3月24日,360春耕行動(dòng)推出智能網(wǎng)聯(lián)汽車專場(chǎng),以線上發(fā)布會(huì)形式邀請(qǐng)近20家媒體共同參與,正式發(fā)布《2019智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)。
《報(bào)告》從智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全發(fā)展趨勢(shì),新興攻擊手段,汽車安全攻擊事件,汽車安全風(fēng)險(xiǎn)總結(jié)和安全建設(shè)建議等方面對(duì)2019年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展做了梳理。
2019年,車聯(lián)網(wǎng)出現(xiàn)了兩種新型攻擊方式,大部分車廠將失守,數(shù)字車鑰匙漏洞也打開了汽車安全的潘多拉盒子,而汽車網(wǎng)絡(luò)安全的黃金分割點(diǎn)在于對(duì)供應(yīng)商的安全管理,《報(bào)告》建議車聯(lián)網(wǎng)安全要從正反兩面去考慮,做主動(dòng)防御?!?/p>
《報(bào)告》指出,通信模組是導(dǎo)致批量控車發(fā)生的根源,汽車廠商應(yīng)該遵循即將落地的汽車網(wǎng)絡(luò)安全系列標(biāo)準(zhǔn),執(zhí)行嚴(yán)格的供應(yīng)鏈管理機(jī)制,定期進(jìn)行滲透測(cè)試,持續(xù)監(jiān)控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
智能網(wǎng)聯(lián)汽車向多元發(fā)展邁進(jìn)
2019 年,我國(guó)汽車產(chǎn)銷分別為 2572.1 萬輛和 2576.9 萬輛,同比分別下降 7.5%和 8.2%,但產(chǎn)業(yè)下滑幅度有所收窄。汽車產(chǎn)業(yè)也進(jìn)入了轉(zhuǎn)變發(fā)展方式、優(yōu)化產(chǎn)業(yè)結(jié)構(gòu)、由高速增長(zhǎng)轉(zhuǎn)向高質(zhì)量發(fā)展的關(guān)鍵時(shí)期。以“電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化”為核心的汽車“新四化”趨勢(shì),已成為政府、整車企業(yè)、汽車供應(yīng)商、科技企業(yè)及消費(fèi)者等各界的共識(shí)。
隨著“新四化”的不斷推進(jìn),汽車原本幾千上萬數(shù)量的機(jī)械零部件,逐步被電機(jī)電控、動(dòng)力電池、整車控制器等在內(nèi)的“三電”系統(tǒng)取代。同時(shí)新的業(yè)務(wù)場(chǎng)景催生出例如汽車 T-box,數(shù)字車鑰匙等在內(nèi)的電子電氣部件,這又衍生出了一系列新的網(wǎng)絡(luò)安全隱患?!秷?bào)告》從新一代 E/E 架構(gòu)面臨新的安全挑戰(zhàn)以及自動(dòng)駕駛算法與傳感器面臨的安全挑戰(zhàn)兩方面進(jìn)行了整體分析?!?/p>
2020 年國(guó)內(nèi)外圍繞汽車網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)將全面鋪開,總體上呈現(xiàn)出以自動(dòng)駕駛、V2X 等應(yīng)用場(chǎng)景為目標(biāo)抓手,指導(dǎo)汽車產(chǎn)業(yè)鏈在概念、開發(fā)、生產(chǎn)、運(yùn)維等各階段開展網(wǎng)絡(luò)安全活動(dòng)。
2019 年開始,不少車企與互聯(lián)網(wǎng)公司牽手,以戰(zhàn)略合作和共建實(shí)驗(yàn)室等方式攜手合作共同解決網(wǎng)絡(luò)安全問題,則意味著“新四化”的變革已經(jīng)沖出了汽車領(lǐng)域,朝著橫向和多元的發(fā)展空間并進(jìn)。
車聯(lián)網(wǎng)出現(xiàn)的新型攻擊方式近乎“通殺”
2019年,車聯(lián)網(wǎng)出現(xiàn)兩種新型攻擊方式,基于車載通信模組信息泄露的遠(yuǎn)程控制劫持攻擊以及基于生成式對(duì)抗網(wǎng)絡(luò)的自動(dòng)駕駛算法攻擊,這兩種新型攻擊方式能夠影響大部分車企。
早在2018年,360就探索出了通過破解通信模組,利用私有APN滲透車企TSP平臺(tái),從而實(shí)現(xiàn)批量遠(yuǎn)程控制車輛的攻擊方式。2019月12月,360與奔馳梅賽德斯奔馳共同發(fā)現(xiàn)并修復(fù)了19個(gè)引發(fā)此類攻擊的漏洞,其中包含6個(gè)CVE漏洞,影響在路車輛200余萬輛。雙方在RSA大會(huì)上共同對(duì)此次漏洞研究成果發(fā)表了演講,通信模組作為車輛與外界網(wǎng)絡(luò)連接的第一道防線,如果遭到黑客的破解,將會(huì)實(shí)現(xiàn)遠(yuǎn)程開閉車門車窗,啟動(dòng)關(guān)閉引擎等控車操作,威脅到用戶的生命財(cái)產(chǎn)安全。經(jīng)過大量研究發(fā)現(xiàn),此類漏洞廣泛存在于車企的車聯(lián)網(wǎng)系統(tǒng)中,亟需引起廣大車企的關(guān)注。
基于生成式對(duì)抗網(wǎng)絡(luò)的自動(dòng)駕駛算法攻擊主要源于在深度學(xué)習(xí)模型訓(xùn)練過程中,缺失了對(duì)抗樣本這類特殊的訓(xùn)練數(shù)據(jù)。雖然深度機(jī)器學(xué)習(xí)代表了技術(shù)的未來方向,但在目前的實(shí)際運(yùn)用中,通過研究人員的實(shí)驗(yàn)證明,可以通過特定算法生成相應(yīng)的對(duì)抗樣本,直接攻擊圖像識(shí)別系統(tǒng),神經(jīng)網(wǎng)絡(luò)算法仍存在一定的安全隱患,值得關(guān)注。
2019年智能網(wǎng)聯(lián)汽車十大安全事件
2019年,智能網(wǎng)聯(lián)汽車全球范圍內(nèi)出現(xiàn)了十大安全事件,包括基于通信模組的遠(yuǎn)程控制劫持攻擊,基于生成式對(duì)抗網(wǎng)絡(luò)(GAN)自動(dòng)駕駛算法攻擊,特斯拉PKES系統(tǒng)存在中繼攻擊威脅,特斯拉Model S/X WiFi協(xié)議存在緩存區(qū)溢出漏洞,共享汽車APP存在漏洞,基于激光雷達(dá)的自動(dòng)駕駛系統(tǒng)安全性存疑,Uber爆出存在賬號(hào)劫持漏洞,后裝汽車防盜系統(tǒng)存在漏洞,豐田汽車服務(wù)器遭到入侵,寶馬遭受APT攻擊。
《報(bào)告》通過對(duì)典型安全事件的分析,總結(jié)出當(dāng)前汽車安全的四大風(fēng)險(xiǎn):汽車攻擊事件快速增長(zhǎng),攻擊手段層出不窮;智能網(wǎng)聯(lián)汽車缺乏異常檢測(cè)和主動(dòng)防御機(jī)制;數(shù)字鑰匙成為廣泛引起關(guān)注的新攻擊面;自動(dòng)駕駛算法和V2X系統(tǒng)將成為新的熱點(diǎn)攻擊目標(biāo)。
數(shù)字車鑰匙漏洞打開汽車安全的潘多拉盒子。數(shù)字車鑰匙可用于遠(yuǎn)程召喚,自動(dòng)泊車等新興應(yīng)用場(chǎng)景,這種多元化的應(yīng)用場(chǎng)景也導(dǎo)致數(shù)字鑰匙易受攻擊。數(shù)字車鑰匙的“短板效應(yīng)”顯著,身份認(rèn)證、加密算法、密鑰存儲(chǔ)、數(shù)據(jù)包傳輸?shù)热我画h(huán)節(jié)遭受黑客入侵,則會(huì)導(dǎo)致整個(gè)數(shù)字車鑰匙安全系統(tǒng)瓦解。目前常見的攻擊方式是通過中繼攻擊方式,將數(shù)字車鑰匙的信號(hào)放大,從而盜竊車輛。
2019 年,歐洲和美國(guó)相繼爆出通過中繼攻擊的方式對(duì)高端品牌車輛實(shí)施盜竊的事件,尤其是在英國(guó)地區(qū),僅 2019 年前 10 個(gè)月就有超過 14000 多起針 PKES 系統(tǒng)的盜竊事件,相當(dāng)于每 38 分鐘就有一起此類盜竊案件發(fā)生。而小偷的作案時(shí)間通常不到 30 秒,作案工具中繼設(shè)備和攻擊教程甚至在網(wǎng)絡(luò)上也可以購(gòu)買,這將對(duì)人身和財(cái)產(chǎn)安全造成極大的傷害。
智能網(wǎng)聯(lián)汽車安全建設(shè)五大建議
《報(bào)告》針對(duì)智能網(wǎng)聯(lián)汽車面臨的安全風(fēng)險(xiǎn)和隱患提出了五大安全建議。
第一、建立供應(yīng)商關(guān)鍵環(huán)節(jié)的安全責(zé)任體系,可以說汽車網(wǎng)絡(luò)安全的黃金分割點(diǎn)在于對(duì)供應(yīng)商的安全管理?!靶滤幕睂⒓铀僖患?jí)供應(yīng)商開發(fā)新產(chǎn)品,屆時(shí)也會(huì)有新一級(jí)供應(yīng)商加入主機(jī)廠采購(gòu)體系,原有的供應(yīng)鏈格局將被重塑。供應(yīng)鏈管理將成為汽車網(wǎng)絡(luò)安全的新痛點(diǎn),主機(jī)廠應(yīng)從質(zhì)量體系,技術(shù)能力和管理水平等多方面綜合評(píng)估供應(yīng)商。
第二、推行安全標(biāo)準(zhǔn),夯實(shí)安全基礎(chǔ)。2020 年,將是汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全面鋪開的一年。根據(jù)ISO21434等網(wǎng)絡(luò)安全標(biāo)準(zhǔn),在概念、開發(fā)、生產(chǎn)、運(yùn)營(yíng)、維護(hù)、銷毀等階段全面布局網(wǎng)絡(luò)安全工作,將風(fēng)險(xiǎn)評(píng)估融入汽車生產(chǎn)制造的全生命周期,建立完善的供應(yīng)鏈管理機(jī)制,參照電子電器零部件的網(wǎng)絡(luò)安全標(biāo)準(zhǔn),定期進(jìn)行滲透測(cè)試,持續(xù)對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行監(jiān)控,并結(jié)合威脅情報(bào)進(jìn)行安全分析,開展態(tài)勢(shì)感知,從而有效地管理安全風(fēng)險(xiǎn)。
第三、構(gòu)建多維安全防護(hù)體系,增強(qiáng)安全監(jiān)控措施。被動(dòng)防御方案無法應(yīng)對(duì)新興網(wǎng)絡(luò)安全攻擊手段,因此需要在車端部署安全通信模組、安全汽車網(wǎng)關(guān)等新型安全防護(hù)產(chǎn)品,主動(dòng)發(fā)現(xiàn)攻擊行為,并及時(shí)進(jìn)行預(yù)警和阻斷,通過多節(jié)點(diǎn)聯(lián)動(dòng),構(gòu)建以點(diǎn)帶面的層次化縱深防御體系。
第四、利用威脅情報(bào)及安全大數(shù)據(jù)提升安全運(yùn)營(yíng)能力。網(wǎng)絡(luò)安全環(huán)境瞬息萬變,高質(zhì)量的威脅情報(bào)和持續(xù)積累的安全大數(shù)據(jù)可以幫助車企以較小的代價(jià)最大程度地提升安全運(yùn)營(yíng)能力,從而應(yīng)對(duì)變化莫測(cè)的網(wǎng)絡(luò)安全挑戰(zhàn)。
第五、良好的汽車安全生態(tài)建設(shè)依賴精誠(chéng)合作。術(shù)業(yè)有專攻,互聯(lián)網(wǎng)企業(yè)和安全公司依托在傳統(tǒng)IT領(lǐng)域的技術(shù)沉淀和積累,緊跟汽車網(wǎng)絡(luò)安全快速發(fā)展的腳步,對(duì)相關(guān)汽車電子電氣產(chǎn)品和解決方案有獨(dú)到的鉆研和見解。只有產(chǎn)業(yè)鏈條上下游企業(yè)形成合力,才能共同將汽車網(wǎng)絡(luò)安全提升到“主動(dòng)縱深防御”新高度,為“新四化”的成熟落地保駕護(hù)航。
360汽車安全大腦攔截攻擊35000次 全力守護(hù)智能網(wǎng)聯(lián)汽車
360公司致力于保護(hù)用戶網(wǎng)絡(luò)安全和出行安全,360安全大腦和智能網(wǎng)聯(lián)汽車安全大腦雙雙入圍工信部“新一代人工智能產(chǎn)業(yè)創(chuàng)新重點(diǎn)任務(wù)入圍揭榜單位”。截至目前,360汽車安全大腦共攔截攻擊35000次,為車廠提供安全評(píng)估,累積發(fā)現(xiàn)車聯(lián)網(wǎng)超500個(gè)安全問題,影響450萬輛智能汽車。
當(dāng)前,360已與國(guó)內(nèi)80%的主流汽車廠商合作,有超50萬輛路面上行駛的汽車接入360汽車安全大腦,獲得實(shí)時(shí)防護(hù)。此外,360還牽頭中國(guó)第一個(gè)汽車信息安全國(guó)際標(biāo)準(zhǔn)——ITU-T X.mdcv(基于大數(shù)據(jù)分析的聯(lián)網(wǎng)汽車異常行為安全檢測(cè)機(jī)制),參與ISO、汽標(biāo)委、信安標(biāo)委、通信標(biāo)委等10余項(xiàng)的汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定工作,累計(jì)申請(qǐng)汽車網(wǎng)絡(luò)安全相關(guān)專利30余項(xiàng),全力守護(hù)智能網(wǎng)聯(lián)汽車安全。
掃一掃在手機(jī)上閱讀本文章