聯合國車輛安全法規 UR R155 所列攻擊途徑的威脅模型,如何影響連網汽車演進?

聯合國車輛安全法規 United Nations Regulation No. 155 訂定了有關車輛的網路資安要求。為了協助企業遵從這項規範,我們嘗試根據其定義的攻擊途徑來建立威脅模型以進行風險評估,並找出必須優先處理的項目。

聯合國車輛安全法規 UR R155 所列攻擊途徑的威脅模型如何影響連網汽車演進

聯合國車輛安全法規 United Nations Regulation No. 155 針對車輛內部的網路資安與資安管理訂定了一些規範。該文件特別值得注意的是「附件 5」(Annex 5),其中列出了 69 項可能影響車輛網路資安的攻擊途徑。為了協助企業遵從這項規範,我們嘗試根據其定義的攻擊途徑來建立威脅模型以進行風險評估。

這項法規所帶來的挑戰之一,就是製造商必須自行執行風險評估來建置最佳的網路資安措施,並以「附件 5」作為參考。

我們在一份名為「根據聯合國世界車輛法規協調論壇 WP.29 的 UN R155 規範所列攻擊管道與其他內容探討連網汽車網路資安重點領域」(Identifying Cybersecurity Focus Areas in Connected Cars Based on WP.29 UN R155 Attack Vectors and Beyond) 的研究報告當中運用 DREAD 威脅模型來評估「附件 5」當中所列攻擊途徑的風險等級。首先,我們根據目前的技術與威脅情勢來進行評估。接著,們根據我們對於這些技術與威脅未來將如何演變再重新評估一次。以下概要說明這份報告的內容。

UN R155 的攻擊途徑與當今的風險指標


「附件 5」當中所列的攻擊途徑,基本上可根據其可能影響連網汽車生態系的因素來歸類,例如:後台系統、通訊管道、更新程序、外部連線,以及資料/程式碼。我們使用 DREAD 威脅模型來發掘一些目前可能最需要集中心力解決的高風險途徑。

我們將當今的技術、駭客的工具、技巧與程序 (TTP),以及汽車網路攻擊領域已發表的一些研究,套入 DREAD 威脅模型來分析這些攻擊管道。在「附件 5」所列的攻擊途徑當中,我們發現許多關於車輛資料/程式碼的都屬於高風險領域。其原因之一是,行車參數遭到竄改很可能引發嚴重後果,甚至可能致命。

連網汽車的未來


我們的風險評估是根據目前的技術、駭客 TTP 以及已發表研究。下一個十年,這些因素很多都將有所變化 (尤其是 5G 網路的普及),因此威脅情勢可能徹底改觀。根據過去的研究,我們就能預測一下今日連網汽車生態系未來可能經歷的轉變。

其中有幾項預測是:車聯網 (Vehicle-to-Everything,V2X) 通訊技術將成為主流、資料供應鏈 (也就是資料生命週期) 將成為連網汽車資安的一項關鍵要素、主單元 (head unit) 將支援廣大的第三方應用程式生態系。完整的預測項目清單,請參閱我們的研究報告,不過光從以上這三點,我們就能推測這些變革將如何影響不同攻擊途徑的風險等級,比方說與通訊管道和資料/程式碼相關的風險。

未來風險評估


在釐清連網汽車技術可能的演變之後,接著,我們重新根據 DREAD 威脅模型來預測一下各個攻擊管道的風險。我們發現,未來通訊管道的風險將大幅攀升。我們之所以認為通訊管道的風險較高,是因為未來車輛透過內部及外部 API 來做連結的程度一定越來越高。雖然這應該是短期未來才會發生的事,但汽車網路資安必須從設計之初便仔細考慮到後台系統、API、資料防護等等因素,才能更充分因應目前及未來的風險。

Figure 1. Percentages of current and future high-risk threats. Communication channel related attack vectors will take up most of the total high-risk threats followed by data/code.圖 1:目前及未來高風險威脅的分布比例。通訊管道相關的攻擊途徑未來將囊括絕大多數高風險的威脅,其次是資料/程式碼。

另一項較普遍的觀察是,沒有一項攻擊管道是屬於低風險。未來, UN R155 所定義的威脅,不是中風險就是高風險威脅。

圖 2:目前及未來各個風險等級的分佈比例。
Figure 1. Percentages of current and future high-risk threats. Communication channel related attack vectors will take up most of the total high-risk threats followed by data/code.
圖 2:目前及未來各個風險等級的分佈比例

之所以出現這樣的結果,我們認為其中的一個原因是:在下一個十年當中,一些需要具備駭客能力才能執行的技巧,有朝一日將只需利用黑暗網路(Dark Web,簡稱暗網)買來的隨插即用工具或者經由網際網路以無線方式就能執行。而一些現成技術的成熟,也讓某些攻擊途徑變得更容易複製,這也是我們在套用 DREAD 威脅模型時所考慮到的一項因素。時間一久,專門攻擊連網汽車的駭客,其技巧將日益純熟,其工具也會越來越普及。所幸,科技的進步也將帶來更先進的資安防護,尤其是在雲端的助益下。

結論與建議


我們建立當前與未來威脅模型的目的,是要發掘威脅情勢的轉變,協助資安人員訂定長期計劃來因應這些威脅。總結來說,眼前的焦點應該擺在後台系統與資料防護,但也要替未來預做準備,因為屆時通訊管道的風險將大幅攀升。正如我們在當前及未來的風險評估中所指出,我們建議製造商從車輛設計階段就對後台系統、API、資料防護都擁有深入的了解,這不僅有助於防範當前的攻擊,更能為未來的 5 到 10 年預做準備。

很重要的一點是,製造商與資安相關人士應該根據 UN R155 規範做好自己的風險評估,這有助於企業決定網路資安解決方案的最佳部署方式。因為,基於各種條件限制,想要一次就部署好所有的解決方案並不切實際。在決定好優先次序之後,製造商就能採階段性方式部署解決方案。整體而言,隨著威脅與科技雙頭並進,我們建議連網汽車應該朝著提升高速行駛安全性的方向設計。

如需有關我們對當前的風險評估、連網汽車的未來,以及其他法規之外的重點領域的更多資訊,請參閱這份研究報告:「根據聯合國世界車輛法規協調論壇 WP.29 的 UN R155 規範所列攻擊管道與其他內容探討連網汽車網路資安重點領域」(Identifying Cybersecurity Focus Areas in Connected Cars Based on WP.29 UN R155 Attack Vectors and Beyond)。

原文出處:The Evolution of Connected Cars as Defined by Threat Modeling UN R155-Listed Attack Vectors 作者:Numaan Huq 與 Rainer Vosseler