摘要

      隨著汽車(chē)行業(yè)轉(zhuǎn)變?yōu)閿?shù)據(jù)驅(qū)動(dòng)的業(yè)務(wù)，軟件在車(chē)輛的開(kāi)發(fā)和維護(hù)中發(fā)揮了核心作用。隨著軟件數(shù)量的增加，相應(yīng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、責(zé)任和監(jiān)管也隨之增加，傳統(tǒng)方法變得不再適用于這類(lèi)任務(wù)。相應(yīng)的結(jié)果是整車(chē)廠和供應(yīng)商都在努力應(yīng)對(duì)汽車(chē)軟件日益增加的風(fēng)險(xiǎn)。

      一種解決這一問(wèn)題的新方法被提出了——為ECU軟件構(gòu)建一個(gè)數(shù)字孿生副本，以持續(xù)監(jiān)測(cè)其處在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)環(huán)境下中的情況。使用這種方法，供應(yīng)商可以充分了解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，同時(shí)既可以用于運(yùn)營(yíng)中的車(chē)隊(duì)，也可以用于仍處于預(yù)生產(chǎn)階段的車(chē)輛。

數(shù)字孿生

      制造業(yè)數(shù)字化程度的提高帶來(lái)數(shù)字孿生的引入。在工業(yè)4.0環(huán)境中，孿生是物理對(duì)象或過(guò)程的實(shí)時(shí)虛擬副本。利用仿真軟件，孿生可以?xún)?yōu)化原始副本的使用方法和整體商業(yè)價(jià)值，這是通過(guò)預(yù)測(cè)未來(lái)行為并提出最佳行動(dòng)方案來(lái)實(shí)現(xiàn)的。例如，對(duì)真實(shí)渦輪機(jī)的模擬用于在現(xiàn)實(shí)世界中實(shí)際發(fā)生之前主動(dòng)識(shí)別問(wèn)題，這使系統(tǒng)所有者能夠提前預(yù)測(cè)故障并消除風(fēng)險(xiǎn)。

·   車(chē)輛軟件中的數(shù)字孿生

      模擬汽車(chē)軟件，更具體地說(shuō)是ECU固件，可能是一項(xiàng)艱巨的任務(wù)。汽車(chē)子系統(tǒng)在復(fù)雜性和架構(gòu)上有很大的不同。業(yè)界使用的CPU架構(gòu)、操作系統(tǒng)、框架和風(fēng)格多種多樣。

      然而，這樣的數(shù)字孿生可能會(huì)帶來(lái)許多好處。這種技術(shù)可用于測(cè)試新功能、提高性能和診斷軟件問(wèn)題。更重要的是，它將允許整車(chē)廠和一級(jí)供應(yīng)商嘗試全新的軟件概念或汽車(chē)網(wǎng)絡(luò)架構(gòu)，并了解其整體影響——無(wú)論是功能、性能還是網(wǎng)絡(luò)安全態(tài)勢(shì)。

·   利用數(shù)字孿生實(shí)現(xiàn)持續(xù)風(fēng)險(xiǎn)評(píng)估

      一種這樣的新方法被提出了，新的虛擬化和網(wǎng)絡(luò)安全分析技術(shù)組成了一種新的數(shù)字孿生形式——網(wǎng)絡(luò)安全數(shù)字孿生。這些虛擬構(gòu)建與車(chē)輛組件完全相同，與在道路上和開(kāi)發(fā)中的車(chē)輛所使用的相同步。這些新資產(chǎn)為廣泛的風(fēng)險(xiǎn)分析提供了基礎(chǔ)，而這些分析曾經(jīng)需要由專(zhuān)門(mén)團(tuán)隊(duì)進(jìn)行完整的網(wǎng)絡(luò)安全審計(jì)。這種分析是在數(shù)字孿生上執(zhí)行的——一種復(fù)制并模擬原始ECU固件的解決方案，通過(guò)主動(dòng)掃描來(lái)預(yù)先識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)，如漏洞和其他缺陷。

      網(wǎng)絡(luò)安全數(shù)字孿生是用于持續(xù)風(fēng)險(xiǎn)監(jiān)測(cè)的原始組件的虛擬模擬。此外，這種新形式的數(shù)字孿生還實(shí)現(xiàn)了全新的功能，具有傳統(tǒng)風(fēng)險(xiǎn)評(píng)估方法無(wú)法實(shí)現(xiàn)的優(yōu)勢(shì)。

使用Cybellum V-Ray?構(gòu)建網(wǎng)絡(luò)安全數(shù)字孿生

      作為汽車(chē)網(wǎng)絡(luò)安全軟件領(lǐng)域的創(chuàng)新者，Cybellum已經(jīng)將這種應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)的新方法產(chǎn)品化——為汽車(chē)軟件風(fēng)險(xiǎn)評(píng)估提供數(shù)字孿生模型。

      首先，汽車(chē)軟件鏡像——無(wú)論是ECU或MCU固件，移動(dòng)應(yīng)用程序、電子鑰匙固件，都由Cybellum系統(tǒng)掃描。Cybellum解決方案的核心是一個(gè)名為V-Ray的獨(dú)特風(fēng)險(xiǎn)分析引擎。它被設(shè)計(jì)為一個(gè)可擴(kuò)展的框架，用于自動(dòng)對(duì)汽車(chē)部件進(jìn)行靜態(tài)和動(dòng)態(tài)分析。

      接著，V-Ray解碼二進(jìn)制圖像并將內(nèi)容映射到一個(gè)連貫的軟件物料清單(SBOM)，它還映射操作系統(tǒng)、引導(dǎo)映像、接口、驅(qū)動(dòng)程序、文件系統(tǒng)結(jié)構(gòu)和完整的軟件堆棧映射。

      然后使用鏡像中的底層應(yīng)用程序二進(jìn)制文件創(chuàng)建原始軟件的虛擬運(yùn)行鏡像。從這個(gè)鏡像動(dòng)態(tài)解析機(jī)器級(jí)代碼路徑，以及數(shù)據(jù)流、硬件接口、系統(tǒng)配置、引導(dǎo)時(shí)間認(rèn)證、加密設(shè)置和組件的許多其他特征和參數(shù)。

      虛擬組件副本本質(zhì)上是原始組件的數(shù)字孿生。所有這些都發(fā)生在V-Ray解決方案中，該解決方案是一個(gè)高度靈活的100%純軟件解決方案。V-Ray不需要ECU硬件本身來(lái)執(zhí)行其評(píng)估，這減少了對(duì)專(zhuān)有硬件的需求。因?yàn)樵陬A(yù)生產(chǎn)階段，由于可用性有限，通常很難獲得專(zhuān)有硬件。

Cybellum V-Monitor?一種網(wǎng)絡(luò)安全數(shù)字孿生

      一旦原始組件成為虛擬化的數(shù)字孿生，就可以獨(dú)立于原始組件及其軟件開(kāi)發(fā)進(jìn)度外執(zhí)行風(fēng)險(xiǎn)評(píng)估。

      這些評(píng)估是全面且持續(xù)的，為整個(gè)風(fēng)險(xiǎn)態(tài)勢(shì)提供了清晰、始終更新的視圖，評(píng)估確定每個(gè)特定軟件修訂版本的最新風(fēng)險(xiǎn)。              

      Cybellum V-Monitor?解決方案通過(guò)重復(fù)監(jiān)測(cè)數(shù)字孿生副本來(lái)提供持續(xù)更新的風(fēng)險(xiǎn)評(píng)估。在持續(xù)運(yùn)行的過(guò)程中，所有的孿生副本版本都由專(zhuān)門(mén)的掃描儀監(jiān)控和分析，將以前的發(fā)現(xiàn)與新發(fā)布的威脅進(jìn)行比較。此外，還可以監(jiān)控整輛車(chē)甚至整個(gè)車(chē)隊(duì)的軟件組件。這有助于將威脅情報(bào)和漏洞饋送轉(zhuǎn)化為整個(gè)車(chē)隊(duì)層面的有實(shí)踐意義的理解和影響評(píng)估。

總結(jié)

     汽車(chē)軟件的數(shù)字孿生為整個(gè)汽車(chē)生命周期的汽車(chē)軟件提供了一種新的方法。軟件孿生技術(shù)可以幫助整車(chē)廠和供應(yīng)商優(yōu)化和驗(yàn)證他們的設(shè)計(jì)，它還有助于改善現(xiàn)有車(chē)輛在道路上的運(yùn)行。

      更具體地說(shuō)，軟件孿生技術(shù)為ECU固件的網(wǎng)絡(luò)安全提供了巨大的好處。有了這項(xiàng)技術(shù)，無(wú)論是處于開(kāi)發(fā)階段的車(chē)輛，還是運(yùn)營(yíng)中的車(chē)隊(duì)，都可以迅速識(shí)別、評(píng)估和補(bǔ)救風(fēng)險(xiǎn)。Cybellum的安全套件就是這樣一個(gè)網(wǎng)絡(luò)安全數(shù)字孿生解決方案，用于為汽車(chē)行業(yè)創(chuàng)建和監(jiān)控此類(lèi)孿生，迎合整車(chē)廠、供應(yīng)商等廠商的需求。

      經(jīng)緯恒潤(rùn)作為Cybellum在中國(guó)的代理商，旨在借助產(chǎn)品安全平臺(tái)以及服務(wù)，提供汽車(chē)信息安全解決方案，幫助國(guó)內(nèi)汽車(chē)OEM及其供應(yīng)商能夠在汽車(chē)軟件開(kāi)發(fā)全生命周期內(nèi)大規(guī)模評(píng)估和降低安全風(fēng)險(xiǎn)，保證產(chǎn)品安全。

      了解更多：請(qǐng)致電 010-64840808轉(zhuǎn)6116 或發(fā)郵件至market_dept@hirain.com（聯(lián)系時(shí)請(qǐng)說(shuō)明來(lái)自EEPW）