Cybellum自动驾驶行业应用案例

概述

目前，汽车行业正在迅速开始大规模采用互联汽车和自动驾驶汽车技术，因而网络 安全越来越受到汽车制造商的关注， 许多汽车的零部件是由外部承包商进行生产，  再装入汽车，这些零部件一部分是为了某款车而专门定制的，而另一部分则是适用 于许多不用的汽车平台的通用部件。所以汽车制造商们很难在不干扰产品创新的 条件下，去共同确保一个完善可靠，不出错的互联环境。

Cybellum采用二进制代码检测技术，可以在供应商不提供源代码的情况下，自动 检测汽车供应商生产的每一个重要零部件中的程序是否存在着缺陷与漏洞。

尽管，大多数零部件产品都经过严格的测试，但还是能发现大量令人震惊的高危漏 洞，这绝对不是单一的案例,而是行业内普遍存在的现象，毕竟汽车网络安全对于大 部分汽车厂商来说还是一个新概念。

客户

这是一家跨国汽车公司，2017年销售量超过300万辆。也是全球最大的汽车制造商 之一。

问题

汽车OEM集成商整合他们从上百个供应商那里所获得的零部件到一台车辆当中，  其中许多模块都需要与外部进行连接，比如通过： WI-FI、 蓝牙、蜂窝网

络、CAN总线等等。而往往这些第三方的零部件及模块的代码都不允许提供给 汽车集成商， 所以绝大部分程序都未经安全评估检测就被整合到车辆中去。

在OEM集成商中安全评估也很少有被执行， 就算评估也只是针对有限的集成部件 或版本， 通常这类报告也只是一个快照，很少有可执行项，同时这类测试多数是手 工执行的，很耗时费力和浪费资源， 但如果采用自动化检测，通常都需要安装自动 化安全测试执行客户端到第三方部件或设备上， 这种情况是很难获得生产厂家的 允许。

随着越来愈多争论关于OEM和1级供应商的安全责任归属问题，因此这种不透明的 安全评估检测步骤成为了汽车零部件验收问题中最复杂和难解决的问题，同时随 着汽车互联技术的发展，这种问题将会越演越烈。

解决方案

汽车OEM集成商使用Cybellum的汽车行业解决方案 V-Ray （X光侦测）进行PoC试验，检测目标是汽车 中最重要的部件之一， 而这款部件是经过渗透测试后，被证实为安全的部件，并通过了安全评估检测。这 次试验的目的是为了全面了解该部件的完整代码构成及漏洞，测试的范围从被公开的漏洞到未公开的零 日漏洞，并提供指导建议关于如何缓解和解决发现的漏洞问题。

同时还旨在了解代码是否按照了最佳实践安全编码标准编写，以及实施哪些缓解安全隐患的解决方案及 建议。我们对被测部件进行了两种类型都被Cybellum所支持的自动扫描技术和评估方法，第一种是静态 分析，包括从编译后的二进制文件中提取和访问所有数据和元数据，并向该OEM集成商的安全检测团队展 示了该零部件中执行程序的内部代码成分，以及展示了所有通过静态检测方法发现的安全问题，这些问题 后来都被证实，能轻易的被熟手的黑客所利用， 漏洞的范围包括： 从已泄露的加密密钥到易受攻击的过时 组件等等。

与此同时， 我们也使用了第二种动态扫描分析法，经过在Cybellum高度定制化修改的专有的可执行环境 中执行该程序组件，其目的是一旦任何漏洞被触发，在该构建环境中都能被报告并完整的取证，同时评估该 漏洞的严重性。

最终结果

我们经过几天从OEM集成商那里得到最终的零部件程序测试版，并设置好动态测试环境，利用V-Ray检测 最终生成了完整的动态检测报告，该报告中展示了70个不同严重级别的零日漏洞，使得零部件供应商及其 安全团队能第一时间修复及缓解大量零日漏洞所造成的的重大安全风险。

漏洞包括：

在整个PoC期间，得益于Cybellum X-Ray持续监控功能，被测程序及其系统环境将被X-Ray系统持续 监控 - 就算是在外部互联网环境中发现了与该被测零部件程序相关的新漏洞或威胁，X-Ray系统也会第 一时间推送与之相关安全警报给安全检测团队， 使得新漏洞及安全威胁也无处隐藏。

作为PoC试用评估过程的一部分，Cybellum的安全专家和OEM的安全团队共同验证分析了每个漏洞，消 除了误报的可能性。 在此过程中，OEM集成商完全接受了V-Ray™自主检测系统所发现的所有安全漏

洞及威胁。

由于PoC的成功实践，使得OEM集成商十分满意，并决定尽快将V-Ray™作为每个新零部件程序的测试环 节之一，并和现有的DevOps过程进行了集成，从而快速扩展到其他组件的检测。

关于 Cybellum

         Cybellum 由以色列精英情报部门的专业人士所创建，由攻击性和防御性安全专家所组成，拥有丰富的军事安防实战经验，来应对漏洞检测中最具挑战性的方方面面问题。