固源网络科技荣获 AutoSec安全之星"年度杰出安全测试工具供应商"
新闻固源网络科技2020-10-30 16:36:08

于2020年10月21日至23日,北京固源网络科技有限公司受邀出席了2020年度第四届AutoSec中国汽车网络安全周。本次安全周汇聚了300多位专业参会嘉宾全程参与,并聚集了超过40多家汽车主机厂商,整个安全周为期3天,分别下设“2020中国汽车功能安全及预期功能安全(ISO26262 & SOTIF)峰会”和“2020第四届中国汽车网络安全峰会”。期间峰会议题聚焦ISO 26262与SOTIF相关技术,以及汽车信息安全国内外合规与攻防实践,是在新冠疫情后举办的首个全产业链,汇聚各大整车厂商共同参与的汽车网络安全前沿技术行业盛会。

在2020第四届中国汽车网络安全峰会上,固源网络科技网络安全专家李立东先生现场分享了主题演讲“结合ISO21434:黑盒安全测试如何帮助汽车加强网络安全”。

演讲中,李立东先生详细对比了现阶段信息安全标准ISO21434与传统功能安全ISO26262的不同,并指出在信息安全方面,ISO21434旨在为汽车的整体开发和运营上建立一个整体的安全体系,最大化的减少针对网联汽车与汽车基础设备的潜在攻击。

同时李立东先生针对ISO21434中的具体要求,进行了详细的讲解,并阐述了如何通过固件安全检测和模糊测试来更好的帮助整车厂加强网络安全建设。

首先固件安全检测平台Cybellum CSMS将针对所有上传的汽车二进制组件进行自动化分析,并生成对应组件的数字孪生工程。Cybellum将获取上传组件中的详细组件成分信息,并自动化的匹配内部合规准则,最佳编码实践,和披露潜在的已知漏洞,CWE相关的未知缺陷。最后在SOP之后,Cybellum将基于汽车组件的成分信息,进行实时汽车安全威胁情报跟踪,持续的进行漏洞分析,预警和主动推送漏洞缓解方案。

其中汽车的网络模糊协议和接口大致如下:

短距离&组件通信协议:Wifi, Bluetooth, Bluetooth_LE. MQTT.XMPP

系统组件服务通信协议:TCP/IP HTTP. Browser ,USB, File Fuzz

核心动力控制协议:CAN,CAN-FD

广域通信协议:3G/4G/5G/

针对如上,多样的协议和接口,如何进行高效率的模糊测试?李立东先生针对性的为大家展示了如果通过针对不同通信协议构造不同的变异策略以及如何进行底层通信驱动绕过等机制提高漏洞挖掘的效率和有效降低误报率。并在会上为大家展示了固源网络科技发现的若干汽车相关漏洞演示。

演讲过后在圆桌会议上,李立东先生还与来自易特驰、防特网、福田汽车、普华基础软件的四位嘉宾围绕“上下游产业链应该如何有效协作以构建全生命周期的汽车安全防护体系,汽车信息安全未来趋势如何发展”等话题展开进行探讨,与现场参会人员一起互动分享最新的行业见解,探讨行业发展机遇。

会议同期颁发了“AutoSec安全之星”系列奖项。基于固源网络科技在行业内的杰出贡献和在网络信息安全漏洞挖掘与发现上的努力耕耘,经专家团队评估审核,固源网络科技荣获“年度杰出安全测试工具供应商”。