3.0 车辆整个生命周期中管理网络风险需要新的方法
更严格的网络风险管理流程和合规性文件
需要建立更严格的网络风险管理流程并制定合规性文件。这包括创建管理系统(网络安全管理系统),软件更新管理系统,明确角色和职责以及完善评估和管理车辆网络风险的正式流程。参与者应根据组织结构和成熟度调整现有管理体系(如质量管理)或建立新体系。
到目前为止,尚未与所有原始设备制造商确定汽车网络安全(或产品网络安全)的作用,并充分显示其在质量,工程,IT,软件,采购和法律方面的多面性。功能域所有者承担汽车网络安全的责任,操作系统和中间件提供基本功能。企业IT已经确立了首席信息和安全官的角色,他们负责整个IT领域;汽车网络安全也需要类似的角色。这可以通过重新定义当前的信息和安全官角色或完全建立新的跨职能角色来实现。
监管机构,型式认证机构,保险公司和业务合作伙伴可能会要求采用更正式的结构和流程,包括进行认真的文档记录。他们将来可能还需要证据证明网络安全实践的运营有效性以及OEM是否符合相关法律要求和标准(例如,UNECEWP.29法规或ISO / SAE 21434和ISO / AWI 24089标准)。
汽车价值链参与者之间新的工作方式和服务水平确保了车辆的“设计安全”
随着汽车网络安全与型式认证的联系更加紧密,OEM将要求其上游合作伙伴(如供应商和半导体公司)遵守更高的行业标准和新程序。这就需要新的合同协议。在遵守过程文件的监管要求过程中,可能会产生新形式的评估、审核和认证;例如,根据新兴标准(如ISO/SAE 21434和ISO/AWI 24089)对供应商进行独立的第三方审核。从市场的角度来看,这可能会产生对汽车网络安全和软件更新实践,及其各自的行业标准的实施,评估和认证服务的需求。
能够检测传统企业范围以外的数字汽车生态系统中的安全事件
OEM必须对发生的安全事件做出响应。这些事件形式各样,包括存在新的或潜在漏洞的证据,甚至是对其车辆的实际攻击。汽车制造商将需要新的组织、程序和技术能力,从而检测和应对其车辆内部和周围的汽车网络安全事件:
-组织能力 将汽车网络安全嵌入组织DNA中,并实行快速处理汽车网络安全话题的行动。
-程序能力 根据车辆SOC,对日志事件数据进行收集和分析,监测车辆和相邻生态系统组件的安全事件,对车辆SOC内典型的一级和二级分析员无法解决的安全事件做出响应。
-技术能力 适用于车辆和数字汽车生态系统中的软件,该软件可收集日志事件并向车辆SOC和安全事件响应团队提供信息以检测异常和其他不良事件(例如,车辆入侵检测系统)。此外,需要培养调查异常事件根源的能力。
此外,潜在攻击的蓝图可能会被犯罪分子在暗网上出售给其他犯罪分子。考虑到这一点,汽车制造商还应该充分利用白帽黑客和安全研究人员所在的,全球汽车网络安全社区的力量和知识,并跟随其他行业建立漏洞赏金计划。应实施激励和奖励计划,鼓励白帽报告他们发现的漏洞,以便车主在问题广知和恶意利用之前修复问题。
在世界某一地区制造的车辆,可能会在在其他地区销售,因此必须考虑数据隐私和隐私监管。这就产生了对软件和车辆SOC的区域特定版本的潜在需求。
车辆SOC的设置和组织锚定是一个开放的话题,目前还没有明确一个最佳操作。对于车辆内部SOC,锚定装置至少有三种选择:(1) 将其集成到企业IT或OTSOC中,(2)将其集成到质量保证单元中,或者(3)集成到车辆软件研发单元中。除此之外,将整车SOC外包给企业SOC服务公司或专用车辆SOC公司。最后,还可以选择在多方之间创建一个联合车辆SOC服务,通过分享对最近攻击处理的见解,还可以联手对抗潜在的未来攻击,从而增强对网络威胁的集体防御。
久而久之我们就会知道这些选择中的哪一个会成为主导。最初,我们认为,车辆SOC将在内部建立,以增强能力和尝试不同的模型。不管怎样,我们预计在未来几年内,车辆SOC服务的市场将不断增长(见第4节)
在整个车辆生命周期内提供安全补丁的服务级别
在整个车辆生命周期内提供安全补丁对于车辆的安全运行至关重要。一辆车的寿命通常为十年甚至更长的时间,因此需要在一段时间内进行定期更新。这使车辆更像飞机和轮船,它们的更新时间更长,而与消费类产品(如PC,智能手机,平板电脑或智能电器)的更新恰恰相反。
汽车行业需要采用长寿命的车辆操作系统和可靠的软件架构,以掌握复杂性,并能够常年提供新的软件版本和更新。这就意味着像OEM与供应商之间的合同必须阐明谁在哪个时期内提供哪些软件更新。有关软件更新管理的ISO / AWI 24089标准的工作最近已经开始,在此期间还将提供有关更新要求的指南。
个人电脑和智能手机的例子表明,安全更新对于设备的安全运行至关重要。例如,如今,windowsxp的初始版本是不安全的,并且在联网后的几分钟内就会被感染了。对于汽车来说,安全更新尤为重要,因为袭击可能危及司机、乘客和其他人的生命安全。除了人工成本外,汽车的价格也远高于智能手机,因此消费者对汽车整个生命周期内的软件更新的期望值可能会很高
4.0 汽车行业高管应制定汽车网络安全战略
展望汽车网络安全市场规模与机遇
我们将汽车网络安全市场细分为三个部分:汽车网络安全硬件、汽车网络安全相关软件开发工作、汽车网络安全流程和解决方案。根据外部专家访谈、麦肯锡分析和汽车软件市场的预测模型,我们对汽车网络安全的市场预测一直到2030年。我们预计市场将从2020年的49亿美元增长到2030年的97亿美元,相应的年增长率超过7%(见表6)。这与汽车软件和硬件总市场的增长是一致的。我们预计在以下这些领域将出现重大变化,尤其是:
-OEMS正在追求垂直整合,例如,构建自己的汽车网络安全组件甚至软件堆。
-供应商通过提供专门的汽车网络安全咨询服务来推动自己在价值链中的发展。
-新兴企业正以创新的解决方案进入市场,例如专门的安全检测应用程序或车辆SOC服务。
-IT和OT公司正在通过提供后端解决方案或汽车网络安全组件,扩展到相邻的汽车网络安全市场。
-半导体公司正在挤进价值链的上游, 例如,他们开发针对芯片进行优化的软件。
管理汽车网络安全硬件组件
目前安全算法和密钥存储有两种类型的专用安全组件:
-嵌入式硬件安全模块(eHSM):提供基本功能
-可信平台模块(TPM):提供比eHSM更强大的功能,更具灵活性。
这些硬件模块已经集成到某些ECU中。我们预计这些模块的普及率将持续增长。到2024年,每个ECU都将配备eHSM或TPM。两者之间的选择取决于ECU所需的性能和灵活程度。我们注意到安全性的额外软件需求,对计算能力和内存的需求也较高。我们的模型扩大了通用芯片的市场,且对专用安全元件没有影响。因此排除了这种影响。
硬件安全市场预计将在2025年前持续增长,并且在2030年前保持平稳。这是由三种预测驱动的:
-更高的ECU销量。ECU的总销量将在2025年前增加,之后保持不变。每辆车的ECU数量,将会在增加连接性和软件功能之后增加,而车内ECU的整合平衡了ECU数量的增加。
-安全模块市场饱和。硬件安全模块的普及率也将在2025年左右达到饱和,相应地,预计2024年将实施UNECE WP.29汽车网络安全和软件更新法规。
-硬件价格小幅上涨。安全硬件的成本预计不会大幅增加。由于高产量和优化生产造成的价格下降,将由更高的性能和新的功能弥补。
我们预计现有半导体公司可能继续控制市场,但如果硬件安全模块成为重要的差异化因素,那么OEMS 或供应商也有机会进入市场。在其他市场上已经观察到类似的行为。例如,一家领先的汽车OEM已经开发了独家自动驾驶的专用芯片。在消费领域,一些原始设备制造商已经开发出了自己的片上系统——一些片上系统甚至包括专用的安全组件。
汽车网络安全相关软件开发
软件是保证汽车安全的第二个关键因素。我们列举了对汽车网络安全市场这一方面的看法,并考虑了两个方面:
-软件设计与开发。市场参与者必须明确要求和设计组件,并开发用于汽车网络安全组件和功能组件的实际软件,以满足安全要求。
-软件集成、验证和验证。市场参与者必须将软件子系统整合到一个更大的系统中(ECU/DCU,符合车辆级别),并确保开发的功能符合规范要求,并且能达到其目的。这不仅包括集成和测试汽车网络安全元素的工作,由于增加的安全性要求,还需要进行集成和测试功能组件的其他工作。
对于这两个方面,我们研究两个主要的子组件:操作系统和中间件以及功能域。
操作系统和中间件需要体现许多安全功能,包括安全协议、身份和访问管理、入侵检测和加密功能的抽象层。然后,功能域(如下所述)使用这些功能来保护通信并避免产生后门程序。
所有功能域也需要得到保护,但是它们中的许多功能域,几乎可以完全依赖操作系统和中间件提供的安全功能。需要额外的安全性工作的重要领域是ADAS和HAD,信息娱乐以及连接性和安全性。
预计未来几年,软件开发市场将以每年约10%的速度稳步增长,到2030年将达到53亿美元(见图表7)。汽车软件市场,尤其是汽车网络安全软件市场,会出现大量与ADAS模型相关的竞争。
图7
汽车网络安全流程和解决方案
总的来说,汽车网络安全流程和解决方案市场—预计到2030年将达到34亿美元(见附件8)其中包括执行活动所需的人员和工具。如下,我们将这个市场分为两个子市场:
汽车网络安全过程包括与软件跟踪、风险管理、监管要求、合规性认证/审计以及事件响应相关的活动。市场规模将在2025年左右达到顶峰,这是由于客户的增加、质量期望的提高和网络威胁增加,以及新的UNECE WP.29汽车网络安全和软件更新法规的推动。在初始投资实现合规性之后,投资和规模扩张的工作将减少。
-软件跟踪。该条例对可跟踪性提出了三项要求:i)对组件和每个组件的所有软件版本进行库存管理,ii)根据软件更新验证不同组件版本之间的兼容性,以及iii)根据软件更新评估对安全相关组件的影响。
-风险管理。即将出台的法规和标准,将为制定和实施风险准则奠定基础。为了确保员工遵守风险管理指南,需要定期进行评估。
-遵守法规要求。汽车制造商必须实施并遵守法规中规定的最低要求(例如,UNECE WP.29)以及生产标准(例如,ISO/SAE 21434和ISO/AWI 24089)。这将提高严格性、增强功能需求和投资(包括前期和后续的)。这方面采取的行动将会有更强大的工程要求,并且要符合具有固有安全特性的体系设计形式。
-工艺合规性认证/审核。认证机构对OEM是否符合行业标准和法规进行认证。
-事故响应。响应包括分析异常情况,联系软件研发团队解决问题,向车辆或后端推送软件更新,以及与事故车主进行沟通。如果可以通过空中传送更新来解决问题,则不必对车返厂维修。
汽车网络安全解决方案涉及车辆SOC,用于监控车辆中的异常情况(参见文本框)。例如,可以通过联系外部的OEM或内部服务供应商来处理问题。车辆SOC需要专业人员操作,处理车辆事故。
汽车网络安全流程和汽车网络安全解决方案市场,为创建新业务提供了许多机会。流程合规性领域将为所有子类别的测试,检查和认证提供者提供机会。
监控和获利-车辆SOC的概念和商机
SOC在企业IT领域已经是一个成熟的概念,但对于汽车软件来说,这是一个相对新颖的概念。车辆SOC监控车辆系统中的异常,这些异常由车内的入侵检测传感器检测。
例如,这些传感器可以检查通信总线上的数据流量、监视软件进程或跟踪ecu的输入/输出操作。SOC对任何检测到的异常情况发出警报,这些异常通过专家的分析,区分真正的威胁和误报。在确认攻击事件后,触发事件处理程序,并在需要时采取应对措施,例如空中传送更新。
车辆SOC仍处于起步阶段。它的发展需要解决许多问题,特别是在定价时和获取支持期间。修复漏洞或防御攻击的成本可能会有很大差异,这是“事件响应”类别的一部分。对于终端消费者来说,在整个使用期间,SOC的支持,以及车辆软件的定期安全更新将变得至关重要。
未来几年,市场将提供广泛的机会:从提供专业知识到提供工具支持,再到将SOC作为服务运营。考虑到安全更新的重要性以及对车辆ECU和DCU进行监控的重要性,OEM可能会在几年后收取年费,从而将SOC视为获得额外收入的机会。
这符合现有订阅服务(如交通信息或高级连接)的定价模式。但OEM是选择走这条路,还是选择免费提供终身服务,还有待观察。
战略合作伙伴关系将不同的汽车生产商聚集在一起,共同发挥各种能力
-管理车辆网络风险
-通过设计确保车辆安全
-检测和响应安全事件
-提供安全可靠的软件更新
-渗透测试和咨询服务
我们对超过20家合伙企业进行了分析,提出了以下见解(见图9):
-大多数合作关系建立在现有的OEM或一二级供应商与初创公司或安全专家之间。
-我们看不到,也不希望看到大型的相互合作关系,就像自动驾驶的互联网一样。
-合作关系涵盖汽车网络安全功能的所有要素。
-我们发现很少有IT或OT汽车网络安全公司进入汽车网络安全市场。原因可能是,IT和OT网络安全市场相比,后者的市场规模要小得多,或者由于在细节层面上,汽车网络安全采取了截然不同的做法,因此协同效应产生了限制。
-半导体公司似乎还在承担汽车网络安全硬件业务,因为我们没有发现任何汽车网络安全芯片公司。
这些合作关系为OEM和一级/二级供应商,提供了获取汽车网络安全产品,服务和技能的途径,但对合作者而言,在内部建立汽车网络安全知识将是关键。每个行业从事者,都必须对其业务领域有深入的汽车网络安全架构知识,并且对其应用程序进行单独安全保护。只有当汽车网络安全文化成为不可或缺的一个组成部分时,才能实现这一目标。
图9
对伙伴关系的需求将为初创企业打开大门,而他们通常会遇到较大的市场进入壁垒;也就是说,如果初创企业规模太小,OEM和一级供应商就无法与其建立关系。OEM和一级供应商通常对合作企业的最小规模和业务量有规定,以确保业务合作伙伴的经济稳定性,并保持合作伙伴数量的可控性。
现在已经有许多收购、合资企业和初创企业与OEM/一级供应商之间的合作,将来还会出现更多。
着手了解不断变化的行业环境-实用建议
对于所有参与者而言,尽早确定方向并制定战略很重要,但是战略优先级别,机遇和考虑因素,会根据公司在价值链中所处的位置而大相径庭。对于所有参与者而言,有效的的第一步可能包括:
影响评估。所有汽车制造商,应对新的UNECE WP.29法规对其流程和业务产生的影响,进行评估。这对确保法规开始实施后,OEM批准新车型来说是必要的(专家预计,欧盟将从2O22年开始对新车类型和2O24年对所有车辆类型进行合规)。
能力图。通过分析能力图,所有参与者都可以确定自己的优势领域以及需要改进的领域,并确定具体需求。通过培养内部技能或外部采购来解决这些需求。
优先实施。需要优先考虑已经确定的能力差距,并且大概确定实施的关键途径。鉴于时间紧迫,多个项目一同进行,并且涉及众多利益相关者,因此确定优先顺序是一个关键的成功因素,其次是培养所需的技能和劳动力。
公司只有既了解其内部优势,又了解法规对其业务的影响,才可以确定汽车网络安全发展带来的潜在商机。潜在的机会包括一系列可以开发并投放到市场的产品,对供应商来说尤其如此。必须明确的一点是,并非所有参与者都能接触到汽车网络安全市场的各个方面。例如,在未来,硬件业务预计仍将掌握在半导体公司手中。
下面列出了我们认为可以为各种参与者提供机会的领域,包括那些尚未活跃于汽车行业的参与者:
—车辆SOC。汽车soc市场将在未来几年出现。与企业IT SOC类似,我们希望看到第三方车辆SOC,以及软件公司提供产品来运营这些SOC。
—测试,检查和认证。和其他审核一样,汽车网络安全审核市场掌握在第三方手中。我们希望在未来几年内各种各样的公司可以活跃在这个市场中,例如四大会计师事务所和专门从事审计和认证的公司。
—软件组件。整个行业都需要安全组件,例如加密算法、密钥管理和入侵检测。因为很难从头开发,所以现成的软件组件和创新的解决方案将会产生市场。
— 软件工程和生命周期工具。借助精确度高的工具,软件开发人员和测试人员的生产率可以显著提高,鉴于要高效的生产工作,公司愿意为优质的产品付费。有很多工具可以帮助安全专家,包括渗透测试工具、软件版本管理工具和软件跟踪工具。
— 创新创业公司。它们也试图进入市场,但很可能面临巨大的壁垒。由于规模庞大,初创企业很难直接与OEM 取得联系。他们需要通过其他途径与OEM接洽,例如通过OEMS1风险投资基金或与供应商合作。
