專訪C2A Security首席執(zhí)行官M(fèi)ichael Dick：汽車全生命周期的網(wǎng)絡(luò)安全管理如何實(shí)現(xiàn)？

電子發(fā)燒友網(wǎng)報(bào)道（文/吳子鵬）美東時(shí)間2020年10月14日，行業(yè)領(lǐng)先的汽車網(wǎng)絡(luò)安全解決方案供應(yīng)商C2A Security正式宣布推出其旗艦級(jí)網(wǎng)絡(luò)安全產(chǎn)品AutoSec，這是行業(yè)內(nèi)首個(gè)綜合性的網(wǎng)絡(luò)安全生命周期管理平臺(tái)，為整車廠和一級(jí)供應(yīng)商提供可視性和控制性，以滿足汽車全生命周期的網(wǎng)絡(luò)安全需求。

對(duì)于整個(gè)汽車產(chǎn)業(yè)而言，AutoSec無(wú)疑就是一場(chǎng)“及時(shí)雨”。當(dāng)前，全球各地區(qū)在智能網(wǎng)聯(lián)汽車相關(guān)標(biāo)準(zhǔn)方面雖然在積極規(guī)劃，但標(biāo)準(zhǔn)最終落地尚需時(shí)日，且產(chǎn)業(yè)正處于日新月異的爆發(fā)期，很多創(chuàng)新難以及時(shí)寫入標(biāo)準(zhǔn)中。從另一個(gè)維度來看，智能+網(wǎng)聯(lián)給汽車產(chǎn)業(yè)塑造了一個(gè)全新的安全業(yè)態(tài)，新型安全防護(hù)建設(shè)成為重點(diǎn)，也是難點(diǎn)。

C2A Security是可信賴的端對(duì)端汽車網(wǎng)絡(luò)安全解決方案供應(yīng)商，由現(xiàn)任CEO Michael Dick于2016年創(chuàng)立。他也是NDS的聯(lián)合創(chuàng)始人，NDS以50億美元的成交價(jià)被思科收購(gòu)。

“在公司成立之前，我們參觀采訪了一些整車廠和一級(jí)供應(yīng)商，深入了解了它們的痛點(diǎn)、需求以及目前方案供應(yīng)商未能解決的問題。根據(jù)這些實(shí)際需求，我們成立了C2A Security，推出了自己的方案?！?Michael Dick在接受電子發(fā)燒友專訪時(shí)表示，“C2A Security的方案采用了分布式的防火墻，橫跨多個(gè)網(wǎng)絡(luò)和部件。AutoSec平臺(tái)能夠最大化利用現(xiàn)有資源，自動(dòng)開展這一流程。通過這一功能，我們的系統(tǒng)能夠快速識(shí)別異常情況?！?/p>

圖為C2A Security首席執(zhí)行官M(fèi)ichael Dick

為什么需要AutoSec？

在C2A Security官網(wǎng)的AutoSec平臺(tái)白皮書中有提到，網(wǎng)絡(luò)安全方面的挑戰(zhàn)不斷變化，需要在開放生態(tài)系統(tǒng)之下快速采取保護(hù)措施，而AutoSec在兩者之間建立了必要的聯(lián)系。白皮書匯總了AutoSec的八大核心優(yōu)勢(shì)，如下圖所示。

AutoSec八大核心優(yōu)勢(shì)，圖源：AutoSec平臺(tái)白皮書

在汽車產(chǎn)業(yè)推進(jìn)智能網(wǎng)聯(lián)的過程中，由于增加了更多的智能化功能，產(chǎn)業(yè)鏈上中下游的產(chǎn)品形態(tài)也在發(fā)生著巨大的變化，多樣化的半導(dǎo)體芯片、算法和整體方案進(jìn)入到車廠的供應(yīng)鏈中，這讓很多車廠對(duì)建立全周期汽車網(wǎng)絡(luò)安全感到有心無(wú)力。Michael Dick指出，“作為網(wǎng)絡(luò)安全管理系統(tǒng)，AutoSec讓整車廠可以自行定義安全政策，并將其推行至供應(yīng)鏈中所有系統(tǒng)和子系統(tǒng)。通過這種方法，整個(gè)供應(yīng)鏈的安全需求得以實(shí)現(xiàn)統(tǒng)一，整車廠也能對(duì)不同的供應(yīng)商進(jìn)行跟蹤，了解有哪些沒能遵循安全政策。其中，安全政策包括風(fēng)險(xiǎn)等級(jí)定義、特定的硬件安全實(shí)施要求等?！?/p>

根據(jù)Michael Dick的描述，整車廠依托AutoSec打造的網(wǎng)絡(luò)安全系統(tǒng)中，從供應(yīng)鏈到整車廠有著清晰明確的角色分配，方便各環(huán)節(jié)管理自己負(fù)責(zé)部分的網(wǎng)絡(luò)安全，并最終由整車廠統(tǒng)管。他強(qiáng)調(diào)，這是AutoSec平臺(tái)的重要關(guān)注點(diǎn)，并以下方幾張圖做了演示。

系統(tǒng)演示圖一，圖源：C2A Security

通過系統(tǒng)演示圖一可以看到，AutoSec建模概念支持利用名為“系統(tǒng)”的邏輯功能來安排建模。

系統(tǒng)演示圖二，圖源：C2A Security

Michael Dick解讀系統(tǒng)演示圖二時(shí)講到，AutoSec支持自定義用戶角色，系統(tǒng)粒度允許管理員為組織或供應(yīng)鏈中的特定用戶指定特定系統(tǒng)。在這種情況下，用戶只能看到指定給自己的系統(tǒng)。

系統(tǒng)演示圖三，圖源：C2A Security

系統(tǒng)演示圖三則體現(xiàn)出，整車廠具有最高級(jí)別的管理員權(quán)限，用戶只能使用或分析自己的系統(tǒng)，而管理員可以跟蹤所有系統(tǒng)的進(jìn)度和風(fēng)險(xiǎn)狀態(tài)。

這些對(duì)產(chǎn)業(yè)而言都非常重要，無(wú)論是傳統(tǒng)汽車產(chǎn)業(yè)鏈還是智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)鏈，每一個(gè)廠商在這其中都有明確的定位和分工，平臺(tái)和數(shù)據(jù)權(quán)限劃分清楚是必要的。首先是能夠“責(zé)任到人”，設(shè)備制造商和供應(yīng)商必須能夠在整個(gè)車輛生命周期內(nèi)部署和維護(hù)針對(duì)網(wǎng)絡(luò)攻擊的車載保護(hù)。其次，AutoSec為用戶提供了對(duì)整個(gè)網(wǎng)絡(luò)安全生命周期的絕對(duì)透明度。

從AutoSec平臺(tái)白皮書能夠看到，AutoSec通過觀察、檢測(cè)、設(shè)計(jì)、保護(hù)和反應(yīng)五大環(huán)節(jié)來確保整個(gè)車輛生命周期內(nèi)的網(wǎng)絡(luò)安全。利用云和本地部署的方式，在車庫(kù)、流水線、安全運(yùn)營(yíng)中心、第三方、汽車信息共享和分析中心以及固件空中升級(jí)六大節(jié)點(diǎn)全方位部署并實(shí)施保護(hù)，并在此過程中杜絕來自U盤等外部隱患，通過OTA功能實(shí)時(shí)升級(jí)補(bǔ)丁。

AutoSec塑造汽車安全周期，圖源：AutoSec平臺(tái)白皮書

“我們假定IVI（車載信息娛樂系統(tǒng)）是不安全的，也假定黑客能通過U盤加密或其他方式入侵IVI系統(tǒng)。我們要做的是保護(hù)汽車的安全系統(tǒng)，阻止任何入侵IVI系統(tǒng)的惡意或非法信息深入汽車網(wǎng)絡(luò)?！盡ichael Dick談到，“通過內(nèi)嵌式工具，AutoSec能夠嵌入企業(yè)自身的系統(tǒng)，如固件空中升級(jí)系統(tǒng)等，在緊急情況下應(yīng)對(duì)網(wǎng)絡(luò)攻擊。AutoSec的內(nèi)嵌式工具能夠建立針對(duì)IDPS和CFI的短期漏洞解決方案，降低供應(yīng)鏈創(chuàng)建軟件補(bǔ)丁所需時(shí)間，并通過固件空中升級(jí)系統(tǒng)創(chuàng)建下載任務(wù)。”

C2A Security在中國(guó)

北京時(shí)間2021年8月31日，C2A Security宣布進(jìn)入中國(guó)和德國(guó)市場(chǎng)，以加快公司發(fā)展。對(duì)于智能網(wǎng)聯(lián)汽車的發(fā)展，中國(guó)市場(chǎng)是一個(gè)體量巨大且高速增長(zhǎng)的市場(chǎng)。根據(jù)iResearch的統(tǒng)計(jì)數(shù)據(jù)，2016年-2020年期間，中國(guó)智能網(wǎng)聯(lián)汽車市場(chǎng)年同比增速均高于20%，2020年更是實(shí)現(xiàn)了54.3%的高增長(zhǎng)，市場(chǎng)總規(guī)模達(dá)到2556億元。

Michael Dick在接受采訪時(shí)，分別從國(guó)際視角和國(guó)內(nèi)視角對(duì)中國(guó)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展表述了觀點(diǎn)。

從國(guó)際視角看，他認(rèn)為：“中國(guó)的汽車制造商如果針對(duì)海外市場(chǎng)，就必須遵守ISO 21434和UNECE WP 29的規(guī)定，以獲得型式認(rèn)證。我們可以幫助中國(guó)制造商達(dá)到合規(guī)性?！?/p>

從國(guó)內(nèi)視角看，他指出：“在國(guó)內(nèi)市場(chǎng)，網(wǎng)絡(luò)安全也同樣重要。這不光是為了滿足中國(guó)的汽車標(biāo)準(zhǔn)，也是為了保護(hù)汽車的安全、保護(hù)駕駛員和乘客的安全。我們計(jì)劃在中國(guó)組建本地團(tuán)隊(duì)，以滿足國(guó)內(nèi)的市場(chǎng)需求?！?/p>

采訪的最后階段，Michael Dick講到了他對(duì)C2A Security在中國(guó)市場(chǎng)高速發(fā)展的憧憬，“AutoSec 的主要優(yōu)勢(shì)之一就是能夠合乎ISO 21434標(biāo)準(zhǔn)、生產(chǎn)必要的工作產(chǎn)品并實(shí)施正確的工作流。對(duì)于國(guó)內(nèi)的車聯(lián)網(wǎng)標(biāo)準(zhǔn)，也是同樣的道理。此外，V2V交流越發(fā)頻繁，給目前的IDS和防火墻安全提出了全新挑戰(zhàn)。AutoSec網(wǎng)絡(luò)安全管理系統(tǒng)包含獨(dú)特的IDPS編排解決方案，這一方案能夠在整個(gè)模型中平衡IDS負(fù)載，利用現(xiàn)有資源應(yīng)對(duì)挑戰(zhàn)。在AutoSec的幫助下，用戶能夠配置自身工具，以滿足車聯(lián)網(wǎng)標(biāo)準(zhǔn)。因此，C2A Security在中國(guó)市場(chǎng)前景廣闊。”