CYBERSECURITY W AUTOMOTIVE
Systemy IDS/IPS w motoryzacji – architektura AUTOSAR i bezpieczeństwo pojazdów
Niniejszy artykuł jest częścią cyklu poświęconego tematyce cyberbezpieczeństwa w branży automotive, przygotowanego przez Krzysztofa Labudę.
Wprowadzenie do kontekstu IDS/IPS w automotive i podejścia AUTOSAR
W tej części cyklu rozszerzamy temat systemów IDS/IPS w motoryzacji, który został zasygnalizowany już wcześniej w artykule „Co kryje się pod hasłem cybersecurity w automotive”. Tym razem przyjrzymy się szczegółowo architekturze IDS z perspektywy podejścia AUTOSAR (AUTomotive Open System Architecture), które jest powszechnie stosowane w branży automotive do projektowania bezpiecznego oprogramowania pojazdów.
AUTOSAR IDS – ogólna architektura systemu wykrywania intruzów
Zgodnie z dokumentacją AUTOSAR, architektura systemu IDS (Intrusion Detection System) definiuje zestaw komponentów i interfejsów służących do monitorowania, analizowania i reagowania na incydenty bezpieczeństwa. Kluczowym elementem są tzw. SeV (Security Events) – standaryzowane zdarzenia bezpieczeństwa rejestrowane w oprogramowaniu pojazdu.
Źródło: https://www.autosar.org/fileadmin/standards/R22-11/FO/AUTOSAR_RS_IntrusionDetectionSystem.pdf
SeV i znaczenie standaryzowanych zdarzeń bezpieczeństwa
AUTOSAR definiuje w postaci SeV (Security Events) znormalizowane formaty i interfejsy do rejestrowania zdarzeń i incydentów związanych z bezpieczeństwem w oprogramowaniu pojazdu. Bez takich elementów (miar) nie jest możliwe jakiekolwiek kontrolowanie / śledzenie systemu. Dzięki tym eventom i idącymi za nimi parametrom, system pozwala na monitorowanie, audyt i analizę zdarzeń bezpieczeństwa w celu wykrywania i reagowania na naruszenia bezpieczeństwa lub anomalie.
Zabezpieczenia fizyczne i programowe w architekturze AUTOSAR
Architektura wprowadza też wsparcie dla mechanizmów wykrywania i ograniczania prób ingerencji w oprogramowanie i sprzęt pojazdu. Obejmuje to czujniki, detektory i algorytmy do wykrywania fizycznej ingerencji, nieautoryzowanych modyfikacji lub nieprawidłowego zachowania w systemie pojazdu. Tutaj główne skrzypce gra m.in. SecOC, o którym będzie mowa w następnej części cyklu.
Najważniejsze komponenty AUTOSAR związane z IDS/IPS
Aby lepiej zrozumieć funkcjonowanie systemu wykrywania intruzów, warto zapoznać się z kluczowymi pojęciami i komponentami:
Complex Driver desing (CDD) to jednostka oprogramowania niestandaryzowana przez AUTOSAR, która może uzyskiwać dostęp lub być dostępna za pośrednictwem interfejsów AUTOSAR i/lub BSW (BSW – warstwa abstrakcji pomiędzy Mikrokontrolerem a RTE – RunTimeEnvironment) – to podejście warstwowe poruszono w inicjalnej odsłonie cyklu.
SWC (SW Component) to komponent, który posiada logikę aplikacji. W AUTOSAR funkcjonalność jest hermetyzowana przez SWC. Na przykład, obsługa elektrycznie sterowanych szyb w samochodzie jest wykonywana przez dedykowany SWC. SWC komunikują się ze sobą lub używają niższych warstw za pomocą portów RTE.
SOC (Security Operation Center) – element organizacji w zakresie wykrywania zagrożeń, znajdujący się poza pojazdem. Ma na celu reagowanie na zagrożenia i zapobieganie im poprzez koordynację wszystkich technologii i operacji cyberbezpieczeństwa.
Security Sensors – elementy odpowiedzialne za zbieranie i raportowanie metryk i zdarzeń security do IdsM.
Sem (Security Event Memory) – zdefiniowana pamięć zdarzeń diagnostycznych dotyczących cyberbezpieczeństwa, która jest niezależna od podstawowej pamięci zdarzeń diagnostycznych.
IdsM (Intrusion Detection System Manager) – IdsM buforuje zgłoszone zdarzenia bezpieczeństwa. Ponadto, IdsM stosuje zestaw kolejnych filtrów, które są stosowane do zgłoszonych SeV (określają ich surowość oraz krytyczność). Po stronie pojazdu powinna być rozumiana jako serce, a nawet ośrodkowy układ nerwowy (z mózgiem włącznie) systemu IDS.
SeV i znaczenie standaryzowanych zdarzeń bezpieczeństwa
Jeśli SeV przejdą przez sito łańcucha filtrów, są uznawane za Kwalifikowane Zdarzenia Bezpieczeństwa (QSEv). W tym module odbywa się kluczowy moment podejmowania decyzji dotyczących przesyłanych danych z czujników.
W zależności od konfiguracji IdsM możliwe są poniższe scenariusze:
- przekazanie QSEv do pamięci zdarzeń bezpieczeństwa (Sem), aby zachować go w pamięci lokalnej ECU,
- i/lub serializowanie QSEv i przesyłanie go do IdsR.
IdsR jest to reporter systemu wykrywania włamań (IdsR); odbiera QSEv z instancji IdsM od różnych ECU. Protokół komunikacji między instancjami IdsM, a IdsR jest określony w specyfikacji protokołu IdsM. Zaleca się, by IdsR dodawał dodatkowe informacje do otrzymanych danych, np. o położeniu geograficznym. Gdy tak się dzieje, to musimy zdawać sobie sprawę, że pojawia się tutaj kolejny element potrzebny do uzyskania zgodności z takimi przepisami jak RODO, gdyż położenie (jeśli dotyczy użytkownika samochodu, a zazwyczaj tak się dzieje) może być traktowane jako dane identyfikujące osobę (PII). Trzeba zapewnić bezpieczne obchodzenie się z danymi tego rodzaju (w spoczynku oraz w ich tranzycie).
SOC i SIEM – analiza zagrożeń poza pojazdem
W zależności od potrzeb OEM (Original equipment manufacturer) dane mogą być propagowane do SOC w celu dalszej analizy w rozwiązaniu SIEM (Security Information and Event Management). System SIEM po stronie SOC ma już kompleksowe możliwości identyfikacji przesłanych z samochodu kwalifikowanych zdarzeń bezpieczeństwa (QSEv) i dzięki temu systemowi można skutecznie odpowiedzieć na ewentualny incydent bezpieczeństwa.
Specyfikacja IdsR nie jest dostarczana przez AUTOSAR, co można odczytać w taki sposób, że AUTOSAR jest rozwiązaniem w pewnym stopniu elastycznym. Podobna sytuacja występuje również przy CDD (Complex Driver Desing) oraz SWC, które również zgłaszają zdarzenia związane z bezpieczeństwem, gdzie także nie istnieje surowy dyktat dotyczący tego, w jaki sposób realizować implementacyjnie dany moduł.
W telegraficznym skrócie – AUTOSAR CDD mogą pełnić w tej architekturze rolę czujników, które mają za zadanie przesyłać SeV (Security Events) do IdsM (Intrusion Detecion System Manager). AUTOSAR standaryzuje podzbiór typów zdarzeń bezpieczeństwa, które mogą być zgłaszane przez AUTOSAR BSW.
IdsM wysyłają QSEv do IdsR, a ten przekazuję je do SOC – gdzie przesyłane zdarzenia są poddane głębszym analizom. Dzięki głębszej analizie jest możliwe skuteczniejsze zapobieżenie ewentualnej kompromitacji samochodowej sieci.
Podsumowanie: Modularne podejście do bezpieczeństwa w motoryzacji
W skrócie, AUTOSAR CDD mogą działać jako czujniki zgłaszające SeV do IdsM, który następnie przekazuje QSEv do IdsR, a dalej – do SOC. Cały ten przepływ pozwala na głęboką analizę zagrożeń oraz skuteczne przeciwdziałanie potencjalnym atakom na systemy motoryzacyjne. Modularna i skalowalna architektura IDS AUTOSAR jest fundamentem dla nowoczesnego cyberbezpieczeństwa w pojazdach.
Autor: Krzysztof Labuda,
Konsultant ds. testów bezpieczeństwa
Uczestnik programu Certified Ethical Hacker CEH v11, który uczy najnowszych narzędzi, technik i metodologii hackerskich klasy komercyjnej, używanych przez hakerów i specjalistów ds. bezpieczeństwa informacji.
