當前位置:首頁 > 廠商動態(tài) > 新思科技(Synopsys)
[導讀]現(xiàn)在,智能網(wǎng)聯(lián)汽車技術(shù)快速演進,整體產(chǎn)業(yè)加速布局。同時,車聯(lián)網(wǎng)的開放性也使得車輛受攻擊面更多。推動車聯(lián)網(wǎng)安全能力建設、促進智能網(wǎng)絡汽車行業(yè)健康發(fā)展勢在必行。

現(xiàn)在,智能網(wǎng)聯(lián)汽車技術(shù)快速演進,整體產(chǎn)業(yè)加速布局。同時,車聯(lián)網(wǎng)的開放性也使得車輛受攻擊面更多。推動車聯(lián)網(wǎng)安全能力建設、促進智能網(wǎng)絡汽車行業(yè)健康發(fā)展勢在必行。

新思科技促進智能網(wǎng)絡汽車行業(yè)健康發(fā)展 BSIMM評估為安全團隊提供“他山之石”

對于全球車企的網(wǎng)絡安全團隊來說,2021年一定異常忙碌。因為當網(wǎng)絡安全從一個熱點技術(shù)上升為市場準入與合規(guī)的必要需求,充滿挑戰(zhàn)的時間表清晰地擺在了全行業(yè)的面前。例如,關(guān)于網(wǎng)絡安全的聯(lián)合國第155號法規(guī)(UNECE R155)于2021年年初生效,有兩個日期具有約束力:從2022年7月起,歐洲經(jīng)委會成員國(1958年協(xié)定)內(nèi)的要求將適用于所有新車型,并于2024年7月起適用于所有車輛。

作為全球最大的汽車市場,中國對于車輛網(wǎng)絡安全相關(guān)的法規(guī)標準也在緊鑼密鼓地推進。2021年9月,中國工業(yè)和信息化部裝備工業(yè)發(fā)展中心印發(fā)了《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》,要求整車企業(yè)對汽車數(shù)據(jù)安全、網(wǎng)絡安全、軟件在線升級、駕駛輔助功能情況開展自我核查,并于2021年10月12日前上報相關(guān)自查結(jié)果。

新思科技促進智能網(wǎng)絡汽車行業(yè)健康發(fā)展 BSIMM評估為安全團隊提供“他山之石”

車企網(wǎng)絡安全團隊“被迫成長”

雖然各個標準都列明了具體要求,但是網(wǎng)絡安全團隊需要面對著這些煩雜的條規(guī)進行梳理,制定符合企業(yè)現(xiàn)狀、且可以實際落地的工作行動計劃。

一方面,將原本僅對于個別安全活動的關(guān)注,比如威脅分析、滲透測試等,變?yōu)橐粋€流程化的網(wǎng)絡安全管理系統(tǒng)(CSMS, Cyber Security Management System);另一方面,又需要在緊迫的合規(guī)要求時間點前,集中有限資源,更高效地來建立企業(yè)安全能力。

這兩點似乎有些矛盾的問題(點vs.面,深度vs.廣度),需要車企的網(wǎng)絡安全團隊來解決。這時,其它企業(yè)解決相同問題的做法將會成為非常有價值的參考。

BSIMM能夠成為安全團隊的“他山之石”

軟件安全構(gòu)建成熟度模型(BSIMM,the Building Security In MaturityModel)是業(yè)界最佳安全實踐模型之一,由新思科技(Synopsys)和BSIMM社區(qū)自2008年起合作開發(fā),旨在幫助企業(yè)規(guī)劃、執(zhí)行、評估和完善其軟件安全計劃(SSI),迄今已迭代了12個版本。

目前車輛行業(yè)的網(wǎng)絡安全問題絕大部分是與車輛聯(lián)網(wǎng)化、智能化的趨勢有關(guān)。另外,隨著整個行業(yè)掀起軟件定義汽車(SDV,Software Define Vehicle)的熱潮,新思科技相信對軟件安全問題的關(guān)注只會有增無減。眾多物聯(lián)網(wǎng)垂直行業(yè)的企業(yè)以及高科技行業(yè)生產(chǎn)企業(yè)已經(jīng)采用了BSIMM評估,衡量及創(chuàng)建產(chǎn)品相關(guān)的安全活動,而不僅僅是針對軟件或應用程序。

治理主導vs.工程主導

最新BSIMM12有觀察到企業(yè)為達成成熟的安全體系會有兩種路徑:通過合規(guī)要求,自上而下的推進安全體系建設;通過工程團隊自下而上地來提升安全能力。以治理為主導的團隊通常專注于規(guī)則、門檻和合規(guī)性;而以工程為主導的工作通常專注于功能速度、通過自動化避免錯誤和軟件彈性。成功不需要相同的觀點,但為了保證達成公司的安全目標,這些觀點需要統(tǒng)一起來。這意味著團隊必須在風險管理問題上進行合作,揚長避短。

所以,目前眾多車企所采取的由工程項目來驅(qū)動完整網(wǎng)絡安全體系建設的做法,還是需要網(wǎng)絡安全團隊能夠從整體框架上有全局的理解,并能夠在企業(yè)內(nèi)部獲得足夠的支持,而不僅僅是局限在具體項目層面。

新思科技促進智能網(wǎng)絡汽車行業(yè)健康發(fā)展 BSIMM評估為安全團隊提供“他山之石”

威脅分析與風險評估

2021年還有一個很重要的行業(yè)法規(guī)發(fā)布——ISO/SAE 21434《道路車輛-網(wǎng)路安全工程》(Road vehicles – Cybersecurity engineering)。ISO/SAE 21434為車輛產(chǎn)品的全生命周期,定義了一個網(wǎng)絡安全流程要求以及網(wǎng)絡安全風險管理的框架。

直到ISO/SAE 21434的正式發(fā)布版本,才使用了威脅分析與風險評估(TARA, Threat Analysis and Risk Assessment)這個名詞來替換之前版本中所使用的比較普適的風險評估(risk assessment),并將其作為一個單獨章節(jié)來規(guī)定TARA活動的工作交付物及相關(guān)需求。這在一定程度上反映了整個車輛行業(yè)對于TARA活動的重視。

BSIMM安全框架在情報這個領域中強調(diào)了攻擊模型這個實踐。攻擊模型實踐特指從攻擊者的角度思考安全問題,并收集相關(guān)的信息,包括威脅建模輸入、濫用案例、數(shù)據(jù)分類和特定于技術(shù)的攻擊模式等。在最新的BSIMM12的報告中,攻擊模型這個實踐下有闡述了11項被觀察到的具有典型意義的安全活動,它們可以作為參考幫助安全團隊補齊在這方面的不足。

滲透測試

車企網(wǎng)絡安全團隊常常利用滲透測試來發(fā)現(xiàn)暴露產(chǎn)品漏洞,推動安全需求的落地。在BSIMM12的報告中也反映了,有87%的受訪參與企業(yè)被觀察到會利用外部的滲透測試服務來發(fā)現(xiàn)問題。

滲透測試項目一般對于測試人員會有一個固定的測試項目周期要求,而且很多都是以黑盒的方式對測試人員提供測試環(huán)境和目標。所以往往測試人員會花比較多的精力和時間在發(fā)現(xiàn)系統(tǒng)漏洞上,而在有限的項目時限里很難去深挖一些比如業(yè)內(nèi)未知的漏洞,或擴大滲透的覆蓋率。

BSIMM12中也提到了一個被觀察到的安全活動,安全團隊應該盡可能地向滲透測試人員提供可用的技術(shù)信息,無論是內(nèi)部的還是外部的,都能夠使用可用的源代碼、設計文檔、架構(gòu)分析結(jié)果、誤用和濫用案例、代碼審查結(jié)果以及云環(huán)境等部署配置來做更深入的分析,發(fā)現(xiàn)更多有趣的問題。將黑盒變?yōu)榛液小?

安全事件響應

沒有100%安全的系統(tǒng)和產(chǎn)品,所以安全的一個主要目標是能夠及時有效地對安全事件做出響應,做好風險管理,并及時做出整改。同ISO/SAE 21434標準和UNECE R155法規(guī)中特別強調(diào)了安全事件響應流程類似,在最新的BSIMM12報告中,BSIMM軟件安全框架中也有針對性地定義了配置管理和漏洞管理這個安全實踐,并闡述了相關(guān)的12 個被觀察到的安全活動。例如創(chuàng)建事件響應機制或者與事件響應團隊交流。有84% 的 BSIMM12 參與企業(yè)已經(jīng)啟動了這個流程,讓他們的軟件安全小組與組織的事件響應小組聯(lián)系起來,以保持關(guān)鍵安全信息雙向流動。

對于網(wǎng)絡安全領域來說,挑戰(zhàn)來源于外部不斷演進變化的威脅。企業(yè)的安全團隊需要一個持續(xù)改進的工作驅(qū)動模式。一直以來,新思科技支持企業(yè)管理應用安全,進而構(gòu)建可信的軟件。除了BSIMM評估,新思科技還提供覆蓋軟件開發(fā)生命周期的安全測試解決方案,包括Coverity®靜態(tài)應用安全測試以及Black Duck®軟件組成分析。

現(xiàn)在,各行各業(yè)都在加速數(shù)字化轉(zhuǎn)型,技術(shù)也不斷更新迭代。這背后離不開軟件的支持??梢哉f軟件是數(shù)字化轉(zhuǎn)型的核心,使企業(yè)能夠以創(chuàng)新的方式為客戶創(chuàng)造價值。如果軟件出現(xiàn)安全漏洞,通常也意味著業(yè)務運營存在危險,容易遭受攻擊。因此,各大企業(yè)都在積極部署軟件安全計劃,以更順暢地完成數(shù)字化轉(zhuǎn)型,以及獲得用戶的信賴。新思科技希望能繼續(xù)為中國車企及其它行業(yè)客戶管理軟件風險,提升競爭力,推動產(chǎn)業(yè)完善安全生態(tài)。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉