁识别与缓解的额外资源。
·建立伙伴关系并达成合作协议,以提升车辆的网络安全。
合作与参与最佳实践参考NIST SP 800–150:网络威胁信息共享指南(NIST SP 800–150: Guide to Cyber Threat Information Sharing)、ISO/IEC 27010:2012-跨部门与跨机构通信信息安全管理(ISO/IEC 27010:2012 - Information Security Management For Inter-Sector And Inter-Organizational Communications)以及其它既定资源。
第5.0节:最佳实践的实施
最佳实践无意,也不应被解释为,强迫Auto-ISAC个体成员、汽车制造商联盟或全球汽车制造商协会采取具体行动或措施。每个汽车制造商具备独特的网络安全需求和能力。因此,最佳实践可能并不适用于某些组织或组织部分。因此,这些最佳实践提供建议措施。
第6.0节:结论
网络安全是机动车辆生态系统中Auto-ISAC成员和利益相关者关注的头等大事。这些最佳实践能在产品层面引导有效的风险管理,并进一步提升汽车行业的安全性与灵活性。
随着机动车辆生态系统风险环境不断变化,Auto-ISAC成员致力于不断更新最佳实践。
E安全门户网站10月27日更多网络安全资讯:
美国国土安全部急于在奥巴马卸任前制定《国家网络应急响应新计划》
利用LDAP服务器的新型DDoS攻击可将攻击放大46-55倍
Dyn披露DDoS攻击细节:幕后是10万台的物联网设备僵尸网络
新加坡继美欧后遭黑客攻击 部分用户断网
美国国家科学基金会拨款支持物联网安全研究
.............
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。