Mantua Services

ISO/SAE 21434

汽车行业开始认识到,面对信息技术(IT)和车载技术,防御措施的界限越来越窄。在实现网络安全在联网汽车及其相关基础设施中的至关重要性时,在实施该标准后,可以预期立法将发生变化。ISO/SAE 21434 旨在指导汽车行业,因为它采用更安全的在线和离线实践来确保用户的安全。

ISO/SAE21434汽车网络安全管理体系

这些新功能和系统需要增加对软件的依赖。虽然互联网接入、基于应用程序的远程监控和管理、自动驾驶和驾驶员辅助系统等现代功能旨在提高用户的安全性和便利性,但它们也为整个汽车生态系统增加了复杂性和网络安全差距。

例如,每个增加的功能、传感器或连接都需要由发动机控制单元(ECU)中的软件提供支持。随着时间的推移,联网汽车中包含的ECU数量有所增加,其中一些ECU具有100多个ECU处理不同的功能,从发动机和动力总成到制动器,悬架和电子子系统。

现代联网汽车现在与移动设备共享网络,并且具有与计算机比传统汽车相似的功能。不幸的是,对连通性需求的增加——以及为满足这种需求而迅速发展——不可避免地增加了暴露和易受攻击的组件的数量。

汽车ECU市场预测复合年增长率(CAGR)

市场规模
$65
十亿
2017
市场规模
$94
十亿
2018-2024年预测

与计算机不同,目前市场上的大多数联网汽车都没有无线(OTA)软件更新,也没有考虑到网络安全。这是该行业计划确保的关键差距。

自 2018 年以来,全球已有 80 多家组织参与了 ISO/SAE 21434“道路车辆 – 网络安全工程”的创建,该标准包括一套在车辆的设计、制造、维护和报废阶段确保高级流程的准则。虽然它不专注于软件开发或详细说明汽车子系统的网络安全基础设施,但它为汽车的不同开发阶段定义了网络安全流程,以满足安全水平要求。

研究人员在当今的联网汽车中发现了大量的攻击媒介。这些现代车辆在蜂窝网络范围内或通过短程射频通道连接时都会连接,就像蓝牙或Wi-Fi通常启用的方式一样。网络犯罪分子可以滥用这些现有和未修补的安全漏洞来拦截和窃取信息,破坏汽车的正常功能,甚至攻击用户并危及他们的生命。

1656820622667.png

目前的一些挑战和攻击媒介包括:

  • 解决和缓解漏洞:该行业遵循高度分层的供应链系统。当发现任何组件中的漏洞时,所涉及的所有层都必须发布修补程序,直到它到达原始设备制造商 (OEM)。还必须检查这些修复程序的互操作性,这意味着必须更新所有ECU的固件。这不仅会导致更新部署延迟,而且车辆软件更新也可能需要长达 20 小时才能完成。

    代工
    第 1 层:模块或系统供应商
    第 2 层:组件供应商
    第3层:零件供应商

  • 不安全的ECU互连协议:用于ECU互连的一些协议并非旨在包括网络安全功能。例如,数据传输未加密,发送方和接收方未经身份验证。

  • 不安全的售后市场产品和服务:安装在汽车中的车联网 (IoV) 设备(如蓝牙或支持 Wi-Fi 的多媒体设备)随时可供购买和安装。但是,这些设备中的大多数都在不安全或过时的固件上运行,这使得攻击者可以利用未打补丁的系统进入并横向移动以向车辆系统发送恶意代码。

    此外,一些非官方的车库商店可以修改ECU以增加发动机功率。篡改软件(尽管存在保护诊断软件的当前行业标准程序)可能会在修改代码期间和代码后暴露许多漏洞。


数据合规创造业务价值

给我们一个开始了解需求的机会,共同来保护贵司的业务。

上海数壳信息科技有限公司
Shanghai Digital Shell Information Technology Co., Ltd
上海・・・北京・・・深圳・・・成都

电子邮件
mkt@dpoit.com

首页
关于我们
联系我们

信任和隐私论坛

Copyright © 2025   上海数壳信息科技有限公司       All Rights Reserved.