La creciente conectividad hacia el exterior convierte a los vehículos conectados en un objetivo cada vez más atractivo para los ataques. Si un hacker consiguiera acceder a la red interna del vehículo de este modo, podría causar daños importantes. Por este motivo, T-Systems analiza constantemente escenarios de ataque y desarrolla algoritmos de detección. Como un detective del software en el automóvil, el sistema de detección de intrusiones custodia la red de a bordo.
El sistema de detección de intrusiones como módulo de software en la puerta de enlace central del automóvil permite detectar en tiempo real la presencia de anomalías en la red de comunicación del vehículo. Si el sistema de detección de intrusiones registra un comportamiento erróneo conocido, activa un comportamiento de defensa en el vehículo (sistema de prevención de intrusiones) acordado previamente con el fabricante del automóvil. De este modo, se pretende evitar que un ciberataque contra la red interna del vehículo pueda mermar sus funciones y poner en peligro la seguridad de los ocupantes.
El sistema de detección de intrusiones envía todas las alarmas al back-end del fabricante, donde los datos se analizan con modernos métodos de aprendizaje automático y se devuelven al vehículo. El sistema de detección de intrusiones back-end puede acoplarse de manera variable a los sistemas del fabricante o estar disponible en un centro de operaciones de seguridad para automóviles. En este, se categorizan las anomalías para determinar la estrategia de actuación con el objetivo de, en el futuro, proteger de inmediato tanto al conductor como los vehículos contra los ataques de hackers.
Flujos de trabajo basados en análisis de datos de los resultados
Notificaciones
Ataques remotos
De a cuerdo con el principio de seguridad del diseño, las empresas deben idear y planificar un sistema de detección de intrusiones durante la fase de desarrollo del vehículo. En función de la estructura de la red interna del vehículo y de sus equipos de control, el sistema de detección de intrusiones puede implementarse de diversas formas. Así, por ejemplo, en cada equipo de control complejo se puede instalar un sensor que reconozca las anomalías del firmware, el tráfico bus CAN y los datos de los sensores. Estos sensores notifican las anomalías que reconocen al componente central del sistema de detección de intrusiones, que opera en un equipo de control central con función de puerta de enlace (firewall incluido). El componente central puede ejecutar análisis más complejos y comunicarse con el back-end del fabricante a través del sistema telemático de los equipos de control.
En los automóviles conectados modernos, el servidor del vehículo y la virtualización reducen el número de equipos de control necesarios y, por tanto, la complejidad. Igual como las funciones de los equipos de control actuales, el software del sistema de detección de intrusiones también puede ejecutarse como bloque funcional en la vista de virtualización del servidor del vehículo. Además, las capacidades del sistema de detección de intrusiones pueden ampliarse para supervisar los procesos y funciones en el servidor del vehículo y reconocer los comportamientos maliciosos.
Con ESLOCKS (bloqueo de seguridad integrado), T-Systems ofrece a las empresas del sector automovilístico un sistema de detección de intrusiones como servicio adaptado. Su funcionamiento: un software de a bordo basado en Autosar reconoce las anomalías y compensa de manera dinámica el comportamiento nominal de la comunicación en el vehículo. Si el tráfico actual en la red no se corresponde con el comportamiento definido o muestra una actividad sospechosa, el siguiente paso del sistema de detección de intrusiones es clasificar el tráfico de datos en anomalías conocidas o desconocidas.
La conexión con el back-end es un componente esencial del proceso. Todos los vehículos de una flota envían información sobre las anomalías desconocidas al back-end. Así, poco a poco, en el back-end se van acumulando grandes cantidades de datos que pueden ser analizados con un método de aprendizaje automático basado en un clúster de big data. El objetivo de la evaluación de datos en masa es identificar las anomalías desconocidas como tráfico normal (comportamiento nominal) o como ataque (nueva anomalía).
Si al back-end se conecta un centro de operaciones de seguridad para automóviles, los expertos en análisis forenses se encargan de evaluar los resultados de los análisis realizados por el sistema de detección de intrusiones. La información obtenida se procesa y se devuelve al vehículo en forma de actualización de firma. De esta forma, y gracias a la ampliación constante de la base de datos, el software de a bordo se optimiza continuamente y puede proteger el automóvil mediante la prevención de intrusiones contra nuevas amenazas.