Provider Solutions

您的战略增长和市场意识的合作伙伴.

ISG可以帮助你区分,获得市场认知度和增长. e尊国际为您的增长战略所做的一切都是基于ISG独特的以从业者为主导的方法和e尊国际在外包方面的专业知识, 管理服务和所有数字化的东西.

Already a client?

现在就访问您的提供商解决方案.

Login

Demand Shaping

与ISG合作,进行开创性的定制研究,以教育市场和您的买家. 作为ISG活动的赞助商与新观众联系,并参与ISG研究,展示你的资历.

Growth Execution

用e尊国际的数据驱动和从业者主导的解决方案来指导您的增长战略. 它们能帮助你更好地了解市场需求, price to win, 积极与ISG顾问合作,优化你的追踪能力.

Featured Insights

联网移动的网络安全问题:复苏中的汽车行业的灵丹妙药

Jul 28, 2021, 12:17 PM
Title : 联网移动的网络安全问题:复苏中的汽车行业的灵丹妙药
Summary : 对网络安全的关注越来越重要,以确保必要的措施到位,以防止攻击贯穿车辆的整个生命周期.
External URL :
Alternate title :
Show date : No
Public date : Jul 28, 2021, 01:00 AM

自动驾驶汽车制造的最新进展, 联网汽车和电动汽车(ev)使得汽车结构更加复杂. 汽车软件集成越来越复杂,这为网络攻击者制造故障创造了机会. For example, 最近的吉普车黑客攻击是在一个受控的环境中实施的,在这种环境中,软件的集成使车辆容易受到网络攻击. Similarly, 德克萨斯州一家汽车制造公司的一名心怀不满的员工通过破坏一个联网汽车平台的功能,远程使数百辆汽车瘫痪. 因为数字功能对联网汽车至关重要, 网络罪犯甚至干扰汽车门锁的工作, headlights, sunroofs and other components. 最近的一次攻击是通过一辆车的Wi-Fi系统实施的, 让攻击者可以控制灯光, disable alarms and unlock doors. 另一个容易受到攻击的领域是乘用车单元(PCU),它可以通过对数据中心的攻击进行身份盗窃.

对网络安全的关注越来越重要,以确保必要的措施到位,以防止攻击贯穿车辆的整个生命周期. 这意味着保护开发生命周期之外的生产过程. 具体项目的网络安全管理应该从网络安全评估开始,以确定安全要求是在车辆级别还是组件级别实施的.

下一代汽车制造商倾向于整合许多第三方解决方案, 通常来自小众技术供应商或初创公司. 这些解决方案通常与移动性的四个支柱相一致:自主, connected, electric and shared. 这些有时被称为ACES. ISO 21434等标准在分布式网络安全活动的参数下中和与这些外部组件相关的网络安全漏洞. 这些参数适用于供应商/供应商能力, 这将导致选择解决方案和调整车辆整体安全责任的流程更加精简.

Overview of the standards

ISO 21434 and WP.29项是用于确保联网车辆安全的标准. ISO 21434的草案于2020年2月发布, 最终版本预计将于2021年第三季度推出. ISO 21434定义了2022年第三季度和2024年第三季度所有新车的新车型标准. The WP.29 is primarily enforced in Europe; the draft, which was released in June 2020, 指定所有联网车辆的要求,以降低任何车型生命周期开始至结束时的网络安全风险. 这两个行业标准的监督职责有很大的重叠, 检测并应对网络威胁, 每一个都提供相关的数据来支持对一次未遂或成功的网络攻击的分析. 数据支持审计机制或登录机制, 使网络安全分析师能够调查和理解与特定事件相关的方法.

Under these new guidelines, 汽车和交通系统中的组织需要创建一个网络安全管理系统(CSMS), defining policies and procedures. The CSMS details, 连同所有证据和可审核的参考资料, 需要在批准车辆类型期间生产吗. 该指南确保程序对已识别的风险是到位的,而不限于特定的车辆类型. 然后测试某款车型的网络安全基础设施, 包括渗透测试, 整个ECU级别的模糊和安全评估, PCU level, infotainment level, communication level, and the vehicle in general.

计划适当的测试用例是必要的. 持续评估保护的耐久性. 随着网络攻击的性质和复杂性的增加, 现代汽车内置的安全控制系统可能不够完善.

组织需要有一种策略来监控常见漏洞和暴露(CVE)数据库,并对不断变化的网络威胁状况保持更新. 它还需要进行彻底的分析,以确定车辆是否可能容易受到新型网络攻击,并找到减轻威胁的方法. Mitigation activities, 如创建补丁、升级补丁等, 应该精简以遵守规定吗.

遵守oem和供应商的法规,防止网络攻击

如前所述,该准则-根据ISO 21434和WP定义.29 – overlap, 迫使oem和一级供应商重新审视他们的网络安全策略,以跨越开发和后期制作阶段. ISO 21434 does not address security on a component or project level alone; it addresses cybersecurity as a part of an organization’s culture.

管理项目特定的网络安全(针对特定车型的安全)应该包括设计, development, testing, 制作和后期制作阶段. 这些法规还包括风险评估. 在概念或设计层面关注网络安全有助于产品工程阶段解决威胁缓解问题. 此外,这些规定还确保供应商也分担网络安全的责任. As a result, 整车厂需要确保从供应商处采购的零部件符合ISO 21434标准,并与整车的整体安全管理保持一致.

The WP.29, on the other hand, 包括四个主要领域:1)管理车辆网络风险, 2)检测和响应生产后的安全事件, 3)通过采用“设计安全”的理念(让供应商参与)来降低价值链上的风险, 4)提供安全可靠的空中更新(OTA). 这四个领域需要沿着两条线来处理:第一, by defining policies and procedures for organizations to follow with a CSMS; and second, 对确定的风险进行评估和分类. 在项目级别,坚持WP.29需要为制造商指定跨领域,如在组件级别的风险评估, and then scaled up.

产品工程、制造工程和后期生产活动中的网络安全

ISO 21434正逐渐成为汽车开发的V-cycle的一部分——与汽车概念化阶段相关, throughout the validation phase, 遵守网络安全理念和要求. ISO 21434定义了整个汽车生产生命周期的网络安全目标——概念设计, architecture design, 硬件和软件架构定义和设计需求——同时验证每一个步骤. Finally, 最后对该工艺进行了全面的渗透试验, 模糊和脆弱性评估.

The WP.该指南还涵盖了后开发阶段——车辆发射后的网络防御机制必须在开发和规划阶段解决. 这些措施可以弥补漏洞, 比如对按键的妥协, 操作和维护流程的漏洞和复杂的威胁. The WP.29集中于一些分布式活动, 包括企业如何评估供应商的能力, 协调责任并遵守指导方针. Once a component is delivered, OEM收到关于供应商如何审计的指导, 对组件进行测试和标准化. 此外,该标准还规定了如何退役特定的车辆或部件.

强制使用详细且安全的OTA/SOTA机制

The WP.29规定了软件更新的详细过程, particularly an OTA upgrade, 每个OEM都必须在一套软件更新管理系统(sum)的帮助下遵循这一规则. 总金额必须是安全的,彻底的测试和管理,以防止破坏或攻击. Also, OTA升级包的交付机制必须是安全的, 与OEM一起确保包裹发送的完整性和真实性. As the OTA package is encrypted, 在发送给车辆或部件之前进行签名和编码, 它保证了额外的一层安全. Then the package is decoded, the signature validated, the file decrypted, 最后将解密的文件交给更新管理器. 软件识别号码必须得到保护,OEM应该建立一种从数据中读取该号码的机制.

WP.29采用了基于CSMS OTA的结构化方法,并要求汽车制造商遵循以下五个参数:

  1. 通过网络安全风险评估和缓解框架,识别并缓解供应商相关风险
  2. 拥有详细的风险评估和缓解策略,并具有可证明的测试结果
  3. 针对特定车型的生产设计和相应的设计过程
  4. 在后期制作活动中维护数据取证能力,展示车辆被监控的方式, vulnerabilities are detected, 同时也确保了对网络攻击的保护
  5. 制定检测和回应与特定车辆相关的特定网络攻击的措施, 后台系统或完整的生态系统.

The WP.29也关注其他一些领域, such as managing software updates, 通知用户更新或更新的可用性, 确保有足够的动力完成更新,并确保车辆有能力进行更新. 它还介绍了如何安全执行更新,包括更新失败时的回滚机制.

标准和系统集成商角色之间的重叠

许多系统集成商(如LTTS)已经创建了框架来绘制WP之间的相似性.29和ISO 21434,以帮助oem和一级供应商遵守标准. 例如,LTTS已经确定了WP的八个区域.29,可以映射到ISO 21434的各种流程和条款——涵盖了从组织范围内的网络安全到与特定车辆类型相关的安全的所有内容. 它包含用于监视的流程, 检测和响应网络威胁,以及捕获相关数据以支持安全漏洞分析所需的流程.

系统集成商首先倾向于分析汽车模型或他们将为客户开发的特定组件的威胁状况. 彻底的威胁评估和风险分析应有助于制定缓解战略, 架构和高、低层次设计(HLD和LLD). 对于已经在进行组件开发且安全性未包含在范围中的情况, 系统集成商在执行威胁评估和风险分析(TARA)后进行差距分析. 接下来是定义阶段, 其中定义了框架和过程, 随着工程师的培训和过程的试点和细化,以坚持组织的要求. 最后,将这些过程作为产品工程的一部分来实现.

大多数全球系统集成商已经与汽车oem和一级供应商合作了几十年,可以预期,通过必要的培训,可以简化推出流程. 具有丰富的工程和研发经验&D服务用于测量过程和分析潜在的威胁,并为网络安全提供实施和验证支持. 这涉及到为组件或车辆类型布置各种子流程, such as TARA, HLD, LLD, architecture design, product process, 后期生产策略和供应商及产品验证策略.

Conclusion

在联网移动领域,网络安全面临的最大挑战是人们对ISO 21434和WP的细微差别缺乏认识.29 standards. 全球汽车价值链上的一些重要市场参与者并不了解监管标准或确保供应商遵守的可能性. 这为系统集成商和咨询公司创造了一个空白的机会,他们可以介入确保遵守这一规则,并使企业能够定义他们的网络安全政策并验证它们. 其价值主张将为oem提供简化和全面的网络安全计划.

ISG指出,一些一级供应商对oem收紧ISO 21434和WP政策的行为感到困惑.29. For instance, 汽车基础设施组件,如无线充电器, if hacked, 是否可以折衷多个关键组件. 这迫使oem确保这些组件符合相关标准下的安全指南.

威胁评估和风险分析是另一个重要领域. 供应商需要有能力设计完整的安全系统,包括制定网络安全计划, TARA, 特定组件的安全和网络安全规范——因此它们可以提供跨软件/硬件和系统级架构设计以及总体产品工程的漏洞评估. 供应商有机会扩大他们的网络安全计划,以覆盖安全验证和验证, production and control, and post-production.

全球涌现出一批下一代汽车网络安全技术供应商, providing agentless, 基于云的解决方案和专有的数据分析平台. These companies, such as Israel-based Upstream, 该公司还在探索与保险等其他企业部门合作的可能性. With the availability of fleet, telematics and consumer data, 这些公司可以利用分析引擎为最终用户确定最合适的汽车保险政策.

As a part of the upcoming study, 制造业服务2021ISG Provider Lens从产品的角度分析了这个空间. 该研究分析了整个移动安全市场的产品和解决方案供应商对企业和组件(如高级驾驶员辅助系统(ADAS))提供威胁分析的能力。, 为oem和一级供应商提供ecu和电动汽车电池系统.

About the author

Avimanyu是ISG印度业务的首席分析师(研究), 具有10年以上的市场研究和咨询经验. At ISG, Avi专注于与企业网络、工程和R相关的颠覆性技术和创新&D practices.

Categories :
  • Automotive
  • Cyber Security
  • 数字化转型掌控变革
  • Emerging Trends
  • ISG Provider Lens
  • Manufacturing
Tags :
  • Cyber Security
  • Digital
  • Digital backbone
  • Governance
  • Manufacturing
  • Risk
  • Security
Article flags :
  • active
Service line : PRL_ISG Provider Lens
Campaign :
Vertical : Automotive
Automotive-Cybersecurity
Authors
Related articles
Related team members
    Load more comments

    联网移动的网络安全问题:复苏中的汽车行业的灵丹妙药

    Jul 28, 2021, 12:17 PM
    Title : 联网移动的网络安全问题:复苏中的汽车行业的灵丹妙药
    Summary : 对网络安全的关注越来越重要,以确保必要的措施到位,以防止攻击贯穿车辆的整个生命周期.
    External URL :
    Alternate title :
    Show date : No
    Public date : Jul 28, 2021, 01:00 AM

    自动驾驶汽车制造的最新进展, 联网汽车和电动汽车(ev)使得汽车结构更加复杂. 汽车软件集成越来越复杂,这为网络攻击者制造故障创造了机会. For example, 最近的吉普车黑客攻击是在一个受控的环境中实施的,在这种环境中,软件的集成使车辆容易受到网络攻击. Similarly, 德克萨斯州一家汽车制造公司的一名心怀不满的员工通过破坏一个联网汽车平台的功能,远程使数百辆汽车瘫痪. 因为数字功能对联网汽车至关重要, 网络罪犯甚至干扰汽车门锁的工作, headlights, sunroofs and other components. 最近的一次攻击是通过一辆车的Wi-Fi系统实施的, 让攻击者可以控制灯光, disable alarms and unlock doors. 另一个容易受到攻击的领域是乘用车单元(PCU),它可以通过对数据中心的攻击进行身份盗窃.

    对网络安全的关注越来越重要,以确保必要的措施到位,以防止攻击贯穿车辆的整个生命周期. 这意味着保护开发生命周期之外的生产过程. 具体项目的网络安全管理应该从网络安全评估开始,以确定安全要求是在车辆级别还是组件级别实施的.

    下一代汽车制造商倾向于整合许多第三方解决方案, 通常来自小众技术供应商或初创公司. 这些解决方案通常与移动性的四个支柱相一致:自主, connected, electric and shared. 这些有时被称为ACES. ISO 21434等标准在分布式网络安全活动的参数下中和与这些外部组件相关的网络安全漏洞. 这些参数适用于供应商/供应商能力, 这将导致选择解决方案和调整车辆整体安全责任的流程更加精简.

    Overview of the standards

    ISO 21434 and WP.29项是用于确保联网车辆安全的标准. ISO 21434的草案于2020年2月发布, 最终版本预计将于2021年第三季度推出. ISO 21434定义了2022年第三季度和2024年第三季度所有新车的新车型标准. The WP.29 is primarily enforced in Europe; the draft, which was released in June 2020, 指定所有联网车辆的要求,以降低任何车型生命周期开始至结束时的网络安全风险. 这两个行业标准的监督职责有很大的重叠, 检测并应对网络威胁, 每一个都提供相关的数据来支持对一次未遂或成功的网络攻击的分析. 数据支持审计机制或登录机制, 使网络安全分析师能够调查和理解与特定事件相关的方法.

    Under these new guidelines, 汽车和交通系统中的组织需要创建一个网络安全管理系统(CSMS), defining policies and procedures. The CSMS details, 连同所有证据和可审核的参考资料, 需要在批准车辆类型期间生产吗. 该指南确保程序对已识别的风险是到位的,而不限于特定的车辆类型. 然后测试某款车型的网络安全基础设施, 包括渗透测试, 整个ECU级别的模糊和安全评估, PCU level, infotainment level, communication level, and the vehicle in general.

    计划适当的测试用例是必要的. 持续评估保护的耐久性. 随着网络攻击的性质和复杂性的增加, 现代汽车内置的安全控制系统可能不够完善.

    组织需要有一种策略来监控常见漏洞和暴露(CVE)数据库,并对不断变化的网络威胁状况保持更新. 它还需要进行彻底的分析,以确定车辆是否可能容易受到新型网络攻击,并找到减轻威胁的方法. Mitigation activities, 如创建补丁、升级补丁等, 应该精简以遵守规定吗.

    遵守oem和供应商的法规,防止网络攻击

    如前所述,该准则-根据ISO 21434和WP定义.29 – overlap, 迫使oem和一级供应商重新审视他们的网络安全策略,以跨越开发和后期制作阶段. ISO 21434 does not address security on a component or project level alone; it addresses cybersecurity as a part of an organization’s culture.

    管理项目特定的网络安全(针对特定车型的安全)应该包括设计, development, testing, 制作和后期制作阶段. 这些法规还包括风险评估. 在概念或设计层面关注网络安全有助于产品工程阶段解决威胁缓解问题. 此外,这些规定还确保供应商也分担网络安全的责任. As a result, 整车厂需要确保从供应商处采购的零部件符合ISO 21434标准,并与整车的整体安全管理保持一致.

    The WP.29, on the other hand, 包括四个主要领域:1)管理车辆网络风险, 2)检测和响应生产后的安全事件, 3)通过采用“设计安全”的理念(让供应商参与)来降低价值链上的风险, 4)提供安全可靠的空中更新(OTA). 这四个领域需要沿着两条线来处理:第一, by defining policies and procedures for organizations to follow with a CSMS; and second, 对确定的风险进行评估和分类. 在项目级别,坚持WP.29需要为制造商指定跨领域,如在组件级别的风险评估, and then scaled up.

    产品工程、制造工程和后期生产活动中的网络安全

    ISO 21434正逐渐成为汽车开发的V-cycle的一部分——与汽车概念化阶段相关, throughout the validation phase, 遵守网络安全理念和要求. ISO 21434定义了整个汽车生产生命周期的网络安全目标——概念设计, architecture design, 硬件和软件架构定义和设计需求——同时验证每一个步骤. Finally, 最后对该工艺进行了全面的渗透试验, 模糊和脆弱性评估.

    The WP.该指南还涵盖了后开发阶段——车辆发射后的网络防御机制必须在开发和规划阶段解决. 这些措施可以弥补漏洞, 比如对按键的妥协, 操作和维护流程的漏洞和复杂的威胁. The WP.29集中于一些分布式活动, 包括企业如何评估供应商的能力, 协调责任并遵守指导方针. Once a component is delivered, OEM收到关于供应商如何审计的指导, 对组件进行测试和标准化. 此外,该标准还规定了如何退役特定的车辆或部件.

    强制使用详细且安全的OTA/SOTA机制

    The WP.29规定了软件更新的详细过程, particularly an OTA upgrade, 每个OEM都必须在一套软件更新管理系统(sum)的帮助下遵循这一规则. 总金额必须是安全的,彻底的测试和管理,以防止破坏或攻击. Also, OTA升级包的交付机制必须是安全的, 与OEM一起确保包裹发送的完整性和真实性. As the OTA package is encrypted, 在发送给车辆或部件之前进行签名和编码, 它保证了额外的一层安全. Then the package is decoded, the signature validated, the file decrypted, 最后将解密的文件交给更新管理器. 软件识别号码必须得到保护,OEM应该建立一种从数据中读取该号码的机制.

    WP.29采用了基于CSMS OTA的结构化方法,并要求汽车制造商遵循以下五个参数:

    1. 通过网络安全风险评估和缓解框架,识别并缓解供应商相关风险
    2. 拥有详细的风险评估和缓解策略,并具有可证明的测试结果
    3. 针对特定车型的生产设计和相应的设计过程
    4. 在后期制作活动中维护数据取证能力,展示车辆被监控的方式, vulnerabilities are detected, 同时也确保了对网络攻击的保护
    5. 制定检测和回应与特定车辆相关的特定网络攻击的措施, 后台系统或完整的生态系统.

    The WP.29也关注其他一些领域, such as managing software updates, 通知用户更新或更新的可用性, 确保有足够的动力完成更新,并确保车辆有能力进行更新. 它还介绍了如何安全执行更新,包括更新失败时的回滚机制.

    标准和系统集成商角色之间的重叠

    许多系统集成商(如LTTS)已经创建了框架来绘制WP之间的相似性.29和ISO 21434,以帮助oem和一级供应商遵守标准. 例如,LTTS已经确定了WP的八个区域.29,可以映射到ISO 21434的各种流程和条款——涵盖了从组织范围内的网络安全到与特定车辆类型相关的安全的所有内容. 它包含用于监视的流程, 检测和响应网络威胁,以及捕获相关数据以支持安全漏洞分析所需的流程.

    系统集成商首先倾向于分析汽车模型或他们将为客户开发的特定组件的威胁状况. 彻底的威胁评估和风险分析应有助于制定缓解战略, 架构和高、低层次设计(HLD和LLD). 对于已经在进行组件开发且安全性未包含在范围中的情况, 系统集成商在执行威胁评估和风险分析(TARA)后进行差距分析. 接下来是定义阶段, 其中定义了框架和过程, 随着工程师的培训和过程的试点和细化,以坚持组织的要求. 最后,将这些过程作为产品工程的一部分来实现.

    大多数全球系统集成商已经与汽车oem和一级供应商合作了几十年,可以预期,通过必要的培训,可以简化推出流程. 具有丰富的工程和研发经验&D服务用于测量过程和分析潜在的威胁,并为网络安全提供实施和验证支持. 这涉及到为组件或车辆类型布置各种子流程, such as TARA, HLD, LLD, architecture design, product process, 后期生产策略和供应商及产品验证策略.

    Conclusion

    在联网移动领域,网络安全面临的最大挑战是人们对ISO 21434和WP的细微差别缺乏认识.29 standards. 全球汽车价值链上的一些重要市场参与者并不了解监管标准或确保供应商遵守的可能性. 这为系统集成商和咨询公司创造了一个空白的机会,他们可以介入确保遵守这一规则,并使企业能够定义他们的网络安全政策并验证它们. 其价值主张将为oem提供简化和全面的网络安全计划.

    ISG指出,一些一级供应商对oem收紧ISO 21434和WP政策的行为感到困惑.29. For instance, 汽车基础设施组件,如无线充电器, if hacked, 是否可以折衷多个关键组件. 这迫使oem确保这些组件符合相关标准下的安全指南.

    威胁评估和风险分析是另一个重要领域. 供应商需要有能力设计完整的安全系统,包括制定网络安全计划, TARA, 特定组件的安全和网络安全规范——因此它们可以提供跨软件/硬件和系统级架构设计以及总体产品工程的漏洞评估. 供应商有机会扩大他们的网络安全计划,以覆盖安全验证和验证, production and control, and post-production.

    全球涌现出一批下一代汽车网络安全技术供应商, providing agentless, 基于云的解决方案和专有的数据分析平台. These companies, such as Israel-based Upstream, 该公司还在探索与保险等其他企业部门合作的可能性. With the availability of fleet, telematics and consumer data, 这些公司可以利用分析引擎为最终用户确定最合适的汽车保险政策.

    As a part of the upcoming study, 制造业服务2021ISG Provider Lens从产品的角度分析了这个空间. 该研究分析了整个移动安全市场的产品和解决方案供应商对企业和组件(如高级驾驶员辅助系统(ADAS))提供威胁分析的能力。, 为oem和一级供应商提供ecu和电动汽车电池系统.

    About the author

    Avimanyu是ISG印度业务的首席分析师(研究), 具有10年以上的市场研究和咨询经验. At ISG, Avi专注于与企业网络、工程和R相关的颠覆性技术和创新&D practices.

    Categories :
    • Automotive
    • Cyber Security
    • 数字化转型掌控变革
    • Emerging Trends
    • ISG Provider Lens
    • Manufacturing
    Tags :
    • Cyber Security
    • Digital
    • Digital backbone
    • Governance
    • Manufacturing
    • Risk
    • Security
    Article flags :
    • active
    Service line : PRL_ISG Provider Lens
    Campaign :
    Vertical : Automotive
    Automotive-Cybersecurity
    Authors
    Related articles
    Related team members
      Load more comments
      Featured Event

      Digital Business Summit US 2021

      为下一个数字时代重新设想你的企业

      Watch the Replay

      Meet Our Team