绿色与金色的碰撞,一直是经典色彩中的战斗机,冬天有冬天的奢华感,夏天有夏天的清爽感。
——
Delta Ultra系列的镜片是弧形切角,镜片两侧还带有独特的橡胶Logo设计。
VZUM KING金色镀膜镜片,适合在明亮的阳光下使用,提供颜色对比度与大程度的紫外线保护。
——
春光无限好,记得多出去骑行,然后把所有美好装进这一抹绿里。
#alba# #Albaoptics# #骑行眼镜#
——
Delta Ultra系列的镜片是弧形切角,镜片两侧还带有独特的橡胶Logo设计。
VZUM KING金色镀膜镜片,适合在明亮的阳光下使用,提供颜色对比度与大程度的紫外线保护。
——
春光无限好,记得多出去骑行,然后把所有美好装进这一抹绿里。
#alba# #Albaoptics# #骑行眼镜#
汽车被黑你怕不怕?整车信息安全强制性国标就要来了 (下)
源自:邓娅 智车星球
2、新的V字开发流程
有了新的标准限制,汽车的设计开发流程自然也要发生变化。类似于行业熟知的汽车V字型开发,汽车网络信息安全体系也有一套自己的V字开发流程。
车辆开发过程中,两个「V」会同步进行,既有交集,也会有相互矛盾的地方。
例如,在强调冗余功能安全层面,往往会有备用件的存在,一旦主件出现问题能快速切换;但对于信息安全,模块越多风险越高,此时就是两个「安全」的PK过程。当然,这需要结合具体产品的设计、企业的安全资产、导出的威胁模型等情况综合分析。
对于车企,信息安全体系V字的左边是搭建工作框架,包括安全方法论、安全框架、TARA标准、渗透测试标准、车外/车内安全需求、通讯安全需求等。这部分工作车企通常会委托德勤这类的咨询公司进行,咨询公司给到车企to do list,然后对应进行设计与搭建。
针对具体的车型将由车企进行TARA(威胁分析和风险评估)分析。该分析是通过计算已知和已登记目的网络威胁的影响和可行性来完成的,要求车企分析车辆整个生命周期的威胁和风险,以确定道路用户可能受到汽车网络威胁和漏洞的影响程度。
过程中,会有一些安全上的开发和改造,这可以由车企自己操作,也可以引入供应商。
TARA分析相当于搭建车辆安全的顶层设计,完成后车企会对上游零部件厂商提出相应的安全规范要求,并告知要做哪些相关工作。这便来到了「V」字的右边——生产和验证。
这可能会是一个往复的过程,大概的流程是零部件厂商接收到要求后,需要评估后设计,再通过TARA分析、渗透测试、Delta测试等验证步骤后再给车企提交报告,之后车企再进行验证。
当完成上述步骤,便要进入测试验证阶段,以确认在整个安全框架下所做的改造和设计是否存在漏洞,此时,就需要汽车信息安全检测服务供应商。
虽然现在很多车企都在建设对应的安全测试验证实验室,但由于安全难以自证「清白」,尤其在成为强制要求后,车企对网络安全方面的实施支持以及评估和认证服务的需求将进一步提升。
3、第三方服务商的机会
根据麦肯锡发布的《应对汽车信息安全的挑战》报告,到2030年,网络安全流程和解决方案市场的总和(包括执行这些活动所需的人员和工具)预计将达到34亿美元,其中网络安全流程的市场规模为24亿美元。
图 △截图来自麦肯锡《应对汽车信息安全的挑战》
网络安全流程包括与软件跟踪、风险管理、法规要求、流程合规性的认证/测试以及事件响应相关的活动,市场规模将在2025年左右达到顶峰,这取决于客户对质量的期望和不断增加的网络威胁,以及关于网络安全和软件更新的法规。在进行初始投资以实现合规性后,后续投资和扩展工作将减少。
其中,风险管理基本由咨询公司承包,第三方服务商和车联网安全初创企业重点放在了软件供应链安全以及流程合规性的认证/测试上。
前者主要包括整个开发过程中软件版本的管理、漏洞的覆盖、根据软件更新来验证不同组件版本之间的兼容性、根据软件更新评估对安全相关组件的影响等。这块服务并非一锤子买卖,而是跟随汽车的整个生命周期不断迭代,就像购买一个工具或服务后,每年会有订阅服务费一样。
而在检测和认证层面,目前来看,第三方的检测认证技术只是一个入门门槛,核心在于第三方服务商是否具有公信力、成为官方认可的检测认证结构。
除了上述业务之外,第三方供应商也可以在服务过程中打造出合规检测平台工具。据星舆车联网安全实验室主任许斯亮介绍,目前有不少做汽车传统功能安全检测的机构有拓展汽车网络信息安全检测业务的需求,但由于缺乏研发能力,便选择购买检测工具进行相关操作。
4、新的挑战
根据Upstream Security发布的《2022年全球汽车网络安全报告》,全球联网汽车将从2018年的3.3亿辆增长到2023年的7.75亿辆,增幅达134%。增长过程中,汽车行业受到的网络攻击规模、频率和复杂程度都在呈指数级增长,影响的范围也有所扩大,比如电动汽车充电站、保险、智慧城市等。
图△截图来自《2022年全球汽车网络安全报告》
长远看,汽车网络安全发展将成为必然趋势,即将推出的《汽车整车信息安全技术要求》只是一个开始,基于R156法规的强制性国家标准《汽车软件升级 通用技术要求》也会在之后推出。随着汽车智能化的发展,有关自动驾驶数据记录系统、自动驾驶预期功能安全等相关标准也会不断完善。
能预见的是,这些强制性标准的推出,会让汽车在开发生命周期中有更高的严格性、更多的功能要求以及更大的投资。
这给车联网安全从业者提供了机会,可以通过提供新产品、新服务来拓展业务。
对于车企,这是一次极好的提升企业竞争力的机会,当然,难度并不低。除了上述提到的采取更强大的工程要求和具有固有安全功能的体系结构设计形式,车企还需要具备对安全事件做出响应和监测、预防的能力。
后者不仅需要车企有「硬」实力,还需要车企对自身产品的漏洞有正确的认识态度。
由于网络信息安全涉及范围宽泛,有车企会选择充分利用白帽黑客和安全研究人员的力量和知识,实施激励计划,鼓励友好的黑客报告他们发现的漏洞,以使汽车被恶意利用之前修复问题。
但目前国内车企在面对类似的个人提交漏洞时,往往会有比较反感的态度,甚至会将其列入黑名单。
在去年10月举行的GeekPwn 2022安全极客大赛上,就出现了被选做目标车型的车企通过一些非常手段让参赛选手放弃「攻击」车辆的情况。
这方面,特斯拉可以说是做得最早,态度也最开放的车企。早在2013年特斯拉设立「特斯拉安全研究名人堂」(Tesla Security Researcher Hall of Fame),鼓励对特斯拉车辆的漏洞进行合理披露,并承诺不会采取法律手段或请求执法机关对合理披露者进行调查。
国内车企如理想、蔚来、小鹏、极氪等新品牌车企也在近两年跟进,建立了自己的SRC(安全应急响应中心),鼓励白帽黑客对车企授权测试的资产开展全面的漏洞发现与反馈风险。
车辆信息安全是全新的长远的工作,无论是政策层面强制性的法规标准,还是车企自发的安全防护行为,都仅仅是车联网安全防护的起点,网络技术的更新迭代不会停止,给汽车这个传统机械行业的将是全新的挑战。
源自:邓娅 智车星球
2、新的V字开发流程
有了新的标准限制,汽车的设计开发流程自然也要发生变化。类似于行业熟知的汽车V字型开发,汽车网络信息安全体系也有一套自己的V字开发流程。
车辆开发过程中,两个「V」会同步进行,既有交集,也会有相互矛盾的地方。
例如,在强调冗余功能安全层面,往往会有备用件的存在,一旦主件出现问题能快速切换;但对于信息安全,模块越多风险越高,此时就是两个「安全」的PK过程。当然,这需要结合具体产品的设计、企业的安全资产、导出的威胁模型等情况综合分析。
对于车企,信息安全体系V字的左边是搭建工作框架,包括安全方法论、安全框架、TARA标准、渗透测试标准、车外/车内安全需求、通讯安全需求等。这部分工作车企通常会委托德勤这类的咨询公司进行,咨询公司给到车企to do list,然后对应进行设计与搭建。
针对具体的车型将由车企进行TARA(威胁分析和风险评估)分析。该分析是通过计算已知和已登记目的网络威胁的影响和可行性来完成的,要求车企分析车辆整个生命周期的威胁和风险,以确定道路用户可能受到汽车网络威胁和漏洞的影响程度。
过程中,会有一些安全上的开发和改造,这可以由车企自己操作,也可以引入供应商。
TARA分析相当于搭建车辆安全的顶层设计,完成后车企会对上游零部件厂商提出相应的安全规范要求,并告知要做哪些相关工作。这便来到了「V」字的右边——生产和验证。
这可能会是一个往复的过程,大概的流程是零部件厂商接收到要求后,需要评估后设计,再通过TARA分析、渗透测试、Delta测试等验证步骤后再给车企提交报告,之后车企再进行验证。
当完成上述步骤,便要进入测试验证阶段,以确认在整个安全框架下所做的改造和设计是否存在漏洞,此时,就需要汽车信息安全检测服务供应商。
虽然现在很多车企都在建设对应的安全测试验证实验室,但由于安全难以自证「清白」,尤其在成为强制要求后,车企对网络安全方面的实施支持以及评估和认证服务的需求将进一步提升。
3、第三方服务商的机会
根据麦肯锡发布的《应对汽车信息安全的挑战》报告,到2030年,网络安全流程和解决方案市场的总和(包括执行这些活动所需的人员和工具)预计将达到34亿美元,其中网络安全流程的市场规模为24亿美元。
图 △截图来自麦肯锡《应对汽车信息安全的挑战》
网络安全流程包括与软件跟踪、风险管理、法规要求、流程合规性的认证/测试以及事件响应相关的活动,市场规模将在2025年左右达到顶峰,这取决于客户对质量的期望和不断增加的网络威胁,以及关于网络安全和软件更新的法规。在进行初始投资以实现合规性后,后续投资和扩展工作将减少。
其中,风险管理基本由咨询公司承包,第三方服务商和车联网安全初创企业重点放在了软件供应链安全以及流程合规性的认证/测试上。
前者主要包括整个开发过程中软件版本的管理、漏洞的覆盖、根据软件更新来验证不同组件版本之间的兼容性、根据软件更新评估对安全相关组件的影响等。这块服务并非一锤子买卖,而是跟随汽车的整个生命周期不断迭代,就像购买一个工具或服务后,每年会有订阅服务费一样。
而在检测和认证层面,目前来看,第三方的检测认证技术只是一个入门门槛,核心在于第三方服务商是否具有公信力、成为官方认可的检测认证结构。
除了上述业务之外,第三方供应商也可以在服务过程中打造出合规检测平台工具。据星舆车联网安全实验室主任许斯亮介绍,目前有不少做汽车传统功能安全检测的机构有拓展汽车网络信息安全检测业务的需求,但由于缺乏研发能力,便选择购买检测工具进行相关操作。
4、新的挑战
根据Upstream Security发布的《2022年全球汽车网络安全报告》,全球联网汽车将从2018年的3.3亿辆增长到2023年的7.75亿辆,增幅达134%。增长过程中,汽车行业受到的网络攻击规模、频率和复杂程度都在呈指数级增长,影响的范围也有所扩大,比如电动汽车充电站、保险、智慧城市等。
图△截图来自《2022年全球汽车网络安全报告》
长远看,汽车网络安全发展将成为必然趋势,即将推出的《汽车整车信息安全技术要求》只是一个开始,基于R156法规的强制性国家标准《汽车软件升级 通用技术要求》也会在之后推出。随着汽车智能化的发展,有关自动驾驶数据记录系统、自动驾驶预期功能安全等相关标准也会不断完善。
能预见的是,这些强制性标准的推出,会让汽车在开发生命周期中有更高的严格性、更多的功能要求以及更大的投资。
这给车联网安全从业者提供了机会,可以通过提供新产品、新服务来拓展业务。
对于车企,这是一次极好的提升企业竞争力的机会,当然,难度并不低。除了上述提到的采取更强大的工程要求和具有固有安全功能的体系结构设计形式,车企还需要具备对安全事件做出响应和监测、预防的能力。
后者不仅需要车企有「硬」实力,还需要车企对自身产品的漏洞有正确的认识态度。
由于网络信息安全涉及范围宽泛,有车企会选择充分利用白帽黑客和安全研究人员的力量和知识,实施激励计划,鼓励友好的黑客报告他们发现的漏洞,以使汽车被恶意利用之前修复问题。
但目前国内车企在面对类似的个人提交漏洞时,往往会有比较反感的态度,甚至会将其列入黑名单。
在去年10月举行的GeekPwn 2022安全极客大赛上,就出现了被选做目标车型的车企通过一些非常手段让参赛选手放弃「攻击」车辆的情况。
这方面,特斯拉可以说是做得最早,态度也最开放的车企。早在2013年特斯拉设立「特斯拉安全研究名人堂」(Tesla Security Researcher Hall of Fame),鼓励对特斯拉车辆的漏洞进行合理披露,并承诺不会采取法律手段或请求执法机关对合理披露者进行调查。
国内车企如理想、蔚来、小鹏、极氪等新品牌车企也在近两年跟进,建立了自己的SRC(安全应急响应中心),鼓励白帽黑客对车企授权测试的资产开展全面的漏洞发现与反馈风险。
车辆信息安全是全新的长远的工作,无论是政策层面强制性的法规标准,还是车企自发的安全防护行为,都仅仅是车联网安全防护的起点,网络技术的更新迭代不会停止,给汽车这个传统机械行业的将是全新的挑战。
|Centennial Beach|聆听天空与海的对话
遇见有云的天空,总会想去海边走走。在温哥华市区的几处海滩之外,也常常开去位于Delta的Centennial Beach。
这片海滩向东面朝Boundary Bay,与美加国界间的直线距离不足两公里。除了人们向往的「天空之镜」,这里也是许多鸟类的重要栖息地。当下这个季节水温还很凉,等到了夏天,Centennial Beach又会成为大朋友、小朋友、还有毛茸茸的汪星朋友们戏水踏浪的好地方。
#发现温哥华##温哥华生活# https://t.cn/A6cBog7c
遇见有云的天空,总会想去海边走走。在温哥华市区的几处海滩之外,也常常开去位于Delta的Centennial Beach。
这片海滩向东面朝Boundary Bay,与美加国界间的直线距离不足两公里。除了人们向往的「天空之镜」,这里也是许多鸟类的重要栖息地。当下这个季节水温还很凉,等到了夏天,Centennial Beach又会成为大朋友、小朋友、还有毛茸茸的汪星朋友们戏水踏浪的好地方。
#发现温哥华##温哥华生活# https://t.cn/A6cBog7c
✋热门推荐