当前位置:首页 > 厂商动态 > 新思科技(Synopsys)
[导读]现在,智能网联汽车技术快速演进,整体产业加速布局。同时,车联网的开放性也使得车辆受攻击面更多。推动车联网安全能力建设、促进智能网络汽车行业健康发展势在必行。

现在,智能网联汽车技术快速演进,整体产业加速布局。同时,车联网的开放性也使得车辆受攻击面更多。推动车联网安全能力建设、促进智能网络汽车行业健康发展势在必行。

新思科技促进智能网络汽车行业健康发展 BSIMM评估为安全团队提供“他山之石”

对于全球车企的网络安全团队来说,2021年一定异常忙碌。因为当网络安全从一个热点技术上升为市场准入与合规的必要需求,充满挑战的时间表清晰地摆在了全行业的面前。例如,关于网络安全的联合国第155号法规(UNECE R155)于2021年年初生效,有两个日期具有约束力:从2022年7月起,欧洲经委会成员国(1958年协定)内的要求将适用于所有新车型,并于2024年7月起适用于所有车辆。

作为全球最大的汽车市场,中国对于车辆网络安全相关的法规标准也在紧锣密鼓地推进。2021年9月,中国工业和信息化部装备工业发展中心印发了《关于加强智能网联汽车生产企业及产品准入管理的意见》,要求整车企业对汽车数据安全、网络安全、软件在线升级、驾驶辅助功能情况开展自我核查,并于2021年10月12日前上报相关自查结果。

新思科技促进智能网络汽车行业健康发展 BSIMM评估为安全团队提供“他山之石”

车企网络安全团队“被迫成长”

虽然各个标准都列明了具体要求,但是网络安全团队需要面对着这些烦杂的条规进行梳理,制定符合企业现状、且可以实际落地的工作行动计划。

一方面,将原本仅对于个别安全活动的关注,比如威胁分析、渗透测试等,变为一个流程化的网络安全管理系统(CSMS, Cyber Security Management System);另一方面,又需要在紧迫的合规要求时间点前,集中有限资源,更高效地来建立企业安全能力。

这两点似乎有些矛盾的问题(点vs.面,深度vs.广度),需要车企的网络安全团队来解决。这时,其它企业解决相同问题的做法将会成为非常有价值的参考。

BSIMM能够成为安全团队的“他山之石”

软件安全构建成熟度模型(BSIMM,the Building Security In MaturityModel)是业界最佳安全实践模型之一,由新思科技(Synopsys)和BSIMM社区自2008年起合作开发,旨在帮助企业规划、执行、评估和完善其软件安全计划(SSI),迄今已迭代了12个版本。

目前车辆行业的网络安全问题绝大部分是与车辆联网化、智能化的趋势有关。另外,随着整个行业掀起软件定义汽车(SDV,Software Define Vehicle)的热潮,新思科技相信对软件安全问题的关注只会有增无减。众多物联网垂直行业的企业以及高科技行业生产企业已经采用了BSIMM评估,衡量及创建产品相关的安全活动,而不仅仅是针对软件或应用程序。

治理主导vs.工程主导

最新BSIMM12有观察到企业为达成成熟的安全体系会有两种路径:通过合规要求,自上而下的推进安全体系建设;通过工程团队自下而上地来提升安全能力。以治理为主导的团队通常专注于规则、门槛和合规性;而以工程为主导的工作通常专注于功能速度、通过自动化避免错误和软件弹性。成功不需要相同的观点,但为了保证达成公司的安全目标,这些观点需要统一起来。这意味着团队必须在风险管理问题上进行合作,扬长避短。

所以,目前众多车企所采取的由工程项目来驱动完整网络安全体系建设的做法,还是需要网络安全团队能够从整体框架上有全局的理解,并能够在企业内部获得足够的支持,而不仅仅是局限在具体项目层面。

新思科技促进智能网络汽车行业健康发展 BSIMM评估为安全团队提供“他山之石”

威胁分析与风险评估

2021年还有一个很重要的行业法规发布——ISO/SAE 21434《道路车辆-网路安全工程》(Road vehicles – Cybersecurity engineering)。ISO/SAE 21434为车辆产品的全生命周期,定义了一个网络安全流程要求以及网络安全风险管理的框架。

直到ISO/SAE 21434的正式发布版本,才使用了威胁分析与风险评估(TARA, Threat Analysis and Risk Assessment)这个名词来替换之前版本中所使用的比较普适的风险评估(risk assessment),并将其作为一个单独章节来规定TARA活动的工作交付物及相关需求。这在一定程度上反映了整个车辆行业对于TARA活动的重视。

BSIMM安全框架在情报这个领域中强调了攻击模型这个实践。攻击模型实践特指从攻击者的角度思考安全问题,并收集相关的信息,包括威胁建模输入、滥用案例、数据分类和特定于技术的攻击模式等。在最新的BSIMM12的报告中,攻击模型这个实践下有阐述了11项被观察到的具有典型意义的安全活动,它们可以作为参考帮助安全团队补齐在这方面的不足。

渗透测试

车企网络安全团队常常利用渗透测试来发现暴露产品漏洞,推动安全需求的落地。在BSIMM12的报告中也反映了,有87%的受访参与企业被观察到会利用外部的渗透测试服务来发现问题。

渗透测试项目一般对于测试人员会有一个固定的测试项目周期要求,而且很多都是以黑盒的方式对测试人员提供测试环境和目标。所以往往测试人员会花比较多的精力和时间在发现系统漏洞上,而在有限的项目时限里很难去深挖一些比如业内未知的漏洞,或扩大渗透的覆盖率。

BSIMM12中也提到了一个被观察到的安全活动,安全团队应该尽可能地向渗透测试人员提供可用的技术信息,无论是内部的还是外部的,都能够使用可用的源代码、设计文档、架构分析结果、误用和滥用案例、代码审查结果以及云环境等部署配置来做更深入的分析,发现更多有趣的问题。将黑盒变为灰盒。

安全事件响应

没有100%安全的系统和产品,所以安全的一个主要目标是能够及时有效地对安全事件做出响应,做好风险管理,并及时做出整改。同ISO/SAE 21434标准和UNECE R155法规中特别强调了安全事件响应流程类似,在最新的BSIMM12报告中,BSIMM软件安全框架中也有针对性地定义了配置管理和漏洞管理这个安全实践,并阐述了相关的12 个被观察到的安全活动。例如创建事件响应机制或者与事件响应团队交流。有84% 的 BSIMM12 参与企业已经启动了这个流程,让他们的软件安全小组与组织的事件响应小组联系起来,以保持关键安全信息双向流动。

对于网络安全领域来说,挑战来源于外部不断演进变化的威胁。企业的安全团队需要一个持续改进的工作驱动模式。一直以来,新思科技支持企业管理应用安全,进而构建可信的软件。除了BSIMM评估,新思科技还提供覆盖软件开发生命周期的安全测试解决方案,包括Coverity®静态应用安全测试以及Black Duck®软件组成分析。

现在,各行各业都在加速数字化转型,技术也不断更新迭代。这背后离不开软件的支持。可以说软件是数字化转型的核心,使企业能够以创新的方式为客户创造价值。如果软件出现安全漏洞,通常也意味着业务运营存在危险,容易遭受攻击。因此,各大企业都在积极部署软件安全计划,以更顺畅地完成数字化转型,以及获得用户的信赖。新思科技希望能继续为中国车企及其它行业客户管理软件风险,提升竞争力,推动产业完善安全生态。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭