腾讯安全科恩实验室网联汽车信息安全研究成果入选IEEE S&P 2024

近年来，随着现代车辆技术的快速发展，网联汽车的攻击面（Attack Surface）和车载网络结构（In-Vehicle Network）都变得更加复杂。目前，已出台多项网联汽车信息安全标准，包括WP29 R155e、ISO 21434以及一系列国标，但这些刚出台标准与法规仍处于起步阶段，需要在摸索实践中直面各种挑战并不断完善。

在这样的背景下，我们展开了如下的研究来重新审视现在的网联汽车信息安全：

● 我们通过深入访谈15位网联汽车信息安全专家，揭示了安全团队在保障车辆信息安全过程中遇到的挑战，以及现行规定的局限性：包括缺乏高质量的车载威胁案例信息库以及难以高效执行Threat Analysis & Risk Assessment （TARA）等。

● 基于现有的法规和收集的访谈数据，我们建立了一个新的层次化的网联汽车信息安全的威胁案例库，包括多达119条具体的车载威胁案例。同时我们提出一种新的基于Datalog的推理方法，可根据车载网络结构自动化推理攻击路径和计算对应的威胁分数。

● 以实车上的安全研究案例分析展示了自动化方法的有效性。

该研究由科恩实验室和香港理工大学罗夏朴教授团队及香港大学钱晨雄教授联合完成，相关论文《Revisiting Automotive Attack Surfaces: a Practitioners’ Perspective》已被安全领域四大顶会中的IEEE S&P 2024录用。已发布的论文[1]见文末“阅读原文”。

IEEE S&P会议，全称IEEE Symposium on Security and Privacy，别名Oakland，是安全领域最具影响力的顶级学术会议之一。其常与USENIX Security, CCS, NDSS并称为安全领域的四大顶会。特别地，S&P由于其极高的录取要求和极低的论文录用率（常年低于15%），被公认为是安全领域含金量最高的会议。

Part.1:

访谈研究与新的威胁案例库

我们一共邀请了以下15位来自不同企业，处于不同职位的网联汽车信息安全专家参加访谈：

图.1: 参加访谈研究人员画像信息（已匿名化处理）

在访谈过程，研究人员与受访者开放性地深入探讨了：

1) 执行信息安全活动中的具体挑战

2) 对现有TARA方法的评估

3) 对现有法规中威胁案例的评估

4) 对现有法规局限性的讨论

具体来说，我们通过质性分析的方法，将结果总结成了20个Key Points（详见Code and Supplementary Materials[2]），同时提出用一种结构化的方法来描述现有的网联汽车安全威胁，并基于访谈收集的数据建立了一套新的威胁数据库：

图.2: 威胁数据库概览

新的威胁数据库包含了所有现有法规和标准中的威胁案例，以及所有从访谈研究中补充的案例。该数据库一共包含有119条具体的威胁案例，而这些案例层次化地分布在一共28个Code和7个Theme下。每一威胁案例都从Attack Description (AD), Root Cause (RC), Security Testing Approach (STA), 以及Mitigation (MG)几个方面具体展开。与现在法规中的案例相比（比如WP29 R155e的附录），我们提出的新威胁案例库从数量和质量上都有十分显著的提升。案例库内容具体见[2]。

以下是以车机安全（In-Vehicle Infotainment）为例的部分内容：

图.3 威胁数据库预览-IVI安全

Part.2:

自动化攻击路径推理

我们的访谈研究除了发现现有威胁案例的不足之外，还发现TARA流程往往是低效的，缺乏自动化的方法。相应的，我们提出了名为CarVal的基于Datalog的自动化的车载网络攻击路径推理方法：

图.4 CarVal：自动化攻击路径推理与威胁评估

CarVal将基于已有的威胁数据库（Vulnerability Set）以及车辆信息（Vehicle Configuration），并根据用户输入的攻击目标（Attack Goal）和攻击入口（Attack Entry），用Datalog的推理方法来自动化推理可能的攻击路径。此外，CarVal还将自动化地计算每条攻击路径的威胁值，实现自动化的威胁评估。

应用举例：下图一条由CarVal推理出的具体攻击路径，描述了攻击者能如何从IVI的Wi-Fi接口控制IVI，并进一步在车内网络的infoCAN上广播恶意消息。

图.5 CarVal应用举例：从IVI到车内网络infoCAN的攻击

CarVal基于IT网络的威胁推理工具MulVAL[3]开发，代码详见[2]。