-
-
[分享]智能化车联网面临安全考验
-
发表于: 2022-3-10 10:48 5139
-
近日,工信部网站发布《车联网网络安全和数据安全标准体系建设指南》(下称《指南》),并提出到2023年底,初步构建起车联网网络安全和数据安全标准体系,到2025年,形成较为完善的车联网网络安全和数据安全标准体系。
在此次《指南》的车联网网络安全和数据安全标准体系中,包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。
据悉,此次《指南》是《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等多项法律法规在车联网领域的具体落地延伸,以期加快建立健全车联网网络安全和数据安全保障体系,为车联网产业安全健康发展提供支撑。
智能化车联网面临安全考验
近年来,随着车联网智能化和网联化进程的不断推进,智能网联汽车越来越获得市场认可,但一些安全问题也引发了用户和行业的广泛关注。尤其对于汽车行业来说,在拥挤的道路上高速行驶的本质放大了风险。
据不完全统计,2019年,黑客通过入侵共享汽车App、改写程序和数据的方式,盗走包含奔驰CLA、GLA小型SUV、Smartfortwo微型车在内的100多辆汽车。相比于以盗窃汽车为目的的黑客攻击,智能汽车在网络安全和行驶过程中遭到黑客攻击带来的危险性显然更为严重。
知名汽车网络安全公司UpstreamSecurity发布的2020年《汽车网络安全报告》显示,自2016年至2020年1月份,汽车网络安全事件增长了605%,仅2019年一年就增长1倍以上。按照目前的发展趋势,随着汽车联网率的不断提升,预计未来此类安全问题将更加突出。
车联网安全是智能汽车行业的重中之重
数字经济建设与万物互联加速发展,联网世界的扩展为人们生产生活带来了便捷同时也增加了广泛攻击面。在有关数字化应用的攻击中,黑客越来越多地瞄准大数据、人工智能、关键基础设施和自动驾驶系统。
作为智能化、网联化车企代表之一的特斯拉,就曾被找出大量安全漏洞。据网络安全公司工业互联网安全研究院院长介绍,早在2014年,特斯拉研发的第二款汽车产品ModelS发布两年后就被发现了一个漏洞。利用该漏洞缺陷,控制者能够通过远程控制实现开锁、鸣笛等操作。
去年,特斯拉再度因摄像头记录驾驶员面部特征及车内大部分空间而陷入“隐私门”,其中的监控录像就是一名黑客入侵特斯拉汽车后曝出来的信息。除了网络、程序技术带来的安全风险外,自动驾驶、人工智能等数字化技术的应用也让汽车的安全风险相应增加。
今年1月,一位来自德国的19岁年轻黑客在推特上表示,成功地控制了13个国家的超过25辆特斯拉。
随着《数据安全法》、《网络安全法》、《个人信息保护法》及智能网联汽车安全网络安全和数据安全等各方面的法规政策不断实施和推出,车联网安全已成为关系到其能否快速发展的重要因素。
关注车联网安全建设
零日漏洞利用
车辆中暴露的端口数量使其容易受到攻击。除了防范已知漏洞之外,安全团队还应该了解新的发展和攻击媒介,或许可以通过与供应商无关的零日计划等努力进行合作。
当前,汽车物联网由更大的互联生态系统的组成,这个庞大的生态系统运行着由众多不同软件供应商提供的数百万行代码。像任何软件一样,这数百万行代码包含许多等待被利用的漏洞。
发现并消除所有漏洞是不现实的。一方面最大限度减少黑客发现这些漏洞的能力,另一方面,加强代码安全管理,通过静态代码检测等方式提前发现并修复漏洞,防止黑客构建漏洞利用。
汽车制造商不应该依赖其代码供应商提供没有漏洞的代码。相反,自己了解并解决代码安全上的问题更有助于缓解安全带来的问题。
供应链攻击
汽车公司需要通过保护软件开发生命周期 (SDLC) 流程和更新传输来避免通过OTA更新引入漏洞。对于汽车制造商和整个汽车供应链来说,安全性应该是在整个产品生命周期中固有的。
信息共享
拼车和拼车应用的兴起,以及租车和公司拼车等传统方法的扩展,带来了用户身份和访问特权的问题,这是汽车行业需要解决的问题。
连通性
确保通信通道的安全需要对云环境的可见性、传输和数据的加密、持续监控,以及应用人工智能等技术来避免窥探和篡改。
数据隐私保护
保护车辆安全所需的程序必然会引起隐私问题,因此安全、加密的数据存储至关重要。
随着车辆的互联程度越来越高,自动驾驶功能越来越普遍,网络安全可能会成为车辆安全的最关键因素。与任何其他领域的网络安全一样,风险管理是关键。在选择汽车物联网安全解决方案时,必须确保该解决方案在设计上是安全的。在安全关键级别的网络安全的确定性和安全设计方法对于乘客和车辆安全都至关重要。在这里,我们不能依赖网络安全的事后补救方法。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)