Asumir el daño: una base para la ciberseguridad automotriz

Posted By
Joachim Waschke
Global Engineering Director, Systems and Software

Las estrategias de defensa en profundidad son importantes, incluidas las actualizaciones seguras, el arranque seguro, la gestión del acceso a la identidad, las técnicas de aislamiento mediante virtualización y mucho más.

Durante la última década, el concepto de "confianza cero" ha dominado las discusiones sobre ciberseguridad en todas las industrias. Sin embargo, como muchas palabras de moda, el significado exacto de confianza cero se ha diluido con el tiempo, perdido en la retórica. El Instituto Nacional de Estándares y Tecnología (NIST) intentó recientemente contrarrestar esta tendencia publicando un estándar para Zero Trust Architecture para definir el término y proporcionar casos de uso de sentido común.

Aún así, el mismo nombre de "confianza cero" puede ser engañoso. Si bien los sistemas de confianza cero evitan confiar implícitamente en los usuarios únicamente en función de su ubicación física o conexión de red, en algún momento tienen que confiar en algo, en algún lugar, o de lo contrario nunca podrían comunicarse con nada fuera del sistema ni hacer nada.

Una forma alternativa y eficaz de pensar sobre la ciberseguridad es "asumir el daño". Es decir, incluso una vez que se ha establecido una relación con una entidad externa, suponga que la entidad está dispuesta a hacer daño, ya que puede haber sido comprometida. Este estado de ánimo se centra en el establecimiento de privilegios de acceso e identidad y, en su lugar, apunta a acciones prácticas a tomar, ya sea de forma proactiva o reactiva.

A medida que los vehículos se definen más por software, este enfoque de seguridad se vuelve importante de varias maneras:

Software. Cada capacidad que se agrega a un vehículo trae consigo su propio software. Esas piezas de software podrían provenir de múltiples proveedores; es posible que deban ejecutarse en la misma plataforma de hardware; y pueden hablar entre ellos. Todo el software debe analizarse en busca de amenazas y vulnerabilidades comunes, a través del análisis de la composición del software, pruebas de penetración y evaluaciones periódicas de riesgos.

Las estrategias de defensa en profundidad son importantes, incluidas las actualizaciones seguras, el arranque seguro, la gestión del acceso a la identidad, las técnicas de aislamiento mediante virtualización y mucho más. Estas estrategias son importantes para fortalecer los sistemas contra ataques y generar confianza en los vehículos definidos por software.

Hardware. Muchas capacidades tienen unidades de control electrónico con su propio hardware, y ese hardware incluye cada vez más microchips comerciales listos para usar (COTS) que podrían ser vulnerables a los ataques.

El hardware seguro es la columna vertebral de la seguridad de los vehículos definidos por software. Ejemplos de capacidades de hardware seguro incluyen almacenamiento seguro, detección de manipulación, aceleración de hardware para algoritmos criptográficos, actualizaciones de firmware seguras, actualizaciones de claves seguras, arranque seguro, depuración segura y muchas otras características. La orquestación de datos es posible en un vehículo definido por software solo cuando se aprovechan estas capacidades de hardware.

Comunicación. Cada aplicación puede comunicarse de forma inalámbrica, ya sea que esté recibiendo actualizaciones por aire (OTA) o recuperando contenido para un sistema de información y entretenimiento. Los vehículos ya no son sistemas cerrados, y cualquier enfoque de seguridad debe reconocerlo y tenerlo en cuenta.

Adoptar un enfoque de asumir daños significa estar siempre en guardia. Un ejemplo es exigir que todas las comunicaciones entrantes, ya sea del mundo exterior o de otros módulos del vehículo, se formatee exactamente de acuerdo con el protocolo, sin excepción. En el pasado, los sistemas de TI se vieron comprometidos por atacantes que deliberadamente formatearon incorrectamente las comunicaciones para abrir una vulnerabilidad. Un ejemplo infame es el gusano Code Red de 2001, que desbordó un búfer con una larga cadena de letras cuando llegó a las computadoras de destino. Ese desbordamiento le dio la oportunidad de ejecutar código malicioso.

 Los sistemas pueden reducir su vulnerabilidad al validar que cualquier comunicación entrante siga los protocolos estándar al pie de la letra, sin importar la fuente. Si la comunicación no se ajusta a esos parámetros, el sistema puede ignorarla o informar al sistema de envío del error. Un búfer nunca tendría la posibilidad de desbordarse, por ejemplo.

Los sistemas también deben reaccionar de manera segura a los eventos. Por ejemplo, las actualizaciones de OTA requieren una conexión inalámbrica activa, pero ¿cómo debería reaccionar el vehículo si la conexión se interrumpe durante un período prolongado de tiempo, ya sea de forma intencionada o no? ¿Cuánto tiempo espera? ¿Y debería cerrar ciertos subsistemas para evitar daños?

Un desafío adicional es que los vehículos deben proteger los sistemas contra posibles ataques observados en otras industrias, como los ataques de intermediario que intentan falsificar una señal al vehículo y luego enrutarlo a través de una infraestructura diferente para cargar el vehículo con un actualización maliciosa. Se necesitarán sistemas de detección de intrusiones y el vehículo deberá estar preparado para reaccionar ante diferentes escenarios, incluida la posibilidad de apagar un componente infectado.

Una postura de "asumir el daño" es clave para desarrollar los vehículos definidos por software del futuro. Cada paso debe bloquearse y abordarse. Se debe comprobar cada interacción. La industria financiera ha estado adoptando este enfoque durante años. Ahora, la industria automotriz también debe adoptar un enfoque riguroso de la ciberseguridad, especialmente a medida que los vehículos avanzan hacia niveles más altos de automatización.