Eingebettete Angriffserkennung für CAN- und Ethernet-Netzwerke

ESCRYPT CycurIDS

Automotive-Cybersecurity-Lösungen von ESCRYPT werden seit 01.01.2023 unter der Marke ETAS angeboten. Erfahren Sie mehr.

Mit zunehmender Vernetzung entstehen neue Einfallstore für Cyberangriffe. Die Regularien der UNECE fordern daher von OEMs und Flottenbetreibern eine wirksame Security-Risikobehandlung der Fahrzeuge über ihren gesamten Lebenszyklus. Elementarer Bestandteil dafür: Die Angriffserkennung per Intrusion Detection System (IDS) im Fahrzeug. Wie jedoch lässt sich künftig eine zuverlässige Überwachung der Bordnetzkommunikation per IDS auch unter den erhöhten Anforderungen Ethernet-basierter E/E-Architekturen noch gewährleisten?

Mit dem Angriffserkennungssystem ESCRYPT CycurIDS, welches als CycurIDS-CAN für CAN/CAN-FD-Netzwerke und als CycurIDS-ETH für Ethernet-Netzwerke verfügbar ist, bietet ETAS eine spezifisch auf Fahrzeugelektronik und -vernetzung zugeschnittene Lösung. Der IDS-Manager ESCRYPT CycurIDS-M und der IDS-Reporter ESCRYPT CycurIDS-R vervollständigen das Angebot hin zu einem verteilten In-Vehicle Intrusion Detection System.

Immunsystem fürs Fahrzeug

Die Hauptaufgabe eines IDS ist es, Angriffe auf das Fahrzeug zu identifizieren und an ein Vehicle Security Operations Center (V-SOC) im Backend zu melden, von wo dann geeignete Gegenmaßnahmen eingeleitet werden können. Um diese Aufgabe zu erfüllen, umfasst ein fahrzeuginternes verteiltes IDS mehrere Komponenten: IDS-Sensoren (ESCRYPT CycurIDS-CAN & ESCRYPT CycurIDS-ETH), IDS-Manager (ESCRYPT CycurIDS-M) und IDS-Reporter (ESCRYPT CycurIDS-R). Die fahrzeuginternen Komponenten und das V-SOC bilden zusammen die IDPS-Lösung, die es Herstellern und Flottenbetreibern ermöglicht, einen Lebenszyklus kontinuierlicher Security-Verbesserungen zu etablieren.

Wachschutz für die Bordnetzkommunikation

  • Sofort einsatzbereite Softwarelösung zur In-Vehicle Angriffserkennung für aktuelle und Ethernet-basierte E/E-Architekturen.

  • Lässt sich nahtlos in aktuelle Steuergeräte einbetten und auf allen gängigen eingebetteten Plattformen einsetzen.

  • Trägt zur Erfüllung zukünftiger gesetzlicher und regulatorischer Anforderungen zur Datensicherheit im Fahrzeug bei.

  • Eine Whitebox-Sicherheitslösung: Kunden erhalten ihr individuelles Konfigurationstool

  • Tief eingebettet, leistungsoptimiert und deterministisch.

  • ETAS bietet das komplette Ökosystem für kontinuierlichen Schutz an, einschließlich Konfigurationsschulungen, Field Application Ingenieuren vor Ort sowie Vehicle-SOC-Service.

Weitere Details

  • Monitoring des weitergeleiteten CAN-Verkehrs & Erkennung von potenziellen Angriffen (Anomalien)

  • Konfigurations-GUI mit automatischer Regelgenerierung und Simulation

  • Meldung und Protokollierung von Anomalien, entweder lokal oder an das Vehicle-SOC

  • Heuristische und signaturbasierte Erkennung auf ECU

  • ESCRYPT CycurIDS-CAN ist vollständig kombatibel mit dem IDS-Manager-Konzept und kann als "intelligenter Sensor" zur Erkennung von Angriffen auf CAN eingebunden werden

Die Kalibrierung von ESCRYPT CycurIDS-CAN basiert auf herstellerspezifischen Konfigurationsdaten (DBC/ARXML) für Fahrzeug-CAN-Netzwerke. Diese Konfiguration wird durch eine Simulation auf Basis des aufgezeichneten Netzwerkverkehrs optimiert und validiert. Das Ergebnis ist eine hohe Erkennungsrate gepaart mit einer geringen Anzahl von Falschmeldungen.

  • ESCRYPT CycurIDS-CAN ermöglicht z. B. die Beobachtung der Meldungshäufigkeit, um "Message Injection" zu erkennen

  • ESCRYPT CycurIDS-CAN erlaubt den Vergleich aller Meldungen auf den Bussen mit einer Whitelist, um nicht spezifizierte Meldungen zu erkennen

  • ESCRYPT CycurIDS-CAN identifiziert böswillige Diagnoseanfragen während der Fahrt, z. B. erkennt es Versuche, bestimmte Steuergeräte abzuschalten

  • Sicherheitsereignis-Management für Kraftfahrzeug-ECUs

  • Es gibt zwei Produktvarianten:

    • für tief eingebettete ECUs, d. h. µCs mit klassischem AUTOSAR oder RTOS

    • für größere Plattformen, d. h. µPs mit adaptivem AUTOSAR und/oder einigen POSIX OS

  • AUTOSAR-konforme Lösung, die flexibel auf andere kundenseitige Aggregations-, Persistenz- oder Berichtsstrategien erweitert werden kann

  • Ermöglicht eine frühestmögliche Auswahl relevanter Sicherheitsereignisse, um die Speicher- und Bandbreitenkosten zu senken

  • Einfache fahrzeugweite Konfiguration, die an generierte Sicherheitsereignisse angepasst werden kann

  • Überwachung des Ethernet-Verkehrs & Erkennung von potenziellen Angriffen (Anomalien)

  • Konfigurations-GUI mit automatischer Regelgenerierung und Simulation

  • Meldung und Protokollierung von Anomalien, entweder lokal oder an das Vehicle-SOC

  • Heuristische und signaturbasierte Erkennung auf ECU

  • Sofort einsatzbereite Softwarelösung zur Erkennung von Angriffen auf Fahrzeuge für aktuelle und Ethernet-basierte E/E-Architekturen

  • ESCRYPT CycurIDS-ETH kann sowohl komplett auf Ethernet-Switch als auch auf uC/uP laufen

Die Konfiguration von ESCRYPT CycurIDS-ETH basiert auf Netzwerkbeschreibungsdateien des Herstellers, z. B. ARXML für Fahrzeug-Ethernet-Netzwerke. Diese Konfiguration wird mit dem Konfigurationstool GUI weiter optimiert und feinjustiert.

  • ESCRYPT CycurIDS-ETH ermöglicht spezifikationsbasierte Intrusion Detection

  • ESCRYPT CycurIDS-ETH ermöglicht anomalie-basierte Intrusion Detection

  • ESCRYPT CycurIDS-ETH identifiziert böswillige Diagnoseanfragen während der Fahrt, z. B. erkennt es Versuche, bestimmte Steuergeräte abzuschalten

  • Sicherheitsereignis-Berichte für das Fahrzeug

  • Kundenspezifische Lösung zur Verbindung des Fahrzeugs mit dem Vehicle Security Operations Center (VSOC)

  • Integrierte Bereitstellung der IDS-Kommunikationsfunktionalität

  • Ermöglicht isolierte Auslösungen zur Erfüllung von Sicherheitsanforderungen

  • Nahtlose Integration in die ESCRYPT CycurIDS-Komponenten