Mit zunehmender Vernetzung entstehen neue Einfallstore für Cyberangriffe. Die Regularien der UNECE fordern daher von OEMs und Flottenbetreibern eine wirksame Security-Risikobehandlung der Fahrzeuge über ihren gesamten Lebenszyklus. Elementarer Bestandteil dafür: Die Angriffserkennung per Intrusion Detection System (IDS) im Fahrzeug. Wie jedoch lässt sich künftig eine zuverlässige Überwachung der Bordnetzkommunikation per IDS auch unter den erhöhten Anforderungen Ethernet-basierter E/E-Architekturen noch gewährleisten?
Mit dem Angriffserkennungssystem ESCRYPT CycurIDS, welches als CycurIDS-CAN für CAN/CAN-FD-Netzwerke und als CycurIDS-ETH für Ethernet-Netzwerke verfügbar ist, bietet ETAS eine spezifisch auf Fahrzeugelektronik und -vernetzung zugeschnittene Lösung. Der IDS-Manager ESCRYPT CycurIDS-M und der IDS-Reporter ESCRYPT CycurIDS-R vervollständigen das Angebot hin zu einem verteilten In-Vehicle Intrusion Detection System.
Immunsystem fürs Fahrzeug
Die Hauptaufgabe eines IDS ist es, Angriffe auf das Fahrzeug zu identifizieren und an ein Vehicle Security Operations Center (V-SOC) im Backend zu melden, von wo dann geeignete Gegenmaßnahmen eingeleitet werden können. Um diese Aufgabe zu erfüllen, umfasst ein fahrzeuginternes verteiltes IDS mehrere Komponenten: IDS-Sensoren (ESCRYPT CycurIDS-CAN & ESCRYPT CycurIDS-ETH), IDS-Manager (ESCRYPT CycurIDS-M) und IDS-Reporter (ESCRYPT CycurIDS-R). Die fahrzeuginternen Komponenten und das V-SOC bilden zusammen die IDPS-Lösung, die es Herstellern und Flottenbetreibern ermöglicht, einen Lebenszyklus kontinuierlicher Security-Verbesserungen zu etablieren.
Wachschutz für die Bordnetzkommunikation
-
Sofort einsatzbereite Softwarelösung zur In-Vehicle Angriffserkennung für aktuelle und Ethernet-basierte E/E-Architekturen.
-
Lässt sich nahtlos in aktuelle Steuergeräte einbetten und auf allen gängigen eingebetteten Plattformen einsetzen.
-
Trägt zur Erfüllung zukünftiger gesetzlicher und regulatorischer Anforderungen zur Datensicherheit im Fahrzeug bei.
-
Eine Whitebox-Sicherheitslösung: Kunden erhalten ihr individuelles Konfigurationstool
-
Tief eingebettet, leistungsoptimiert und deterministisch.
-
ETAS bietet das komplette Ökosystem für kontinuierlichen Schutz an, einschließlich Konfigurationsschulungen, Field Application Ingenieuren vor Ort sowie Vehicle-SOC-Service.
Weitere Details
-
Monitoring des weitergeleiteten CAN-Verkehrs & Erkennung von potenziellen Angriffen (Anomalien)
-
Konfigurations-GUI mit automatischer Regelgenerierung und Simulation
-
Meldung und Protokollierung von Anomalien, entweder lokal oder an das Vehicle-SOC
-
Heuristische und signaturbasierte Erkennung auf ECU
-
ESCRYPT CycurIDS-CAN ist vollständig kombatibel mit dem IDS-Manager-Konzept und kann als "intelligenter Sensor" zur Erkennung von Angriffen auf CAN eingebunden werden
Die Kalibrierung von ESCRYPT CycurIDS-CAN basiert auf herstellerspezifischen Konfigurationsdaten (DBC/ARXML) für Fahrzeug-CAN-Netzwerke. Diese Konfiguration wird durch eine Simulation auf Basis des aufgezeichneten Netzwerkverkehrs optimiert und validiert. Das Ergebnis ist eine hohe Erkennungsrate gepaart mit einer geringen Anzahl von Falschmeldungen.
-
ESCRYPT CycurIDS-CAN ermöglicht z. B. die Beobachtung der Meldungshäufigkeit, um "Message Injection" zu erkennen
-
ESCRYPT CycurIDS-CAN erlaubt den Vergleich aller Meldungen auf den Bussen mit einer Whitelist, um nicht spezifizierte Meldungen zu erkennen
-
ESCRYPT CycurIDS-CAN identifiziert böswillige Diagnoseanfragen während der Fahrt, z. B. erkennt es Versuche, bestimmte Steuergeräte abzuschalten
-
Sicherheitsereignis-Management für Kraftfahrzeug-ECUs
-
Es gibt zwei Produktvarianten:
-
für tief eingebettete ECUs, d. h. µCs mit klassischem AUTOSAR oder RTOS
-
für größere Plattformen, d. h. µPs mit adaptivem AUTOSAR und/oder einigen POSIX OS
-
-
AUTOSAR-konforme Lösung, die flexibel auf andere kundenseitige Aggregations-, Persistenz- oder Berichtsstrategien erweitert werden kann
-
Ermöglicht eine frühestmögliche Auswahl relevanter Sicherheitsereignisse, um die Speicher- und Bandbreitenkosten zu senken
-
Einfache fahrzeugweite Konfiguration, die an generierte Sicherheitsereignisse angepasst werden kann
-
Überwachung des Ethernet-Verkehrs & Erkennung von potenziellen Angriffen (Anomalien)
-
Konfigurations-GUI mit automatischer Regelgenerierung und Simulation
-
Meldung und Protokollierung von Anomalien, entweder lokal oder an das Vehicle-SOC
-
Heuristische und signaturbasierte Erkennung auf ECU
-
Sofort einsatzbereite Softwarelösung zur Erkennung von Angriffen auf Fahrzeuge für aktuelle und Ethernet-basierte E/E-Architekturen
-
ESCRYPT CycurIDS-ETH kann sowohl komplett auf Ethernet-Switch als auch auf uC/uP laufen
Die Konfiguration von ESCRYPT CycurIDS-ETH basiert auf Netzwerkbeschreibungsdateien des Herstellers, z. B. ARXML für Fahrzeug-Ethernet-Netzwerke. Diese Konfiguration wird mit dem Konfigurationstool GUI weiter optimiert und feinjustiert.
-
ESCRYPT CycurIDS-ETH ermöglicht spezifikationsbasierte Intrusion Detection
-
ESCRYPT CycurIDS-ETH ermöglicht anomalie-basierte Intrusion Detection
-
ESCRYPT CycurIDS-ETH identifiziert böswillige Diagnoseanfragen während der Fahrt, z. B. erkennt es Versuche, bestimmte Steuergeräte abzuschalten
-
Sicherheitsereignis-Berichte für das Fahrzeug
-
Kundenspezifische Lösung zur Verbindung des Fahrzeugs mit dem Vehicle Security Operations Center (VSOC)
-
Integrierte Bereitstellung der IDS-Kommunikationsfunktionalität
-
Ermöglicht isolierte Auslösungen zur Erfüllung von Sicherheitsanforderungen
-
Nahtlose Integration in die ESCRYPT CycurIDS-Komponenten
