首页 > 其他分享 >Automotive IQ第14届年度汽车网络安全大会将于2024年在底特律举行

Automotive IQ第14届年度汽车网络安全大会将于2024年在底特律举行

时间:2024-02-05 14:44:23浏览次数:31  
标签:主机厂 网络安全 14 IQ Automotive Darren R155 车辆 法规

在接受《Automotive IQ》独家采访时,福特汽车公司汽车和移动网络安全高级顾问Darren Shelcusky深入探讨了符合UNECE R155/R156法规的关键因素,揭示了汽车行业满足这些严格法规的过程。从区分网络安全标准和法规到详细说明其对主机厂和更广泛的汽车网络安全领域的影响,Darren提供了综合指南。阅读这篇访谈,您将了解随着汽车网络安全的快速发展,符合UNECE R155/R156法规的主要挑战、必要的流程、指标以及更广泛的影响。

让我们来学习Darren分享的关于如何符合UNECE R155/R156法规中复杂场景的见解吧!

问题:对于汽车行业如何在截止期限前为符合UNECE R155/R156法规做好准备,您能分享哪些见解?

Darren:

首先,需要了解网络安全标准和法规之间的区别。

标准通常是由SAE等权威机构控制下的行业成员设计的参考文档。对于车辆,网络安全标准ISO/SAE 21434提出了一个将网络安全工程纳入车辆的框架。另一方面,法规是由政府机构发布的具有法律约束力的指令。联合国欧洲经济委员会(UNECE)发布了WP.29 R155法规,该法规深受ISO/SAE 21434标准的影响。

R155要求主机厂向授权的第三方审计机构证明,他们的车辆软件和联网生态系统在开发期间和后期生产都实施了严格的网络安全措施。未能证明良好的网络安全状况将对主机厂造成影响,因为他们将无法在UNECE 监管的市场上销售车辆,直到他们修复了网络安全漏洞为止。

请注意,ISO/SAE 21434标准侧重于车辆的电气和电子系统,仅针对车载软件和系统。其他相关标准适用于非车载系统,如云和远程信息处理。主机厂还应参考ISO 27001作为建立网络安全管理实践的基础,以满足UNECE R155对车辆可能依赖的网络相关非车载系统的要求。简而言之,UNECE R155提供了监管框架,而这些标准可以帮助组织实施和满足法规中概述的网络安全要求。

问题:您能分享一下UNECE R155/R156法规所适用的范围吗?

Darren:

明确定义与您的CSMS和型式批准相关的网络内容是至关重要的。R155要求实施网络安全管理系统(Cyber Security Management Systems, 简称CSMS)来管理网络安全风险。这包括在整个车辆生命周期(包括车辆和联网服务)中识别、评估和降低风险的策略、流程和实践。

这不仅包括车载软件,还包括任何可以远程更改或查询车辆状态的软件。与网络相关的外部事物包括但不限于制造供应链、服务工具、OTA软件更新、后端服务和API、电动汽车充电基础设施、客户带来的设备(如手机)和数字助理。

问题:您能否与我们分享一下符合UNECE R155法规对主机厂的影响,并就需要采取哪些措施来符合该法规提供一些见解?

Darren:

从最佳实践和工程实践向证明合规性的文档化和可审计的流程和证据的转移,可以为工程团队引入额外的工作产品。

  1.  主机厂必须记录并提供可审计的证据,证明其车辆和联网生态系统的网络安全状况,并在整个车辆生命周期中遵守其记录的CSMS。
  2.  主机厂必须在整个车辆生命周期中跟踪漏洞,并负责及时修复车辆内新发现的关键漏洞。
  3.  主机厂必须建立、灌输和维护网络安全治理和网络安全文化,包括安全意识管理、能力管理和持续改进。
  4.  主机厂必须识别和评估与联网服务相关的网络安全风险,并实施适当的安全措施来降低这些风险。
  5.  主机厂必须具备监控、检测和响应后期生产车辆面临的网络威胁的能力,这通常称为VSOC,包括但不限于:

                 a.  网络安全监控

                 b.  网络安全事件评估

                 c.  漏洞分析

                 d.  漏洞管理

问题:作为主机厂应该围绕R155实施制定哪些指标?

Darren:

TARA风险完成率:

与网络相关的车辆及其组件必须完成威胁分析和风险评估(TARA),这是工程过程的一部分。记录和跟踪一系列风险,从而管理车辆和联网生态系统的网络安全设计和测试。

网络安全测试完成率:

测试用于验证车辆、组件和联网生态系统是否满足网络安全要求。可能涉及第三方测试(例如,渗透测试)。

事件响应完成时间:

跟踪针对网络安全事件的事件响应行动,减轻网络安全事件的后果。根据事件的严重程度,也可能需要及时向有关当局报告。

问题:为了符合R155/R156法规合规性,需要采取任何具体的流程吗?如果需要的话,是哪些流程呢?

Darren:

R155/R156法规要求主机厂具备如下四个不同领域的能力:

  1.  管理车辆和联网生态系统的网络安全风险。
  2.  确保车辆设计和流程的安全性,降低车辆生命周期中的风险。
  3.  检测和响应已上市车辆的安全事件。
  4.  提供安全可靠的软件更新。

主机厂必须建立作为其CSMS一部分的流程包括但不限于:

  • 为具备相应技能和能力的员工分配角色和职责。
  • 识别、分析、评估和优先处理汽车网络安全风险。
  • 对在车辆开发和后期生产中发现的安全事故和漏洞作出响应。
  • 管理和收集供应商遵守网络安全要求的证据。
  • 向监管机构报告监控活动的结果、与新的网络攻击相关的信息和可能需要调整安全保护措施的潜在事件。
  • 确保风险评估保持最新状态。

问题:主机厂应该如何证明他们确实符合R155法规的要求?

Darren:

主机厂必须证明,他们有一个流程和相应的证据来识别、管理和降低整个车辆生命周期和特定车型的网络安全风险。

网络安全测试(如功能测试、接口测试、渗透测试、模糊测试和漏洞扫描)用于提供产品合规性的证据。VSOC检测恶意活动的证明为检测车辆和联网生态系统中的网络事件提供了证据。

车辆安全运营中心(Vehicle Security Operations Center, 简称VSOC)可以实时了解和洞察车辆和联网生态系统异常的行为、安全事故、事件和条件,并作出响应以缓解检测到的任何威胁。

问题:在符合R155/ R156法规的道路上,汽车行业面临哪些关键挑战?应该采取哪些措施来应对这些挑战?

Darren:

R155/R156是一个复杂的法规,理解其中所有的要求非常困难。这可能导致产生不符合法规要求的流程和证据。记录流程是一项耗时且困难的任务。一旦流程被记录下来,它们就需要被实施,这可能需要对现有的工作流程和实践进行更改。您还需要编写程序让员工来遵循并对员工进行培训,使他们能够正确地理解和遵循这些程序。您还需要监控您的流程,确保它们是有效的,并对它们进行审核,以确保它们符合您的CSMS和R155法规。

问题:实现R155合规性如何在更大范围内影响汽车行业的车辆和移动网络安全方法?

Darren:

汽车网络安全是不断发展的,并不是静态的。主机厂现在必须在车辆的整个生命周期内解决网络安全问题,而不仅仅是关注车辆生命周期的开发部分。汽车网络安全包含多个维度,其中包括联网生态系统、供应商和车辆生命周期,因为漏洞可能从汽车生态系统的许多不同部分被引入。随着汽车行业朝着软件定义汽车和自动驾驶汽车的方向发展,这一点变得越来越重要。

“原创内容,转载请标明出处”

标签:主机厂,网络安全,14,IQ,Automotive,Darren,R155,车辆,法规
From: https://www.cnblogs.com/trinitytec/p/18007953

相关文章

  • CF1499
    A氵B如果11后出现了00就不行。C枚举走几段。横竖可以分开算。一定是:除了费用最小的都是走长度\(1\),费用最小的包揽剩下的。D\(c\cdotlcm(a,b)-d\cdotgcd(a,b)=x\)\(c\cdot\dfrac{a}{gcd(a,b)}\cdot\dfrac{b}{gcd(a,b)}=\dfrac{x}{gcd(a,b)}+d\)\(gcd(a,b)\)......
  • 酷睿第14代i5-14400评测:性能与上代一致
    一、前言:酷睿第14代i5-14400低调上市由于初代Intel4制程工艺不论是频率还是功耗都无法满足顶级桌面处理器的需求,这就导致了酷睿第14代处理器依然沿用Intel7制程工艺,架构也没有变化,只是频率有一些提升。在i9-14900K上市3个月之后,面向主流玩家的酷睿第14代i5-14400处理器终于来......
  • 苹果 Vision Pro 产地首次公布:原汁原味的中国制造丨 RTE 开发者日报 Vol.143
       开发者朋友们大家好: 这里是「RTE开发者日报」,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享RTE(RealTimeEngagement)领域内「有话题的新闻」、「有态度的观点」、「有意思的数据」、「有思考的文章」、「有看点的会议」,但内容仅代表......
  • 文心一言 VS 讯飞星火 VS chatgpt (194)-- 算法导论14.3 2题
    二、用go语言,改写INTERVAL-SEARCH的代码,使得当所有区间都是开区间时,它也能正确地工作。文心一言,代码正常运行:在Go语言中,处理开区间(openintervals)时,我们需要特别注意区间的边界条件。开区间不包括其端点,因此在比较时不能使用等于(==)操作符。以下是一个使用Go语言实现的INTERVAL......
  • 文心一言 VS 讯飞星火 VS chatgpt (193)-- 算法导论14.3 1题
    一、用go语言,写出作用于区间树的结点且在〇(1)时间内更新max属性的过程LEFT-ROTATE的伪代码。文心一言:以下是一个简单的LEFT-ROTATE的伪代码,它对一个二叉搜索树进行左旋转操作。这个操作的作用是更新节点的max属性,使其在O(1)时间内完成。LEFT-ROTATE(T,x)://T是树,x......
  • 雷军不再主讲小米手机发布会;苹果明确:Vision Pro 头显电池某些场景会降低其性能丨 RTE
       开发者朋友们大家好: 这里是「RTE开发者日报」,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享RTE(RealTimeEngagement)领域内「有话题的新闻」、「有态度的观点」、「有意思的数据」、「有思考的文章」、「有看点的会议」,但内容仅代表......
  • [ARC114D] Moving Pieces on Line 题解
    题目链接点击打开链接题目解法有点牛的题,前面的转化感觉很妙首先一个显然的性质是:一个棋子不可能走回头路,不然前面的路就白走了下面是最妙的一步:我们令\(st_i\)为\(i-1\toi\)和\(i\toi+1\)的颜色是否相同,那么问题可以转化成:选择\(\{p_i\}\),一开始所有点颜色为\(0\)......
  • 14. C++函数的编译
    C++函数的编译C++和C语言的编译方式不同。C语言中的函数在编译时名字不变,或者只是简单的加一个下划线_(不同的编译器有不同的实现),例如,func()编译后为func()或_func()。而C++中的函数在编译时会根据它所在的命名空间、它所属的类、以及它的参数列表(也叫参数签名)等信息进行重新......
  • 读论文-协同过滤技术综述(A Survey of Collaborative Filtering Techniques)
    前言今天读的一篇论文题目为《协同过滤技术综述》(ASurveyofCollaborativeFilteringTechniques),文章发表于《人工智能研究进展》(AdvancesinArtificialIntelligence)。要引用这篇论文,请使用下述格式:XiaoyuanSu,TaghiM.Khoshgoftaar,"ASurveyofCollaborativeF......
  • 关于URP14绘制全屏Blit后处理的改动
    最近用回URP,发现RendererFeature这部分改动很大,启用了之前HDRP的RTHandle,RTHandle的设计类似于优化版本的RenderTexture,可以统一控制缩放或者并非一对一的RT内存申请。并且Blit的方式变成了先SetTarget后做一次绘制,也是和HDRP对齐。 在新的URP中实现全屏后处理效果可以走Stac......