隨著全球電動車市場迅速崛起,其智慧化、聯網化功能衍生的資安議題也日漸躍出檯面,奧義智慧(CyCraft)於近日 MIH 夥伴大會公布,透過 Security on EVKit 推動基於安全的設計架構,推出符合車用參考的威脅框架,確保汽車產業自設計階段便開始把關潛在的資安威脅。
奧義智慧作為 MIH 會員,同時也是其 Security & OTA 工作小組 的成員之一,已於今(2022)年 2 月甫公布的電動車開發者工具平台 「EVKit」中扮演推進 Security on EVKit 的推動要角。以前期成果為基礎,於 MIH 夥伴大會中,奧義智慧將與緯創合作,展示如何於車載終端聯網裝置 T-Box 中執行車輛攻擊偵測與應變,以及如何在即時偵測入侵後提供即時防禦的資安告警與防護監控能力 (V-SOC)。
突破車用供應鏈既有困境 打造以資安為基準的設計架構
奧義智慧科技共同創辦人暨資安長叢培侃表示,Security on EVKit 的核心精神為「基於安全的設計架構(Security by Design)」,該安全設計架構意在確保汽車在整個設計製造週期中,從硬體、軟體、系統、雲端到其他車載設備皆可經嚴格的資安驗證,建立流程的主要困難在於,過去汽車供應鏈業者在設計、製造相關零組件、軟體平台、硬體設備及整合的過程中,並沒有將資安議題考慮進去。
然而,隨聯網車快速發展,物聯網及智慧型手機等諸多連結設備成為汽車標配中的一環,使得有關個人數據的搜集、使用、儲存、驗證皆暴露在公開的網路環境中,使得受攻擊面因而大增,保護資料如何不被擷取、竄改以影響駕駛者的權益與安全,則成目前車廠及其供應鏈當務之急必先解決的問題。
奧義智慧科技共同創辦人暨資安長叢培侃表示,Security on EVKit 的核心精神為「基於安全的設計架構(Security by Design)。
2022 年 3 月,MIH 推出「MIH EVKit Concept Manual」,MIH EVKit 是以軟體定義車輛 (Software Defined Vehicle, SDV) 核心概念出發,透過制定共同性標準,協助軟硬體及供應鏈周邊開發者,可快速進入電動車開發流程的軟體開發套件(SDK),而奧義所參與的資安工作小組,已協助完成其網路偵測與回應(NDR)、入侵偵測與即時防禦(IDPS)等資安規範細部設計建議。
除了透過 NDR、IDPS 檢測網路封包的有潛在惡意攻擊程式,並及時反應,以降低車聯網受駭的風險之外,此次 MIH 夥伴大會,奧義更將進一步 Demo 車聯網偵測與回應(Vehicle Detection and Response)機制。
針對車聯網資安主要防禦場景,叢培侃說明:「汽車攻擊可從多個維度進行,而其中最危險的莫過由遠端網路入侵的攻擊行為。本次與緯創共同 Demo 的情境,即是模擬攻擊者透過 Wi-Fi 或 4G/5G 遠端觸發位於 T-Box 上的服務、取得遠端程式碼的執行能力,並在 T-Box 被攻陷後,攻擊者將可透過車內網路找到橫向移動機會,接觸車內 CAN 網路,以竊取 CAN 網路上的訊息,此外攻擊者也有機會在環境內放置惡意軟體進行環境的破壞。此狀況發生的同時,奧義可透過 AI 自動化資安防護工具進行全程監控,並即時阻擋攻擊。」
自歐盟正式於去(2021)年八月發布 ISO 21434 及更早公布之UN R155 等適用於未來車種的車用國際安全標準及法規後,各國車廠對於汽車資訊安全的重視更躍進一步,未來如何協助國際車廠、汽車元件供應商落實「基於資安架構的設計(Security by Design)」則為未來資安產業發展方向,奧義智慧將與 MIH 協力推動開放平台,推動未來車通用標準,同時,奧義也將針對汽車通訊、警示監控、威脅追蹤以及車用威脅框架等領域,與 MIH 與其相關工作小組夥伴共同合作。