软件安全是网络安全的基础部分。汽车软件一部分是主机,一部分是移动设备,这些软件系统越来越多地成为网络攻击者的目标。
长期以来,汽车安全一直是汽车公司最关心的问题,如今,它的重要性等同于网络安全。这是因为现在的汽车比以往任何时候都更依赖软件。
汽车软件是快速移动、高度连接的数据中心,部分是主机,部分是移动设备,装载着物联网(IoT)设备。这些软件实际上是运行在大规模云基础设施边缘的移动节点。而且将越来越多地成为网络攻击者的目标。
在过去十年中,汽车制造商稳步转向电动汽车,同时该行业也推出了新的移动出行计划,例如拼车、汽车共享以及改变传统所有权模式。计算机系统的无线 (OTA) 更新定期提供新功能,改善驾驶体验或解决问题,而无需召回车辆。物联网设备安装在车辆中收集、传输和接收信息。自动驾驶汽车、出租车车队(优步、Lyft、Waymo)和卡车运输业务都将在下一个转弯处出现。
所有这些都增加了汽车网络安全的紧迫性。2020年6月,《联合国条例》(UNR) 155为其WP.29国家集团的成员国制定了网络安全要求。结合ISO/SAE 21434等其他网络安全要求,以及网络攻击的真正威胁,网络安全将超越功能安全,或至少获得与功能安全同等地位成为汽车制造商的优先事项。
识别威胁
网络战对于目标来说已经非常昂贵,但也变得越来越危险。例如,如果医院、疗养院或其他护理设施的电源被切断,对能源部门的攻击可能危及生命。
5月份,Colonial Pipeline攻击并没有完全达到以上所说的那个级别,但也展示了一次成功的攻击(通过破坏单个密码实现)的影响力有多大。
对于汽车行业来说,在拥挤的道路上高速行驶的本质放大了风险。汽车黑客已经比许多人想象的更普遍而且很快会更普遍,有可能引发大规模的危及生命的事件。
这类黑客攻击的经济影响也将是巨大的,这也为汽车公司提供了另一个关注网络安全的理由。建立信任对任何企业都是至关重要的,在交通运输领域更是至关重要。
波音737 Max客机在2019年和2020年因软件故障发生两次坠机事故后,其737Max客机的持续存在的问题清楚地说明了这一点。
汽车行业的网络安全工作应该集中在五个关键领域。
1. 零日漏洞利用
车辆中暴露的端口数量使其容易受到攻击。除了防范已知漏洞之外,安全团队还应该了解新的发展和攻击媒介,或许可以通过与供应商无关的零日计划等努力进行合作。
当前,汽车物联网由更大的互联生态系统的组成,这个庞大的生态系统运行着由众多不同软件供应商提供的数百万行代码。像任何软件一样,这数百万行代码包含许多等待被利用的漏洞。
发现并消除所有漏洞是不现实的。因此,一方面最大限度减少黑客发现这些漏洞的能力,另一方面,加强代码安全管理,通过静态代码检测等方式提前发现并修复漏洞,防止黑客构建漏洞并发起攻击。
汽车制造商不应该依赖其代码供应商提供无漏洞的代码。相反,他们必须自己解决代码安全相关的问题。
2. 供应链攻击
汽车公司需要通过保护软件开发生命周期 (SDLC) 流程和更新传输来避免通过OTA更新引入漏洞。 我们坚信安全不能是事后的想法。对于汽车制造商和整个汽车供应链来说,安全性应该是整个产品生命周期中固有的。
3. 共享
拼车和拼车应用的兴起,以及租车和公司拼车等传统方法的扩展,带来了用户身份和访问特权的问题,这是汽车行业需要解决的问题。
4. 连通性
确保通信通道的安全需要对云环境的可见性、传输和数据的加密、持续监控,以及应用人工智能等技术来避免窥探和篡改。
5. 隐私
保护车辆安全所需的程序必然会引起隐私问题,因此安全、加密的数据存储至关重要。
将安全放在首位
随着车辆的互联程度越来越高,自动驾驶功能越来越普遍,网络安全可能会成为车辆安全的最关键因素,这一领域仍受到严格监管。
同时,与任何其他领域的网络安全一样,风险管理是关键。在选择汽车物联网安全解决方案时,必须确保该解决方案在设计上是安全的。在安全关键级别的网络安全的确定性和安全设计方法对于乘客和车辆安全都至关重要。在这里,我们不能依赖 IT 网络安全的事后补救方法。
实施一个可扩展的身份标识仓库来存储与车辆相关的所有身份信息,以及相关车辆和使用的历史记录。这对于安全性和合规性而言都是必要的。
同时,还需要在信息共享和隐私保护之间取得平衡。汽车公司将与汽车租赁公司、保险公司、供应链或科技公司等生态系统互动,查看汽车数据。
汽车行业对软件和连接的依赖只会在未来几年变得更加明显。在新车和系统的各个方面建立有效的软件安全机制是确保汽车网络安全和行业未来成功的关键。
参读链接:
https://www.darkreading.com/vulnerabilities-threats/cybersecurity-takes-the-wheel-as-auto-industry-s-top-priority
https://www.helpnetsecurity.com/2021/11/23/select-automotive-iot-security/
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
