内容提要：在本文中，我们希望展示这样的漏洞数据库如何支持汽车行业的安全开发以及如何在各个开发阶段使用它。

摘要

近年来，一些出版物表明，车辆很难免受安全攻击。为此，安全概念的开发成为汽车制造商关注的焦点。在此背景下，重用已知的攻击起着重要作用。虽然信息技术公共数据库中已知攻击的收集已经很成熟，但汽车领域仍处于这一过程的开始阶段。在本文中，我们希望展示这样的漏洞数据库如何支持汽车行业的安全开发以及如何在各个开发阶段使用它。

一.简介

车辆过去基本上是独立的系统，但近年来它们已发展成为高度连接的单元，可以与环境通信以交换控制和娱乐数据。电子组件数量的稳步增长以及不同（尤其是无线）通信技术的引入，为攻击者可能利用的安全攻击提供了广阔的空间。因此，近年来各种针对车辆的攻击事件层出不穷。研究人员能够通过连接到车辆的内部网络来操纵各种功能，例如外部照明、喇叭、挡风玻璃雨刷器或门锁。还可以操纵发动机、制动器和转向等驾驶物理部件，这对于车辆乘员的安全至关重要。此外，另有研究人员研究了其他组件之间的无线接口。例如，蓝牙和蜂窝通信中的漏洞被发现并被利用。2015年，研究人员Charlie Miller和Chris Valasek能够远程控制一辆吉普切诺基，引起了极大关注。此次袭击事件受到多家媒体报道。简而言之，本地车载通信系统用于激活车窗调节器或显示器等组件。除此之外，研究人员还发现了一些漏洞，可以通过外部通信接口成功访问车辆的内部网络。结果，在接下来的几年里发布了许多其他出版物，其中车辆或其组件受到了损害。此外，还有各种研究车辆识别和检测系统的工作。研究人员能够攻击相机和LiDAR（光成像检测和测距）系统并触发故障。在其他工作中，研究人员能够操纵交通标志识别算法。此类攻击与自动驾驶汽车尤其相关，目前多家汽车制造商正在开发自动驾驶汽车。这还包括影响驾驶物理组件的攻击，因为这可能会危及车辆乘员和道路交通。

为了降低车辆遭受安全攻击的风险，汽车制造商和供应商开发安全概念是当前的当务之急。主要目标是制定防止攻击的安全措施。因此SAE J3061被开发为支持此类概念和措施开发的首批指南之一。V模型中嵌入了各个安全开发阶段，该模型是作为汽车领域的开发流程而建立的。在为新车创建安全概念时，主要关注点是评估攻击风险，以得出可能的安全机制。此时，可以重用已知的已发布的攻击和漏洞。信息技术（IT）领域已经建立了多个漏洞数据库，用于收集攻击和漏洞并评估其风险。不幸的是，到目前为止，汽车行业还没有类似的方法。在本文中，我们想要展示漏洞数据库如何支持安全开发过程。此外，我们想展示各个开发阶段如何从这种方法中受益。图1展示了V模型中安全开发的各个阶段。

图1：遵循SAE J3061的V模型中的安全开发阶段，并结合现场运营扩展

在左侧，第一步是详细阐述用例，它代表车辆应满足的要求。下一步是威胁和风险分析，用于识别对各个子组件的安全攻击的潜在威胁。对检测到的威胁进行评估并确定其风险优先级。高优先级威胁用于开发或实施安全概念并导出保护车辆的机制。在右侧，进行安全测试阶段，其中对已实施的机制进行验证和确认。在我们的工作中，我们通过车辆的部署阶段（即车辆已经上路）扩展了V模型。通过漏洞报告和披露流程，可以鼓励汽车安全社区合作并分享他们的能力和知识，以解决问题公共利益。获得的信息可以作为漏洞数据库的输入。漏洞数据库是一个综合工具，可以作为开发和测试活动的信息来源。这样一个数据库的必要性已经得到了各个权威机构的认可。例如，Upstream Security Ltd.提供了大量的汽车安全攻击。通过与各种研究和行业合作伙伴合作，正在追求开发漏洞数据库和相关披露流程的目标，作为SecForCARs（互联自主caR安全性）研究项目的一部分。开发过程各个阶段所带来的好处和可能的应用如下所示。

二.通过漏洞数据库加强安全开发

在本节中，将解释图1中V模型的各个开发阶段。为了展示漏洞数据库的优势，我们展示了该数据库及其信息如何支持我们在汽车安全方面的主要研究领域。

A.威胁分析和风险评估 (TARA)

威胁分析检查系统是否存在可能导致安全攻击的潜在威胁。通过进行风险评估，可以调查这些威胁的风险。因此，可以评估它们发生的概率和可预期的影响。一般来说，在这个过程中，系统所有可能的攻击都会以攻击树的形式展现出来。这样的攻击树描述了攻击者必须采取的各个步骤，以确保攻击到达预期目标。这通常包括违反机密性、完整性、可用性或身份验证等安全属性，这也会影响某些资产。资产例如是安全资产、知识产权或金融资产。此时，可以使用已知的攻击来识别对系统的潜在攻击。这有助于确保在新系统中不会发现这些漏洞。还可以从已知的攻击中推导出新的攻击路径。在此背景下，我们的一个研究项目开发了一种联合威胁和风险分析方法。该方法将安全区域的威胁分析与安全区域的危害分析相结合，并对它们进行评估。因此，由此产生的安全指南方法（SGM）着眼于安全分析中已识别的危害，并检查它们是否可以由安全攻击触发。攻击以攻击路径的形式呈现。它们是通过从漏洞数据库创建一个由车辆组件、其连接和攻击组成的正式模型自动导出的（目前我们有413个攻击作为信息来源）。然后使用模型检查器根据规范验证正式模型。如果违反规范，就会生成反例，相当于攻击树。随后，评估树中各个路径的出现概率。通过这种方式，漏洞数据库直接有助于车辆开发过程中威胁的识别。通过模型检查技术自动生成攻击树的概念流程如图2所示。

图2：使用模型检查技术生成攻击路径的概念概述。漏洞数据库用于为系统模型的规范和设计提供需求。基本方法基于（参考资料1，关注牛喀网公众号回复网站下载链接）

被检查的系统及其需求作为模型检查的输入。就所考虑的问题而言，这相当于E/E架构及其组件和通信链路以及来自SGM的威胁。在这种情况下，模型检查器验证所识别的威胁是否可以实现。如果一条路径从初始状态通向威胁状态，则会出现这种情况，威胁状态的特征是侵犯了安全属性。后者由生成规范的开发应用程序形式化。为此，使用计算树逻辑 (CTL)（参考资料1，第317-332页）的公式并将其作为输入工件传递给模型检查器。系统模型(M)作为第二个工件传递，它对应于从漏洞数据库获取的E/E架构和相关漏洞。为了自动生成系统模型（M），软件工具使用模型检查器的描述语言。随后，模型检查器在状态空间中运行，并检查某个状态是否违反了指定的属性。如果系统模型满足规范（M，s⊨φ），则没有违反安全属性，也没有创建攻击路径。在另一种情况（M，s⊭φ）中，创建了一个包含所有已识别攻击路径的反例。

B.安全概念和实现

根据已识别和评估的威胁，创建安全概念。这包括车辆内部控制单元和通信系统的网络结构以及用于防止潜在攻击的安全措施。漏洞数据库还可以在这一点上提供支持，通过在安全概念和措施的附加信息中提供先前攻击的统计数据，这主要取决于系统的具体条件。例如，对我们的攻击收集的分析显示，39%的攻击是远程进行的，61%是通过物理访问在本地进行的。此外，评估表明大多数攻击都违反了真实性的安全属性。这一事实已经被汽车行业所认识。作为对策，已经开发并发布了各种身份验证机制，并以AUTOSAR联盟的安全板载通信（SecOC）作为解决方案。这使得车辆内部总线系统上的真实通信成为可能。尽管此措施可以防止通信线路上被操纵的消息渗透，但如果攻击者能够获得ECU的控制权，他仍然可以发送恶意的真实消息。在这种情况下，授权的安全属性将被侵犯。因此，我们的研究项目之一是开发防火墙，特别是访问控制机制，以保证对控制单元的授权访问。将使用应用权限管理系统的访问控制机制，该机制目前在汽车领域中不存在，或者仅在非常有限的程度上存在。访问控制模块（如图3所示）根据存储的策略检查ECU功能是被允许还是被拒绝。除此之外，每个访问决策都取决于当前的车辆状态，通过物理特征（例如车速、雷达或摄像头信息、位置）进行评估，以做出动态访问决策。此外，我们正在研究一种增强的方法，该方法能够评估请求的潜在危害。

图3：与策略和特征数据库交互的访问控制模块

因此，如果功能请求可能导致意外转变为危险车辆状态，则分析该功能请求。为了描述所需的访问策略，漏洞数据库提供了重要信息，以便从详细的攻击信息中导出细粒度的访问规则，以限制权限。如果发生攻击，限制性权限会严重限制攻击者的能力。

C.安全测试

安全测试描述了已实施的安全机制的验证以及系统漏洞的测试。前者通常可以通过传统软件测试技术来实现，而后者通常使用渗透测试技术（参考资料2，关注牛喀网公众号回复网站下载链接）。测试人员站在攻击者的角度，尝试通过攻击破坏系统，以发现新的漏洞。此时，需要注意的是，安全测试用例可以被解释为攻击。因此，漏洞数据库可以成为安全测试人员导出测试用例的宝贵信息来源。这些可用于测试系统安全属性的合规性。在汽车领域，安全测试中已经建立了基于代码的测试技术和动态测试技术，例如模糊测试或渗透测试。基于代码的技术在组件测试级别进行（即在软件实施后不久）。动态技术通常在开发周期的后期进行，此时车辆已经大部分实施。

为了进一步解决集成和系统测试的问题，我们的研究项目之一包括生成基于模型的测试用例。与安全测试相关的开发活动（V模型左侧）的工件被识别并包含在测试过程中（如图4所示）。可能的工件是车辆的网络架构、安全机制或威胁。漏洞数据库可用作使用漏洞和攻击作为附加工件的输入。目标是派生测试用例，以便测试车辆是否存在新漏洞或是否符合所有测试级别所需的安全功能。漏洞数据库越广泛，可以得出的测试用例就越多。测试的一项原则是不可能进行完整的测试。

图4：源自系统模型的安全测试模型以及TARA和漏洞数据库产生的优先威胁

因此，可以使用数据库中的攻击风险评估来确定测试用例的优先级。总体目标是获得连续的测试过程，在所有测试阶段验证和确认车辆的安全性。

三．汽车漏洞数据库和漏洞披露流程

本节首先介绍漏洞数据库的概念。接下来是对协调披露流程方法的解释，该方法描述了如何报告漏洞以及如何处理它们。图5显示了漏洞的报告和披露以及用于保存和提供漏洞信息的数据库的情况。

A.漏洞数据库

漏洞数据库用于收集和记录来自汽车行业的攻击和漏洞。它分为数据库管理系统和数据结构。后者描述了数据库中包含的攻击和漏洞的统一结构和描述。这可以通过使用统一分类法描述数据来实现。在之前的工作中，我们开发了这样一个分类法（参考资料3，关注牛喀网公众号回复网站下载链接），它将攻击分为不同的类别。有与攻击概述和管理相关的类别，例如简要描述、来源、攻击年份、后果、受影响的车辆和组件、受影响的资产或漏洞评级。

图5：漏洞报告、披露和数据库的综合概念

其他类别用于描述与安全相关的领域，如攻击类别（技术）、攻击路径、违反的安全属性、攻击工具、攻击者动机、要求、限制等。有了这种数据结构，存储在数据库中的信息可以作为不同车辆开发阶段的输入，第二节已经给出了这些信息。

我们将攻击分为三个不同的细节级别。在第一级细节上，以抽象的方式进行描述，以便更容易对攻击进行比较和分类。随着细节级别（级别2和级别3）的增加，攻击描述变得更加具体，以便重建攻击的确切路径。通过引入详细级别，可以满足不同利益相关者的利益。一方面，高抽象级别使得以抽象方式描述技术细节或制造商特定信息成为可能。另一方面，攻击的详细描述提供了可用于进行威胁分析和风险评估以及渗透测试的信息。这种分类结构被应用到我们的攻击集合中。与IT部门已建立的漏洞数据库（例如CVE）类似，为每个攻击分配了根据CVSS（通用漏洞评分系统）的风险值。

漏洞数据库的第二部分由管理系统组成。这有助于确保数据安全要求以及机密性和匿名性，从而获得利益相关者方面的认可。可能的利益相关者包括车辆制造商和供应商、安全服务提供商、研究人员、车间和测试组织、国家当局和公众。由于各方对数据库的数据安全都有要求，访问控制系统是可以想象的。这可以基于所提出的详细级别的概念，仅允许通过授权访问来访问更高级别（级别2和级别3）。基于泛化和抑制、切片或噪声的匿名化和假名化概念可用于交换敏感（制造商特定）数据。攻击细节级别用于抽象数据，因此无法根据数据得出有关涉及的制造商或利益相关者的结论。

基于网络的图形用户界面用于查询数据是可以想象的，它允许利益相关者以用户特定的方式查询漏洞和攻击，同时考虑访问限制。为了将新数据输入数据库，还可以设想输入表单以结构化的方式向数据库添加新报告的漏洞和攻击。此外，还有可能通过电子邮件服务器输出数据，该服务器向外部世界共享输入和修补的漏洞。因此，相关利益攸关方定期了解新的安全调查结果。因此，可以使用加密签名的电子邮件来确保真实性。

B.协调披露流程

2014年德国车辆平均使用寿命为18年。近几十年来，德国道路上车辆的平均注册年限稳步上升，2019年达到最高9.5年。道路上车辆的较长生命周期增加了漏洞被检测和利用的可能性。这些可能是注册时没有发现的弱点。其中包括漏洞，由于更高的计算能力等技术进步，这些漏洞只能在初始注册数年后才能识别。考虑到车辆的长使用寿命，因此有必要在运行过程中预防性地识别漏洞，以免被恶意攻击者发现和利用。除了学术和机构研究团体之外，所谓的“道德黑客”社区还包括那些主动工作以发现漏洞的人。在IT行业，社区与业界的合作由来已久。在汽车行业，这种合作可以为提高网络安全做出巨大贡献。为此，必须建立概念，将漏洞信息传达给可能受影响的制造商，以实现高效、协调的修复和发布。修复和发布后，检测到的漏洞信息可以作为汽车漏洞数据库的输入。因此，漏洞数据库不仅可以满足上述目的，还可以作为汽车安全环境中当局的统计数据来源。IT领域的研究展示了协调沟通和披露已发现漏洞的概念。相应的标准如ISO/IEC 29147和ISO/IEC 30111现已被广泛接受和应用。然而，必须考虑IT和汽车领域之间给定要求的本质差异。汽车领域面临的最大挑战是巨大的安全相关性、复杂的垂直和水平供应商结构、目标系统车辆明显的非本地性以及较长的产品生命周期。由于这个概念在很大程度上取决于社区的参与，因此有必要制定激励措施。对于发现者来说，以协调和负责任的方式报告检测到的漏洞应该更有吸引力，而不是将其用于非法目的并造成财务或健康损失。因此，举报流程的基础是一个有效的激励制度，该制度为发现者提供法律确定性、快速且简单的处理、金钱或公众认可形式的奖励以及透明度。对于提供此类报告流程的当局或制造商来说，为了满足给定的时间紧迫性，行业范围内的既定标准是必不可少的。为了确保复杂的供应链内高效、可靠的信息交换，标准化、自动化的通信协议以及假名和匿名程序是必要的。这需要厂商之间的密切合作。在许多与安全相关的行业，例如航空、航运和能源供应，这已经通过信息共享和分析中心（ISACs）完成。2015年，行业驱动的AUTO-ISAC在北美成立，旨在交流和分析有关车辆网络安全的知识。AUTO-ISAC的成员开展跨行业的漏洞信息共享，并且越来越多的成员提供漏洞报告服务。在该行业的所有品牌中，每50个顶级汽车品牌中有2个制定了披露计划，并设有报告办公室和指定的报告条件，而供应商则有50个中的7个。随着未来车联网的创新，汽车网络安全对于公共安全将变得越来越重要。官方机构等独立参与者在与汽车网络安全社区的合作中发挥更积极的作用将是可取的。因此，公共利益可以得到保护，威胁情况可以在广泛的数据库的基础上进行分析。在与公共安全相关的其他领域，公司的合作义务已经增加了。为此，独立机构应运营自己的报告平台和漏洞数据库。对于IT部门来说，这些机构遍布世界各地。为了刺激这种发展，正在持续研究的框架内开发基于网络的报告平台以及（部分）公共汽车安全漏洞数据库的演示程序。这些演示者的结构将在第四节中解释。

四.演示者和可能的评估

通过观察IT行业中长期建立的流程所获得的知识可以进行分析，并适用于汽车行业。可以为汽车漏洞数据库和在线报告平台开发面向应用程序的演示程序，为考虑汽车需求的具体实施提供示例。一个直观、用户友好的报告平台将使漏洞发现者能够联系受影响的供应商或第三个独立实体。这是通过安全通信进行的，并启动修复和协调发布报告漏洞的过程。此外，该网络应用程序包含制造商关于漏洞信息披露（超出范围、时间线、安全港等）的条件和想法的清晰、明确的表述。这与确保如果发现者遵守制定的条件，则不会对其采取法律行动相结合。除了这种法律确定性的激励（关于“道德”黑客行为的法律情况尚不清楚），名人堂或金钱奖励在漏洞奖励计划中也很常见。在第二个演示程序中，将实施一个数据库系统，其中包含从报告到（部分）公开可用的修复漏洞信息的漏洞信息。研究所已经开展了这方面的工作。查找者可以通过报告平台提交报告，并在必要时上传概念证明。此数据加密存储在非公共数据库中。受影响的制造商会通过电子邮件服务器了解检测到的漏洞。在下文中，受影响的制造商、发现者或第三独立机构之间启动了协调的补救和披露程序。一旦修复了漏洞，有关已修复漏洞的预定义信息（类似于咨询）将不加密地存储在半公共数据库中。不同的组通过网页上的用户界面对半公共数据库进行受限的、依赖于角色的读取访问。在这里，如果内部生成的漏洞信息被输入半公共数据库，可以通过授予制造商定义的访问权限来激励制造商进行预测。在进行修复以防止未经授权访问敏感数据后，将从非公共数据库中删除报告的数据。

五.结论

为了满足当今汽车安全的要求，需要一个全面的概念，它涵盖了车辆或其部件的整个开发过程，直到在道路上运行。在所有阶段，一个全面的漏洞数据库都可以提供宝贵的支持。在TARA阶段，它可以分配一个信息库来识别威胁并评估其潜在危险。此外，新的攻击可以从已知的攻击中派生出来。为了开发安全概念，对漏洞数据库中的数据进行统计评估可以揭示已经成功的攻击的行为或目标异常的信息。这样就可以考虑采取有针对性的有效对策。在测试阶段，数据库可以提供额外的工件来补充来自开发活动的工件。由于不可能测试所有潜在威胁，因此可以使用数据库中的数据进行风险评估，以确定测试用例的优先级。对于这样一个数据库中的数据质量而言，至关重要的是，不仅要获得尽可能广泛和最全面的数据，而且要确保数据始终是最新的，这就需要不断向数据库提供新的信息。这可以通过对发现的漏洞进行报告和披露程序来实现，该程序通过各种激励措施鼓励安全界分享他们的知识，并将其作为数据库的输入。

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！