Security is a process，not a product（安全不在于單一的產(chǎn)品，而是更多體現(xiàn)于流程）——Bruce Schneier。

新思科技中國區(qū)資深咨詢服務(wù)專家俞之浩提出，在軟件產(chǎn)品的全生命周期中，需要不斷對風(fēng)險(xiǎn)進(jìn)行梳理、評估、分析，導(dǎo)出相關(guān)的安全目標(biāo)與需求，最終在研發(fā)階段得到實(shí)現(xiàn)，并對產(chǎn)品進(jìn)行驗(yàn)證、測試、后期運(yùn)營維護(hù)。當(dāng)新的產(chǎn)品形態(tài)出現(xiàn)，前述所有流程需要再度經(jīng)歷循環(huán)迭代，以保證軟件全生命周期的安全性。

新思科技中國區(qū)資深咨詢服務(wù)專家俞之浩

ISO/SAE 21434基于汽車軟件開發(fā)全鏈條的網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)

隨軟件定義汽車時(shí)代的到來，一方面，車內(nèi)軟件代碼急劇增加，系統(tǒng)復(fù)雜度提升的同時(shí)，漏洞出現(xiàn)的頻率也直線上升，卡耐基梅隆大學(xué)軟件工程學(xué)院研究數(shù)據(jù)表明：常規(guī)水平下，每百萬行代碼大約有6000個(gè)缺陷或漏洞；在優(yōu)異水平下，每百萬行代碼也會有600個(gè)以內(nèi)的漏洞。另一方面，網(wǎng)聯(lián)化使得汽車同外界互聯(lián)的端口增多，云端、手機(jī)端、無線通訊接口、車載網(wǎng)絡(luò)、外接設(shè)備都可能成為汽車的被攻擊面。

因此，行業(yè)內(nèi)對于汽車軟件安全開發(fā)與維護(hù)的重視度也在不斷提升。2021年8月，汽車信息安全領(lǐng)域首個(gè)國際標(biāo)準(zhǔn)ISO/SAE 21434正式發(fā)布，該文件定義了汽車電子電氣系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理要求，覆蓋概念、開發(fā)、生產(chǎn)、運(yùn)維、報(bào)廢等全生命周期的各個(gè)階段，針對安全編碼規(guī)范、安全功能相關(guān)測試、風(fēng)險(xiǎn)相關(guān)測試等部分闡明標(biāo)準(zhǔn)與提供指導(dǎo)。涉及“如何在傳統(tǒng)車輛開發(fā)模型中嵌入安全相關(guān)的具體控制節(jié)點(diǎn)”;“如何將安全開發(fā)生命周期的流程嵌入現(xiàn)有的產(chǎn)品開發(fā)生命周期中”等行業(yè)難點(diǎn)。

圖片來源：新思科技

俞之浩特別提到，除了開發(fā)生命周期管理以外，ISO/SAE 21434也強(qiáng)調(diào)車輛運(yùn)行周期中的安全管理，提出建立覆蓋汽車全生命周期的常態(tài)化、長效安全的管理模式。

ISO/SAE 21434總共被劃分為15個(gè)章節(jié)，前5-7章從宏觀上闡述了車輛網(wǎng)絡(luò)安全的總體要求：包含整體網(wǎng)絡(luò)安全管理、基于項(xiàng)目的網(wǎng)絡(luò)安全管理、持續(xù)網(wǎng)絡(luò)安全活動(dòng)。后續(xù)7章依據(jù)汽車全生命周期，定義了威脅分析與風(fēng)險(xiǎn)評估、概念開發(fā)、驗(yàn)證、生產(chǎn)、運(yùn)維等各環(huán)節(jié)的汽車網(wǎng)絡(luò)安全要求。

TARA、CAL、基于風(fēng)險(xiǎn)的相關(guān)測試

俞之浩著重對其中的兩個(gè)關(guān)鍵部分進(jìn)行了介紹：首先是概念開發(fā)階段的威脅分析與風(fēng)險(xiǎn)評估（Threat Analysis and Risk Assessment，以下簡稱TARA），以及TARA相關(guān)的網(wǎng)絡(luò)安全保障等級（CAL）。二是產(chǎn)品開發(fā)階段中基于風(fēng)險(xiǎn)的模糊測試與滲透測試。

具體而言，TARA的目的是在車輛產(chǎn)品開發(fā)早期識別潛在威脅和安全漏洞，綜合考慮攻擊性大小、影響范圍等因素，確定系統(tǒng)可能存在的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)等級，從而得出相應(yīng)的網(wǎng)絡(luò)安全目標(biāo)。TARA需要進(jìn)行七個(gè)步驟：資產(chǎn)定義、威脅場景分析、影響等級、攻擊路徑分析、攻擊可行性等級、風(fēng)險(xiǎn)確定、風(fēng)險(xiǎn)處置決策。

ISO/SAE 21434為每項(xiàng)資產(chǎn)（Asset）指定了一個(gè)網(wǎng)絡(luò)安全保障等級（CAL）。雖然車機(jī)搭載芯片的算力迭代速度極快，但隨著智能電動(dòng)化的發(fā)展，每輛車上的算力資源需要用于車控、網(wǎng)關(guān)、智駕、智能座艙、網(wǎng)絡(luò)安全等多個(gè)領(lǐng)域。因此需要合理統(tǒng)籌，將“好鋼用在刀刃上”。俞之浩表示，CAL意在對資產(chǎn)的不同安全等級進(jìn)行劃分和定義，結(jié)合TARA導(dǎo)出的安全目標(biāo)，CAL等級就可以被集成至網(wǎng)絡(luò)安全需求中，為開發(fā)團(tuán)隊(duì)提供資源分配上的決策依據(jù)。

圖片來源：新思科技

開發(fā)階段的測試又可以被分成兩種不同類型：一種是安全功能性測試；另一種測試則基于風(fēng)險(xiǎn)進(jìn)行，包含模糊測試、滲透測試等方式。其中模糊測試主要是向系統(tǒng)注入非法、畸形或非預(yù)期的輸入，以揭示軟件缺陷和漏洞，這種安全漏洞“掃雷”的方式通常依賴自動(dòng)化軟件工具達(dá)成目的。

滲透測試則需要測試人員從系統(tǒng)攻擊者的角度思考，屬于在計(jì)算機(jī)系統(tǒng)上進(jìn)行的授權(quán)模擬攻擊，旨在對系統(tǒng)安全性進(jìn)行評估。滲透測試人員使用與攻擊者相同的工具、技術(shù)和流程，來查找和展示系統(tǒng)弱點(diǎn)可能帶來的影響。

俞之浩表示，網(wǎng)絡(luò)安全團(tuán)隊(duì)可以將以上幾項(xiàng)環(huán)節(jié)有機(jī)結(jié)合，基于流程地去達(dá)成安全管理目標(biāo)。比如，首先進(jìn)行靜態(tài)安全代碼掃描與模糊測試，發(fā)現(xiàn)代碼中的潛在漏洞，再將報(bào)告結(jié)果披露給滲透測試方，從而使其能夠更有針對性地進(jìn)行模擬攻擊。

圖片來源：新思科技

俞之浩表示，只有完成各個(gè)環(huán)節(jié)的安全要求，才能形成組織化的安全能力，進(jìn)而在概念開發(fā)、驗(yàn)證、生產(chǎn)、運(yùn)維等全流程鏈條的網(wǎng)絡(luò)安全管理上實(shí)現(xiàn)協(xié)同效應(yīng)。

TARA、靜態(tài)代碼分析、漏洞掃描、模糊測試、滲透測試等具體安全活動(dòng)的實(shí)操要點(diǎn)

ISO/SAE 21434標(biāo)準(zhǔn)中涉及了六項(xiàng)具體安全活動(dòng)：TARA、靜態(tài)代碼分析、漏洞掃描、模糊測試、滲透測試以及網(wǎng)絡(luò)安全的監(jiān)控。俞之浩針對每一項(xiàng)活動(dòng)展開闡述，結(jié)合新思科技的行業(yè)經(jīng)驗(yàn)，著重介紹了這六項(xiàng)具體安全活動(dòng)在實(shí)操中的注意點(diǎn)。俞之浩看來，自動(dòng)化軟件的運(yùn)用、基于流程的思維方式、策略性地統(tǒng)籌規(guī)劃、常態(tài)化地安全監(jiān)控是網(wǎng)絡(luò)安全管理的四大關(guān)鍵點(diǎn)。

俞之浩表示，TARA非常依賴分析師的經(jīng)驗(yàn)與企業(yè)的自身積累。除此以外，網(wǎng)絡(luò)安全團(tuán)隊(duì)也可以利用自動(dòng)化工具驅(qū)動(dòng)，完成TARA實(shí)施中涉及計(jì)算的相關(guān)步驟，減少人為的誤差和不確定性，保證不同的分析人員能夠推導(dǎo)出一致性的結(jié)果。此外，如果需要實(shí)施TARA，企業(yè)需要整合并維護(hù)模板、漏洞等數(shù)據(jù)庫。

值得注意的是，TARA的實(shí)施必須基于產(chǎn)品的全開發(fā)流程。從循環(huán)狀流程圖可以看出，TARA會滲透在網(wǎng)絡(luò)安全管理的全生命周期中，需要隨時(shí)反映軟件的所有變化，以及這些變化對產(chǎn)品安全所造成的未知影響。

圖片來源：新思科技

靜態(tài)代碼掃描尤其依賴自動(dòng)化工具，值得慶幸的是，業(yè)內(nèi)已經(jīng)有許多自動(dòng)化工具可以幫助制造商應(yīng)對這些挑戰(zhàn)，例如，新思科技所提供的Coverity?靜態(tài)應(yīng)用安全測試工具就可以在不運(yùn)行軟件的情況下分析源代碼，可以幫助發(fā)現(xiàn)緩沖區(qū)溢出、信息泄漏、內(nèi)存損壞和代碼中的其它缺陷。類似于靜態(tài)代碼掃描，漏洞掃描同樣依賴自動(dòng)化軟件工具，比如Black Duck?軟件組成分析工具就可以檢測目標(biāo)系統(tǒng)開源組件中的已知漏洞。俞之浩特別補(bǔ)充，自動(dòng)化工具運(yùn)用也需要結(jié)合具備策略性的實(shí)施方案。

基于風(fēng)險(xiǎn)的模糊測試、滲透測試可以搶在黑客攻擊之前找出應(yīng)用和服務(wù)中的漏洞。其中模糊測試更多是去針對接口和系統(tǒng)內(nèi)部邏輯， 滲透測試則已經(jīng)得到了業(yè)內(nèi)的廣泛應(yīng)用。值得注意的是，除了自動(dòng)化工具、策略性的應(yīng)用之外，要達(dá)到網(wǎng)絡(luò)安全管理，企業(yè)還需要配合進(jìn)行常態(tài)化的網(wǎng)絡(luò)安全監(jiān)控與反饋。

俞之浩補(bǔ)充，越來越多構(gòu)建云原生應(yīng)用的企業(yè)在采取以開發(fā)人員為中心的安全策略和安全“左移”，以便開發(fā)人員能夠盡量在開發(fā)生命周期早期進(jìn)行安全測試。

安全不在于單一的產(chǎn)品，而是更多體現(xiàn)于流程。如何達(dá)到這個(gè)目的，新思科技也提出了相關(guān)策略。比如說，軟件開發(fā)階段由于代碼巨量而導(dǎo)致漏洞掃描時(shí)間過長，這在一定程度上會影響交付的進(jìn)度。新思科技通過建立軟件安全構(gòu)建成熟度模型（BSIMM），將安全風(fēng)險(xiǎn)以數(shù)字化和可視化的方式進(jìn)行呈現(xiàn)，通過分析和儲存大量的網(wǎng)絡(luò)安全項(xiàng)目的數(shù)據(jù)，以“他山之石”幫助企業(yè)更具策略性地針對風(fēng)險(xiǎn)等級較高的模塊進(jìn)行掃描，降低其他模塊的掃描頻率，從而加快項(xiàng)目進(jìn)度。

圖片來源：新思科技

軟件安全構(gòu)建成熟度模型（BSIMM）不僅可以應(yīng)用于以上領(lǐng)域，作為新思科技推出的測量和評估軟件安全計(jì)劃工具，BSIMM首版于2008年推出，通過收集大量企業(yè)在網(wǎng)絡(luò)安全管理上的真實(shí)數(shù)據(jù)，打造開放的標(biāo)準(zhǔn)，旨在建立基于軟件安全實(shí)踐模塊的框架，幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計(jì)劃，協(xié)助企業(yè)同其他網(wǎng)絡(luò)安全團(tuán)隊(duì)做橫向與縱向的比較，BSIMM迄今已迭代12個(gè)版本。

（以上內(nèi)容根據(jù)新思科技中國區(qū)資深咨詢服務(wù)專家俞之浩于2022年8月25日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發(fā)表的《ISO/SAE 21434時(shí)代的安全汽車軟件開發(fā)》主題演講進(jìn)行理解和整理。）

返回第一電動(dòng)網(wǎng)首頁 >