Ansys为应对不断增加的汽车网络安全挑战提供切实可行的解决之道

2022年Ansys数字安全大会展示了许多对于安全工程师非常重要的主题。其中一项极为紧迫的挑战是，业界对于采用和实施可靠型网络安全协议的需求不断增长，这一点在汽车等任务关键型应用中尤为突出。

基于这个原因，全球汽车行业从产品研发的早期阶段就开始专注于实现极致的网络安全性。2015年，《连线》杂志上发表了一篇具有里程碑意义的文章，介绍了黑客如何控制一辆吉普切诺基，并且行驶时速达70英里/小时，随后克莱斯勒公司被迫召回140万辆汽车，而该事件也引起了全球汽车行业的广泛关注，并加大了对网络安全的投资。2019年，一名黑客通过GPS设备成功控制了27,000辆汽车，这让他能够关闭行驶中的汽车的引擎。

稳步增加的车载软件数量、以及更高的自动化水平和连接性使汽车更容易受到网络攻击。 如今，一辆典型的汽车由超过30,000个硬件组件、超过100个ECU组成，并由超过1亿行软件代码提供支持，因此很难识别和消除每个漏洞来源。³随着最近新增了无线（OTA）自动软件更新功能，访问车辆的渠道比以往任何时候都要更多。

因此，汽车制造商及其供应商正在稳步增加对网络安全解决方案和相关流程的投资，其原因显而易见。根据麦肯锡的一项研究表明，全球汽车网络安全的市场规模，预计到2030年，将从2020年的49亿美元增长到97亿美元，年增长率超过7%。⁴

为了帮助确保全球汽车的安全性，汽车监管机构发布了汽车制造商必须遵守的行业标准。自2011年以来，ISO 26262标准一直用于管理车辆电子设备和基础软件代码的功能安全合规性。2021年8月发布的新行业安全标准ISO 21434，可在设计和执行汽车软件时将网络安全考虑在内。

切实可行的解决方案帮助解决看似难以应对的挑战

为了符合ISO 21434的要求，汽车制造商及其供应商必须建立明确的角色、职责以及用于识别和解决网络安全问题的流程。此外，为了获得ISO 21434认证，他们还必须记录所有的流程步骤并提交该文档。而随着全球汽车行业试图最大限度地降低网络暴露风险，这将进一步增加运营成本。  

产品研发团队本就肩负着设计大量软件模块和构建系统级架构的工作，现在还需要对每个接口、控制和连接进行建模，识别和评估风险级别，并确保车辆及其系统完全不受网络攻击的影响。

大多数企业都缺乏所需的时间、资金、专业知识和其他资源，来从头开始创建和管理这样的流程。而且，手动流程和电子表格等商业级工具根本无法应对挑战。幸运的是，Ansys提供的解决方案能应对这一挑战——它就是专门为此而开发的。

面向网络安全的Ansys medini analyze是一款专用的建模解决方案，可简化和加速复杂任务，包括生成并验证不会受外部攻击影响的统一、安全和可靠的系统级架构。对于过时的、耗时费力而且容易出错的手动流程，它使用定制的解决方案取而代之，该方案专门被设计用于组织和促进高度复杂的电气系统的网络安全分析。 

Webasto团队即展示了面向网络安全的Ansys medini analyze的价值

在2022年Ansys数字安全大会上，Webasto的网络安全工程师Timo Bruderek介绍了使用medini analyze来管理风险识别和缓解这一复杂任务的实际价值。这家总部位于德国的全球系统供应商跻身全球汽车行业供应商100强。该公司的产品组合包括：内部开发的用于各类车辆的天窗系统与加热和冷却系统，用于混合动力和电动汽车的电池和充电解决方案，以及与热管理和电动汽车相关的配套服务。Webasto的年销售额达37亿欧元，拥有遍布全球的30个生产基地，该公司需要确保将其多元化的产品安全集成到各种不同的客户系统中。

Bruderek讲述到：“作为一名网络安全工程师，日常工作中会面临哪些挑战呢？其中最大的任务是开发安全的产品，这不仅意味着需要了解并满足所有需求，其中包括ISO 21434标准以及各个客户的需求；还意味着需要建立向导式工作流程，以便定义职责，确保对所有安全因素和风险进行全面分析，并最大限度地提高速度和效率。对我们来说，面向网络安全的Ansys medini analyze是以一敌百的最佳工具。”

Timo简要介绍了Webasto团队在日常工作中遵循的六步流程（由用于网络安全的medini analyze提供指导）：

1. 定义网络安全资产和“利益相关方”。首先，medini analyze引导工程师定义正在研究的系统或组件（例如，电动汽车的电池）。此外，它还研究如何将该资产与整个电子架构中的其他系统相连接。
2. 识别漏洞和潜在危害。接下来，medini analyze将指导用户分析这些资产如何受到攻击以及可能造成的损害。接口和集成点是受攻击的典型目标。
3. 了解攻击的后果。然后，medini analyze将引导工程团队分析，如果这些漏洞在系统和组件中被利用时可能产生的后果。
4. 估计潜在的可能性。利用漏洞需要哪些专业知识、工具和机会窗口？攻击场景的真实性如何？Ansys medini analyze可为上述问题提供具体答案。
5. 定义风险级别。Ansys medini analyze可通过计算攻击的可能性及其潜在损害对威胁进行“评分”。工程师可以了解每种风险的严重程度。
6. 规划和执行适当的网络安全措施。需要采取什么措施来消除风险？无论系统多么复杂，Ansys medini analyze都能帮助该团队迅速得出结论。

遵循上述六步流程，面向网络安全的medini analyze可自动生成监管部门和汽车客户所需的文档。由于研发该解决方案的专家深刻了解ISO 21434的监管复杂性，因此可以确保该标准的合规性。

简化分析并保护资产

汽车网络犯罪不会消失。事实上，随着汽车的数字化、互联性和自动化水平日益提高，随之产生的攻击点不断增加，汽车网络犯罪也只会有增无减。但是，Ansys已创建出一款功能强大、用户友好型建模解决方案，使产品开发团队能够快速识别漏洞和设计薄弱点，然后加以解决。

Timo认为，用于网络安全的medini analyze是一款能够真正创造价值的实用型解决方案。“它能够与我们的其他工具和系统很好地集成；满足法规和客户需求，并确保将这些需求考虑在内；指导我们的团队完成整个流程；利用自动化使我们更快速、更有效地工作。并且它使我们能够重复使用以前的网络安全分析，因此我们不必在每次添加新产品功能或引入新模型时又从零开始。”

在当今充满挑战的网络安全环境中，创新产品开发解决方案的早期采用者，如果能够再借助最佳实践工作流程的力量，一定能获得实质性的竞争优势。面向网络安全的medini analyze早已成为Webasto和其他行业领先企业的致胜法宝，对于想要重点专注网络安全分析的电子工程团队来说，这款产品无疑是一种明智之选。

观看完整的点播演示视频：ISO 21434和Ansys medini的实用方法——内容来自2022数字安全大会。

参考资料：

1. “Hackers Remotely Kill a Jeep on the Highway—With Me in It.”Wired, July 21, 2015.
2. “Hacker Finds He Can Remotely Kill Car Engines After Breaking Into GPS Tracking Apps.”Vice, April 24, 2019.
3. “Top 6 Cybersecurity Challenges Unique to the Automotive Industry.”AUTOCRYPT, October 25, 2021.
4. “Automotive cybersecurity: Mastering the challenge.”McKinsey & Company, June 22, 2020.