掌握攻防兩端最新狀態 VicOne優化智慧車資安機制
智慧化浪潮席捲汽車產業,連網機制成為車載系統的設計重點,然而通訊連網在提供便利功能的同時也帶來安全風險,近年車載系統資安事件的發生頻率已逐漸升高,為協助業者進一步了解駭客手法、掌握市場上的汽車資安方案,趨勢科技子公司VicOne特於CYBERSEC 2022臺灣資安大會中舉辦「資安品牌日」,邀請趨勢科技車用資安專家從實際的攻擊案例與情境、Automotive TARA、防禦策略、解決方案等不同面向發表精采演說。
駭客攻擊車載系統的手法繁多,趨勢科技全球核心技術部門技術顧問Aaron Luo在「汽車攻防秘辛–改車偷車不求人」演講中指出,現在駭客影響汽車內部系統管道有三,物理層面(OBD-II、USB、攝影機辨識…等)、無線通訊層面(GSM/GPS/ RFID/BLE…等)與App/Cloud(使用者的App/車廠後端維護…等),這三個管道目前已出現多起入侵案例,例如透過USB I/O埠更改車載系統韌體、植入惡意程式等事件,汽車大廠Mazda、BMW都曾受害。
無線通訊層主要是透過射頻技術破解系統,App/Cloud則是經由在智慧車系統中愈來愈普及的各種應用程式與雲端平台進入,由此可看出現在汽車的風險來自四面八方,因此他呼籲系統也須採複合式防禦設計,汽車的安全才會有保障。他並以針對知名車廠的一個高風險CVE-2018-1170 汽車漏洞為例示範,駭客可透過App、無線通訊與OBD-II dongle,從外部進入車載系統控制車輛的各種功能,藉此提醒設計者補強系統漏失。而VicOne是產業中少數以汽車資安為核心業務的業者,透過長期的專業聚焦能協助找出系統破口,並建構對應的資安機制。
隨著車在系統連網功能的普及,TARA (Threat Analysis and Risk Assessment,威脅分析與風險評估)的重要性急遽升高,趨勢科技Automotive Threat專家Shin Li指出,2014年美國高速公路安全委員會為了應對未來聯網車輛的普及,開始著手於車用Tara流程的研究。目前車載系統的主要安全規範有二,ISO 26262(HARA)以系統內部危害分析與風險評估為主,ISO21434則進一步加深對資訊系統以及聯網功能的的威脅分析與風險評估。
除了上述兩大規範外,近期世界車輛法規協調論壇(WP29)通過的「網路安全管理系統」法規中要求,汽車業者必須遵守的汽車網路安全法規,無論是哪個規範與法規,皆是希望可藉此降低車輛資安事件的發生機率。
趨勢科技資深業務經理陳瑩芳緊接著介紹VicOne的相關解決方案。她在「在智慧車安全道上,給您抵擋駭客攻擊的智慧之道,談最新車用資安技術和產品對策」演講中點出,汽車架構複雜,產業供應鏈的資安漏洞與風險也相對提升,近期日本汽車大廠供應鏈被駭的事件僅是其一。由於汽車系統攸關人命,供應商的風險將影響最終使用者,再加上現在侵入汽車系統的門檻已經大幅降低,因此業者必須正視其資安防範。
VicOne作為資安領導大廠趨勢科技的子公司,自成立後就聚焦在車用資安領域,目前已推出多款解決方案。其中xCarbon為整合零摩擦的車用入侵偵測防護系統,考量不同的汽車電子電氣架構(EEA)和元件級(ECU)整合,將電子控制單元(ECU)效能影響降至最低,可兼顧汽車的安全性與ECU效能。並有即時部署虛擬補丁或入侵預防系統規則,以防止、攔截漏洞攻擊;xZETA的多層次安全設計,可防堵已知或不明的漏洞、潛在惡意軟體與後門風險;xNexus是擁有偵測及回應能力的汽車專用資訊安全平台(VSOC);xSUMO為強化資安設計的韌體更新系統(OTA);xScope則是車用等級滲透測試,可提供車載系統業者不同級別的測試選擇需求,透過上述解決方案與VicOne的完善服務,系統業者將可大幅強化旗下車用產品的資安機制。
除了駭客攻擊手法、資安法規與解決方案,論壇也邀請趨勢科技技術經理Reece Chen講解整車的攻防演練。在介紹駭客侵入車內IVI、TCU、閘道器等關鍵元件手法的同時,也展示VicOne的車內端點保護(in-vehicle security)如何確保重要部件安全,並透過xNexus雲端管理平台掌握攻擊與回應狀況。此外對於UNECE R155規範中要求車廠針對供應商進行的弱點管理,他也展示了弱點管理及惡意程式掃描的作法。從智慧車資安論壇的專家演說可看出,安全成智慧車發展的關鍵議題,資安更是車載系統的重點設計考量,VicOne旗下的解決方案將可協助供應商取得車廠信任,順利打造效能與安全兼具的車載系統,從而掌握智慧車龐大商機。