Roger Neal 和 Aviram Jenik 在 6 月 13 日的 ISC2 东湾分会成员会议上讨论了汽车和物联网安全测试的重要性。
上个月,Apona Security 与 ISC2 东湾分会合作举办了一场关于汽车和物联网安全测试重要性的网络研讨会(之后还包括一场关于身份管理中情境重要性的额外网络研讨会)。网络研讨会由我们的产品主管 Roger Neal 主持,并包括我们的创始人和行业安全专家 Aviram Jenik 的评论。如果你错过了,你仍然可以点播观看。
但为了您的方便,我们在下面提供了一个简短的概述和略微简短的成绩单。如果您有任何问题,请随时与我们联系。我们期待帮助更多的制造商和产品团队保护其现代车辆和连接设备背后的软件。
概述
去年报告的互联网连接设备超过 150 亿台,预计到 2033 年,至少有 10 亿台 IoT(物联网)设备将成为制造业和工业行业的重要组成部分,我们需要共同解决和管理相关的安全风险——其中许多风险仍然未知。这意味着从软件开发人员到OEM(原始设备制造商)和供应商,所有相关人员都需要共同努力实施主动安全措施,例如安全代码审查和动态安全测试(DST),我们也可以将其称为动态应用程序安全测试(DAST)。
这似乎是显而易见的,但其中许多行业,如汽车行业,以前并不关心网络安全,而更多地将其视为事后的想法。它们的部件,如CAN总线(控制器局域网),旨在实现ECU(电子控制单元)之间的通信,被认为是纯机械的,只有非常熟练的黑客才能访问。但CAN总线只是任何协议的媒介,现在正被用来与我们添加到现代汽车中的任何东西进行通信 – 从我们的信息娱乐系统到我们的制动器。
这些“东西”中的任何一个(包括我们的遗留系统)都可能包含漏洞和与许可相关的风险——特别是因为其中许多部件来自第三方供应商,他们可能没有使用安全编码实践,或者更糟糕的是,他们可能在不知情的情况下成为供应链攻击的受害者。潜在的后果包括罚款和召回、隐私和安全问题,甚至是针对个人、车辆、整个车队和关键系统的攻击。
新的法规和举措,如 ISO/SAE 2134 规定了道路车辆的工程和网络安全要求,以及 CISA 的“安全设计”指南,旨在优先考虑 SDLC(软件开发生命周期)每个阶段的安全性,是朝着正确方向迈出的一步。它们确实需要更广泛的测试和 SBOM(软件物料清单)审查。但这仅仅是个开始。从字面上看,需要为涉及我们的汽车和物联网组件的每个人和每件事制定标准。但是,尽早测试所有内容将降低风险,并防止代价高昂的错误或违规行为。
网络研讨会文字记录:安全在互联世界中日益增长的重要性
罗杰·尼尔:今天,我们将很高兴地讨论汽车和物联网测试领域或物联网领域对安全性日益增长的需求。
跨技术集成导致攻击面扩大
我想从我们今天看到的问题开始。那就是:随着我们继续将技术整合到我们生活的方方面面,就像我们看到的汽车连接到我们的手机一样——然后我们的手机连接到我们的智能家居——创建一个完整的网络,增加我们的攻击面。
随着我们连接性的增加,漏洞也在增加,为可能危及人身安全和数据安全的网络威胁打开了新的大门。
但是,随着我们继续所有技术进步,作为消费者的体验令人惊叹,我们往往没有想到我们连接的每个设备——从我们的家庭系统到我们的汽车技术——如何为新的网络威胁和妥协打开一扇门,这些威胁和妥协可能会影响我们的人身安全和数据安全。
主动安全措施(如安全代码审查和动态安全测试)对于减少攻击面和提高客户信任至关重要。
随着这些风险的持续增长,供应商必须采取积极主动的立场,确保您提供可靠的解决方案。
因此,今天,我们将探讨并主要关注实施一些常见做法(如安全代码审查和动态安全测试)如何大幅减少攻击面并增加客户的信任。
罗杰·尼尔(续): 所以在这里营造气氛。我想从一段简短的视频开始,描述我们今天面临的风险。即使它已经有几年的历史了。我认为这是一个很好的代表。
在你最意想不到的地方冒险!
物联网攻击剖析
预防灾害需要采取正确的做法
罗杰·尼尔(续):所以,正如你所看到的,我们在 2024 年,有超过 150 亿台互联网连接设备。
因此,就像视频展示一样,我们现在生活在一个有许多复杂方式进行利用和攻击的世界中。这需要采取正确的做法,以确保尽可能限制攻击面。
为了应对这些风险。我们认为,有一些最佳实践对于保护您的组织至关重要。
动态安全测试 (DST):通过模糊测试或渗透测试的实时模拟来预测攻击
首先是动态安全测试。这种实时模拟攻击的过程可以极大地帮助您找到改善安全状况的方法。
罗杰·尼尔(续): 因此,让我们回到 Opticon 的视频示例:如果他们对他们的网络进行了适当的渗透测试,他们很可能会发现一旦有人连接到他们的网络,他们就可以横向移动到关键业务系统。
汽车和制造商也是如此:通过动态检查缺陷的存在,您将能够保持领先地位,通过对已知漏洞进行渗透测试,然后对未知漏洞进行模糊测试,以防止任何新的或旧的攻击影响您的系统。
安全代码审查:主动识别和解决应用程序和第三方组件中的风险
第二种做法是:安全代码审查。这是扫描您的应用程序以查找您编写和开发的漏洞和代码,以及您引入的任何第三方组件并将其实现到这些应用程序。
因此,就像我们之前在视频中看到的那样,漏洞的开始都是通过一个过时的保龄球网站进行的,如果他们运行适当的安全扫描以确保 Iframe 注入攻击得到修复,则可以对其进行保护和预防。但相反,他们的名字现在与数百万美元的违规行为联系在一起。
安全设计:在攻击发生之前加强防御机制
最后,我们需要实现一种安全设计思维,即从任何开发开始就一直考虑安全性。
再一次,我将回到那个视频:如果Opticom考虑过网络分段,他们可能会严格限制他们的攻击面,并可能阻止他们的蓝图被链接。
为什么要关注夏令时?
那么现在,为什么要关注动态安全测试呢?
实时验证漏洞的存在
好吧,出于多种不同的原因,动态安全测试将至关重要。首先是:它将实时验证漏洞的存在并准确无误。
罗杰·尼尔(续): 因此,通过主动测试利用这些漏洞,您可以验证它们是否确实存在于您的应用程序或系统中。
然后它会产生一个非常低的误报率,向你展示真正的问题。因此,正如我们在网络安全领域所知道的那样,我们生活在一个充满误报的世界中。通过动态测试,您将获得真正的结果。快。
通过模糊测试和渗透测试在发布前识别问题,防止代价高昂的召回
其次:如果在开发阶段尽早实施,它将防止代价高昂的召回。
通过使用模糊测试等方法彻底测试您的系统,您可以找到系统可能意外运行并导致违规的方法。通过使用渗透测试,您可以验证系统中是否找不到任何已知漏洞。因为一旦知道了一个弱点,它就变得更容易被发现和利用。
通过安全测试保护您的品牌声誉
最后,它将通过表明您正在积极测试多个独特的场景来保护您的品牌和声誉。
因此,您不仅要提供或遵守合规性标准,并向客户表明您正在采取必要的措施来保护系统,而且还将防止您在 2024 年设备中出现 2022 年、2021 年漏洞利用等标题。
DST 检测漏洞的实时示例:CAN 总线模糊测试
为了展示动态安全测试的重要性以及它如何帮助及早识别这些漏洞,我想继续进行漏洞利用的现场演示。
我想从一家领先的电动汽车制造商的用例中获取它,该制造商希望测试其CAN总线系统对独特和意外攻击的弹性,以遵守ISO合规性,并在发布前提高产品质量。
为此,他们选择使用模糊测试方法,以查看他们的系统将如何执行,或者是否会发现任何漏洞。
罗杰·尼尔(续): 我将介绍我们的动态安全测试人员 Penzzer。我将在这里将一个 OBD 模块连接到我的系统,这样我就可以继续执行测试。
因此,正如你所看到的,在动态安全性中,将有多种方法。
您可以进入并执行已知的攻击。正如我们所看到的,针对多辆车的多种已知攻击。
然后,您可以继续执行模糊测试方法,这将在您的CAN总线系统内找到任何未知或意外的响应。
因此,要开始这里,我将确保我有一个连接,然后我将继续并开始运行我的漏洞。
所以你在这里看到的是,我们的系统正在监听正常的流量,然后会尝试根据它收到的数据来操纵这些数据,看看你是否能找到漏洞。
然后,我们很快就会在这里看到,它应该继续并触发异常。
好的,完美。因此,在我运行测试后,我可以继续生成报告。但为了时间,我已经继续前进了,并为你生成了它。
所以现在,通过运行这个模糊测试,我们能够看到在我们的CAN总线网络中可以找到的所有不同的异常。因此,通过在发布电动汽车之前执行此模糊测试,我们能够看到有多个信号可能容易受到攻击。
然后其中一些信号也将非常重要,例如横向距离信号。
因此,由于容易受到利用,它可以随时告诉车辆移动或扰乱其动态反应的能力。然后,您还会发现漏洞或潜在的漏洞以及不同的轨道,例如此处的相对速度信号,它们可以控制和影响汽车的行驶速度。
因此,通过运行模糊测试和动态测试他们的CAN总线系统,该公司将能够识别所有这些潜在的漏洞。
然后,他们还将能够执行和运行系统的这些命令,因此他们可以确保它得到修正。当他们发布该系统时,他们可以向客户保证他们得到的是可靠的解决方案。
问答第一部分
格雷格·波特:Greg Porter,这里是技术总监,很抱歉打断。我很好奇,你知道的。你看到所有权了吗?在开发人员与安全方面,你是否看到了两者之间的一些战斗?你知道:这是我的责任吗?我为什么要关心?是额外的工作吗?你知道,通过设计开发安全代码而不是我的工作有什么运动或兴趣吗?
罗杰·尼尔: 哦,是的,绝对是。我们确实看到了一种转变,尤其是在开发和设计阶段的早期就实现了安全性。
埃里卡·坎宁安(Erica Cunningham): 那么罗杰呢?我可以问你一个问题吗?
什么是汽车行业?既然这是一个软件,既然这是物联网空间中汽车功能可能出错的一个例子,那么谁来监管这些制造商的物联网空间?
如果他们没有办法更新代码以确保他们不容易受到攻击,比如说,你知道有人进入并改变车速,或者,你知道,只是在你在车里运行的任何东西的应用程序堆栈内的代码中注入一些东西,那么他们的风险是什么?
你说的是汽车的操作系统。您还在谈论其他可以通过音频或其他向量利用的应用程序,对吗?
罗杰·尼尔: 是的,所以实际上,阿维,你想拿这个吗?
阿维拉姆·杰尼克: 是的,你想让我拿那个吗?答案是肯定的。因此,在汽车和物联网领域肯定发生了转变,我们认为这是一个积极的转变。
因此,当物联网和汽车的安全漏洞开始出现时,供应商首先认为这是一个麻烦,对吧?然后它变成了,你知道,这不是我的工作问题,我们需要做些什么才能把它从我们的办公桌上拿下来,然后消失在深渊中。
但事情确实以一种好的方式发生了变化——在几个方面。一是法规。
因此,监管即将出台。其中一些是机构的严格监管。因此,FCC实际上在几年前就起诉了Dealing,因为Dealing物联网设备的安全实践很糟糕,比如默认安全之类的东西。
因此,实际上有严格的监管正在进入。我想说的是,软性监管,通用汽车、福特和大型汽车制造商都有自己的标准,他们要求谁把东西放在车里要满足。
Aviram Jenik (续):因此,如果您想与福特、通用汽车、Uni、丰田或任何大型汽车制造商合作,您必须满足某些涉及安全性的标准。因此,您必须满足某些安全标准。
这仍然是,我的意思是,你知道,你可以找到大量的首字母缩略词和标准数字,但这仍在形成。因此,我不会说每个人都会遵守某项规定。
但是,如果你是通用汽车的供应商,通用汽车会告诉你在安全方面需要做什么,或者你需要做的最低限度是什么,这又是好的。
但我认为第三件事不仅仅是监管,而且,你知道,这是一个麻烦,有时也有助于修复问题,我们知道,我认为,供应商本身,或者任何正在构建代码的人,我们看到他们越来越理解这是一件大事。他们明白这一点。
所以如果是汽车,我的意思是,这是人的生命,对吧?因此,如果我们现在知道娱乐系统可以用来破解汽车ECU,而汽车ECU是控制刹车和速度的东西,那么你知道制造信息娱乐系统的LG担心汽车方面的安全性,因为他们不希望人们死去。
因此,我们可以决定我们对他们的理由有多愤世嫉俗,但这对他们来说是一件大事。他们确实想做安全。所以它正在发生变化,因为人们更多地认识到这是一件大事。由于监管,我认为我们将看到越来越多的。
对于物联网,我们认为这只是一个开始,但那里有监管。有人担心。但物联网正越来越多地成为我们生活中嵌入的一部分,而且嵌入得越多,供应商就会越来越重视它。但我们看到它正朝着正确的方向发展。
埃里卡·坎宁安(Erica Cunningham): 你是否看到他们将把一系列法规放在一起,以确保这些事情发生?
阿维拉姆·杰尼克: 他们已经是了。有些法规取决于您在供应链中的位置以及您可能需要满足的销售对象。
我认为我们将看到的是更标准化的监管,如果你想这样称呼它的话。因为现在,如果你问通用汽车,通用汽车会告诉你他们有自己的标准。然后福特的标准略有不同。他们齐心协力,用物联网来制定这个标准。
我认为物联网有点复杂,因为有很多不同类型的设备和很多不同的协议。但是我们看到越来越多的,这种,我想称之为,软监管。因为它是标准的。但这并不是说像 EDSA 这样的标准已经存在了 4 年。
Aviram Jenik (续): 但它们开始被采用。所以现在它越来越像是这样做的要求。
还有一件事值得一提。这就是供应链安全。因此,这有很多充分的理由成为头条新闻。因为当你在开发一个零件时,尤其是汽车,即使你在开发软件,你也在使用别人的软件来开发你的软件。
因此,如果你担心安全问题,如果你必须满足某些法规,那么你需要确保无论你在上游得到这个的人,在供应链方面也尽了自己的一份力量。所以再说一次,这在某种程度上仍在进行中,但我认为它正在朝着正确的方向发展,因为有一些标准。有一些规定。有一些事情
你可以试着见面,我认为它会变得越来越清晰,越来越清晰,我想称之为标准化,随着岁月的流逝。
罗宾·巴沙姆: 所以我要去。因为在 2025 年 3 月,我们将举行一次包括 TISA 在内的会议,这是网络安全人员成为专家的非常好的标准,我们将回到人工智能法和物联网法。因此,我们将循环播放并邀请您回来。
为什么要关注安全代码审查?
罗杰·尼尔: 很好。很酷。Avi,感谢您添加该输入。这完美地进入了我们的下一个部分,这将是安全代码审查。所以就像 Avi 说的,当涉及到动态安全测试和安全代码审查时,它们真的会齐头并进。
出于多种不同的原因,安全代码审查将成为保护物联网设备和汽车系统的重要实践。
降低第三方软件和组件的风险
第一个原因是:它将减轻您编写的代码中的攻击向量,或者像 Avi 所说的那样,您将引入到您开发的应用程序中的第三方代码或组件。
因此,在过去几年的开发中,我们看到的是,正在使用的开源组件有所增加。随着汽车的进步,就像我们在右图中看到的那样,将有多个不同的组件将被添加到该系统中。所以以前,汽车上没有技术。现在,我们在这些系统中看到了多个第三方组件。
罗杰·尼尔(续):随着这些不同的集成不断增长,这也将导致不同的攻击媒介。但最重要的是,它可能导致大量资源用于修复这些漏洞,这就把我们带到了第二点。
降低修复成本
这将降低修复成本。因此,正如我们都听说的那样,在开发生命周期的早期修复或修复漏洞比在发布后或结束时修复漏洞要便宜得多。
所以说,如果你想使用一个第三方组件,你发现它已经过时了,或者你正在与一个过时的维护者合作。修复这个问题的成本可能是巨大的,特别是如果更新(例如,特定组件)的能力可能会导致许多传递依赖问题,并可能导致大量资源被使用。
因此,通过在安全实践中实施安全代码审查,它将降低您的成本,然后减少开发生命周期后期所需的资源量。
确保符合行业法规和标准
最后,它将确保遵守行业法规。
因此,当涉及到像 ISO 这样的安全法规时,当涉及到在您的安全实践中实施安全代码审查时,它将使您能够填写所需控制列表,例如漏洞管理和威胁分析、风险评估、遵守安全开发流程,然后是文档, 可追溯性、安全活动和决策。
SCA 检测漏洞的实时示例:第一部分
因此,继续在这里强调安全代码审查的要点以及它如何大大降低您的风险,我将从希望将信息娱乐系统集成到其新中档车辆系列的汽车制造商的角度来看待它。
因此,为了降低成本并更快地将其推向市场,他们决定使用他们发现的开源存储库,而不是从头开始构建它。在做了一些研究之后,他们发现了一个名为 pilot drive 的开源存储库,然后他们决定要实现它。
因此,现在为了展示实施开源软件的风险或潜在风险,如果您没有正确的安全实践,我们将继续进入我们的安全代码审查解决方案,这将是我们的 SCA。
罗杰·尼尔(续): 但在我们这样做之前,这将是他们想要使用的开源存储库的概述。
因此,正如我们在这里看到的,它看起来像一个非常活跃的存储库。早在 5 个月前就有一些最近的更新。所以你会认为这可能是经过安全测试的。这可能是一个可以在系统内实现的安全存储库。
但是,正如我在这里看到的软件组成分析工具,在我扫描了这个存储库之后,我发现存在多个漏洞——甚至是大量的高和关键漏洞——正如我们在这里看到的,大约有 19 个漏洞处于高和关键阶段。因此,如果我在未执行必要扫描的情况下将这个特定的开源解决方案实施到我的系统中,这些漏洞将影响我的汽车系统或我实施它的任何设备。
因此,正如您所看到的,通过制定正确的流程,您将能够识别所有其他组件。因此,当我们开始检查此存储库时,我们将看到已发现的漏洞列表。
然后,如果我们继续查看这里,我们甚至可以看到在 2024 年发现了一个漏洞。因此,如果我们在系统中实施此存储库,我们可能会使我们的产品面临多种不同的风险。
因此,就像我们在这里看到的 Vite 模块一样,这可能会导致对敏感数据的未经授权的访问暴露。这可能包括配置文件、日志或其他关键数据,甚至使攻击者能够在您的车内执行自己的恶意代码,以执行不允许的访问或不允许的操作。
因此,正如你所看到的,通过使用正确的工具,你将能够尽可能多地进行修正或了解你带来的风险,以便你可以采取必要的控制措施来缓解这些问题。
问答第二部分
埃里卡·坎宁安(Erica Cunningham): 您是否根据CVSS的本质来识别CVSS,它们是合规风险还是第三方供应链风险,或者只是安全风险?
罗杰·尼尔: 是的。这就是我们在这里看到的。这一切都与供应链风险或第三方风险有关。因此,它采用 CVS 和 CVS V2 和 CVS V3 分数,然后汇总这些分数,以展示与此特定开源存储库中使用的组件相关的所有风险。
埃里卡·坎宁安(Erica Cunningham):你可以通过输入CVSS编号来扫描任何类型的风险,或者你是否有Log4j,或者你想在所有代码中搜索的东西,或者它是否被执行?这是实时扫描吗?
罗杰·尼尔: 是的。因此,在静态分析方面将更是如此。
因此,这将像二进制文件或源代码一样导入,然后它将扫描该特定存储库。它将着眼于源代码本身以及正在实现的不同功能。这将检测是否存在第三方组件,然后指出在此应用程序中发现的所有问题。
所以我相信我实际上可能有一个它检测 Log4J 的例子。但是,例如,如果您上传了一个使用过时的 Log4j 组件或 Java 组件的应用程序,那么它将能够检测到它并为您提供补救措施。
埃里卡·坎宁安(Erica Cunningham):那么,它会实时执行此操作以查看它是否真的击中了该特定漏洞吗?因为如果 Log 4j 没有命中代码,它就不是真正的问题。我的意思是,有人把它放在那里,对吧?
罗杰·尼尔: 是的,所以它实际上是在执行我们称之为函数级分析的东西。它实际上是在验证易受攻击组件的调用。因此,当它运行时,扫描将验证该组件是否确实在您的软件存储库中被调用。因此,它实际上让你知道你是否真的在调用该易受攻击的组件。
埃里卡·坎宁安(Erica Cunningham): 好。谢谢。
罗杰·尼尔: 答案是肯定的。
SCA 检测漏洞的实时示例:第二部分
罗杰·尼尔: 答案是肯定的。
因此,就像我们在这里看到的那样,除了能够通过制定正确的流程来指出不同的补救步骤之外,它还将使您能够生成必要的文档。同样,您将能够监视和查看特定存储库内或不同组之间发生的所有不同修正活动。
最重要的是,它将有助于提高透明度,使您能够生成软件账单材料,然后您可以共享或向不同的组织请求这些材料,以便您可以展示您采取了必要的步骤——您了解解决方案中使用了哪些组件,并展示您正在为客户提供可靠的解决方案。
专家见解:Aviram Jenik
罗杰·尼尔(续): 所以现在我想继续把这个传给阿维拉姆,我们已经在这里听到他讲了一点。
但为了快速介绍,Avi 将继续谈论网络安全的转变以及他在职业生涯中所看到的。
Avi 在该领域已有 20 多年的历史,几十年来一直处于网络安全领域的领先地位。所以他几乎看到了所有可看的东西。因此,我将继续请 Avi 发言。
阿维拉姆·杰尼克: 所以我们在问题和之前涵盖了很多。因此,我将尽量不重复,但我确实想带来一点,也许是观点,因为我知道很多 ICS2 成员已经在服务安全领域工作了一段时间。
我已经工作了二十多年,差不多二十五年了。所以我想提一下——这些问题确实出现了——我想提一下我们认为是积极发展的事情,特别是在物联网和汽车领域。这实际上是从某种必须的东西的转变,比如一种必要的邪恶——这意味着安全,我们知道供应商不喜欢做安全。他们认为这是一个成本中心。他们没有看到价值。这很烦人。
我们一次向供应商报告安全漏洞,他们真的不喜欢这样。我们现在正处于 2024 年的一个时刻,我们处于一个好得多的地方。我不会说事情是完美的,但在理解为什么安全很重要方面,事情要好得多。我不认为这是口头上的服务。我认为这些供应商确实明白安全性很重要。
然后是他们如何处理以及他们在安全方面投入了多少努力,你知道,其中一部分是监管。我个人不太喜欢通过监管来完成工作。但即使是像我这样的人也不得不承认,监管在安全方面非常有帮助,尤其是在汽车和物联网领域。
因为第一,它推动了其中一些供应商朝着这个方向发展。第二,它在标准化方面确实有非常非常有价值的部分。这也许是我想快速介绍的另一个话题。
这是我们作为安全专家的责任,也是我们的责任,将安全带入这个领域。我认为我们有一些错误,为什么花了这么长时间来适应汽车和物联网以及其他一些地方的安全性。
Aviram Jenik (续): 因为,我们无法正确保护设备。
我知道这不是我们的错。我知道我们有我们的理由。但是,我们并不总是清楚为这些设备提供安全性意味着什么。我认为我们正在变得更好。
其中一部分不再是绝对的。我想我已经有一段时间没有听到有人说,“这是获得某些东西的唯一方法”。我们谈论的是风险缓解,对吧?我们谈论:有哪些有效的方法可以降低风险。我们尝试从多个角度进行报道。这就是我们做 DAST 和 SAST 的原因。
供应链是10年和20年前我们经常谈论的东西,是一个模糊的理论概念。现在,每个人都明白供应链的重要性。这是一件好事。这些都是朝着非常正确的方向前进。
SCA,软件物料清单,软件组成分析,也是其中的一部分,能够回答我们过去难以回答的问题。我的软件中有什么?因此,在我检查安全漏洞之前,请告诉我我有什么。告诉我我应该去哪里看看,对吗?
所以我认为这是已知与未知漏洞测试的多个角度,动态与静态,有源代码,没有源代码,检查上游供应链,在开发过程中检查它,在我们测试时检查它,在部署后检查它,我们正在做所有这些事情。
我认为,在安全领域,我们大多数人都小心翼翼地避免在这方面绝对不绝对。你知道这是这样做的方法。这不是这样做的方法。
我们试图解释:什么是有效的方法,比如健康饮食,对吧?采用这些方法的大量组合将使一切更加安全。
最后,我再说一遍,从供应商的角度来看,他们都有安全团队。因此,所有超过一定规模的供应商都有负责产品安全性的人员。
一些供应商对自己寻找和发现安全漏洞非常警惕,这很好。即使是那些不做这三个安全模型的人,一旦被报告,也会非常认真地对待这一点。
因此,有很多理由让我们对我们在安全领域的发展方向感到兴奋,或者至少是积极的。我希望,作为安全专业人员,我们将继续尽自己的一份力量并提供帮助。
所以你知道:对于那些知道 Dilbert 漫画的人来说,安全官是阻止工作完成的人,对吧?这正是我们绝不能做的,对吧?这是我们必须做的一件事,我们永远不能到达的角落是那些无法工作的人。
科里·布朗: 绝对。阿维拉姆,我有一个观众的问题。他说,至于版本差异,是否需要聚合和推动?还是根据具体情况而定?
阿维拉姆·杰尼克: 我不确定我是否完全理解了这个问题。
罗杰·尼尔: 我想我有点明白了。
阿维拉姆·杰尼克: 你已经知道了。
罗杰·尼尔: 他主要是在问:我相信你应该自动推送软件包升级吗?或者你应该?或者你应该根据你应该解决哪些漏洞,你应该对你的开源组件应用哪些补丁来逐案处理?
我想说的是,应该根据具体情况,你不应该只是自动推送包升级,因为这可能会导致你的应用程序内部有很多传递依赖关系。
因此,您应该查看发现的漏洞。然后,您必须检查升级该软件包的效果,然后确定最佳操作方案是升级它还是添加其他安全控件以减轻与该漏洞相关的风险。
然后,阿维,我不知道你是否想在此基础上添加。
阿维拉姆·杰尼克: 不,我想你知道的。
罗杰·尼尔: 听起来不错。
科里·布朗: 问得好。谢谢你们的回答。
阿维拉姆·杰尼克: 还有其他问题吗?
科里·布朗: 我们还有什么观众的吗?
罗杰·尼尔: 我不这么认为。
科里·布朗: 加里有一个问题。那么,您能否谈谈CAN总线是什么,为什么它对CAN总线网络的安全性很重要,以及这种CAN技术的部署范围有多广?
罗杰·尼尔: 所以我认为最好的答案可能来自这里的 Avi。
阿维拉姆·杰尼克: 是的,绝对地。我可以。所以是的,所以CAN总线。因此,CAN总线的好坏是CAN总线是相当古老的技术。
Aviram Jenik (contin’): 我认为它可以追溯到九十年代。可能有人可以找到比这更早的参考资料。但它肯定在九十年代流行起来,这意味着它几乎没有考虑安全性,对吧?
这是一条总线,我的意思是,它是一条CAN总线,这使得它在安全性方面更加复杂,并且在很多地方都使用了它。其中一些非常非常令人惊讶。因此,在汽车和其他事物中,您都可以找到CAN总线 – 例如在飞机上,以及我们总是惊讶地看到的其他地方。
所以CAN总线很重要。了解这一点,CAN总线还有另一个问题,因为没有真正的协议称为CAN总线,CAN总线是一种媒介。协议是在它上面实现的,这意味着每个供应商都有自己的协议,我想说,协议,也许是协议规范。或者有时它是对现有事物的调整,这使得像我们这样的人需要想出方法来测试它,并可能尝试标准化甚至提供最佳实践。因为在CAN总线上的实际协议是如此不同。
但是,我们意识到了这一点。所以我们知道CAN总线是一件大事。我们知道CAN总线无处不在。我们知道CAN总线有很多问题。
我们可以测试CAN总线。我们有很多硬件能够以多种不同的方式测试CAN总线。所以它不再是这样的,这个神秘的协议,只有,你知道,超级黑客或超级测试人员或超级渗透测试人员才能测试。
这是非常可以做的事情,应该进行更多的测试。我认为我们无法很快为CAN总线增加安全性。你知道,它们仍然是九十年代设计的发动机,是以某种方式设计的。我们能做的不多。但作为安全人员,我们可以越来越擅长测试CAN总线。我认为我们现在正在这样做。
科里·布朗: 嗯,这太棒了。关于CAN总线的最后一件事。加里还有另一个问题。所以我知道推荐最佳实践。有没有访问控制建议,或者防火墙之类的,你们可以推荐吗?
阿维拉姆·杰尼克: 好吧,建议是不要授予访问权限,对吧?就像我说的,至少,这是你知道的,我们一直在说,但它没有得到满足。您至少必须将CAN总线网络与不需要访问的其他网络分开。
我碰巧认识一家安全公司的首席执行官,这是一个很好的例子。他坐在飞机上,连接到USB端口,你知道,做了一些挖掘,开始看到CAN总线数据包 – 然后停了下来。因为当你在飞机上时,这就像,你不想开始问你不知道答案的问题。
Aviram Jenik (contin’): 但这不应该发生,对吧?你不应该有,和汽车一样,如果你在信息娱乐方面,你不应该访问CAN总线网络,无论ECU在哪里。所以非常非常困难。
科里·布朗: 是的。所以细分是必须的,对吧?
阿维拉姆·杰尼克: 实施是必须的。有一些工具是,引用取消引用,CAN总线防火墙。并回答这个问题。CAN总线是技术,我想说的是物理层。CAN总线基本上是已经使用的物理层,在它之上,还有…因此,从某种意义上说,它是一种标准,即某些引脚以某种方式运行。这就像在说,RS 232。所以这是一种标准的方式,只是在聊天中回答彼得彼得的问题。
但就你的观点而言,是的,有一些CAN总线防火墙即将出现,也许我们会需要它。也许我们会给它带来安全感。同时,对其进行细分。
科里·布朗: 现在是加里的最后一个问题。是否有适用于物联网的产品安全标准,我们可以在购买设备时寻求合规性?当我们开始自己购买这些设备时,是否有我们可以快速查找的标准?
阿维拉姆·杰尼克: 哦,这是作为消费者。这其实很有意思。所以从消费者的角度来看,我不知道有这样的事情。物联网制造商,尤其是大型制造商,开始为他们购买组件的标准制定标准,以便在他们构建物联网设备时,因为物联网设备实际上是组件,一堆组件,你知道,被粘在一起。
所以他们进来了。其中之一是 EDSA。你可以查一下。但这不是由消费者检查的。我想说的是,这是针对集成商或销售设备的人来检查他们正在使用的组件。
科里·布朗? 好问题,好答案。谢谢。
罗杰·尼尔: 我知道我们还有几个问题,科里。你还有什么要我们回答的吗?我知道我们会准时到达。
科里·布朗: 伊万还有一个问题。好?
阿维拉姆·杰尼克: 所以CAN总线是一个共享的,就像一个共享的媒体,就像一个集线器,你可以理解,就像在安全方面可以给我们带来多少麻烦,就像我们知道它有多糟糕一样。但这只是。它就是这样。我们无法改变它。或者我们能做的不多,才能真正在CAN总线上实现类似开关类型的东西。
Aviram Jenik (contin’): 我不知道这是任何人都在谈论的方向。我只是觉得这超级超级难。记住,你必须祖父;总有遗留设备。他们中的一些人已经20多岁了。而且它们必须得到支持,当你试图在安全方面做一些新的事情时,这总是很糟糕。
科里·布朗: 好吧,好问题伙计们。如果您还有其他问题,我们将请演示者回答您的问题。
罗杰·尼尔: 所以在这个时候,我知道我们准时来到这里,所以我们可以把一些问题留到最后。我仍然会在这里回答他们。
但是,是的,我要感谢你们抽出宝贵时间在这里聆听我们的演讲。如果您想与我们取得联系,您可以直接通过您在此处看到的联系方式与我联系,或者您可以访问我们的网站。
因此,您也可以通过 Apona dot AI 或 We dash bridge dot com 与我们联系。
科里·布朗: 好。谢谢。信息量很大。我相信我们会再次让你们回来的。你有一副牌,你给我们看了。这是我们可以与成员分享的东西吗?
罗杰·尼尔 当然可以。是的,我会继续分享,在这次通话之后可能会对它进行一些调整,然后可以发送它。
科里·布朗: 非常感谢你,还有Aviram,也谢谢你。