360发布2018智能网联汽车安全报告 智能汽车经历“刷漏洞”年
“不要让智能汽车去‘裸奔’。”今年两会,360集团董事长兼CEO周鸿祎谈起智能汽车提到的最重要的问题是安全。让出行更加便利的智能网联汽车安全状况到底如何?实际上,2018年几乎可以称为智能网联汽车的“刷漏洞”年。3月20日,360发布 《2018年智能网联汽车信息安全年度报告》 ,从行业发展、安全标准规范、安全事件以及2019年发展建设建议等方面,对智能网联汽车信息安全做了全面梳理。“刷漏洞年”——2018全年爆发14次智能汽车信息安全事件
今年两会,周鸿祎等互联网大佬的两会提案都聚焦智能汽车,技术的发展推动互联网和汽车行业的逐渐融合,智能网联汽车正在成为主流。360在去年的报告中预测,汽车信息安全将进入“刷漏洞”时代。不幸的是这个说法被言中了,过去的一年里很多汽车厂商惨遭漏洞威胁,越来越多汽车相关的漏洞取得了CVE编号,攻击面从汽车终端转向了云端,对汽车厂商及供应商造成了极大的影响,暴露出来的问题层出不穷。
《报告》盘点了2018年发生的14起智能网联汽车信息安全事件,其中包括5起数据泄露事件和9起汽车破解事件。以数据泄露为例,2018年7月,包含大众、特斯拉、丰田、福特、通用、菲亚特克莱斯勒等百余家汽车厂商机密文件被曝光。其涉及内容从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件,甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47,000个文件。
这起事件背后主角是这些车厂共同的服务器供应商,其在使用远程数据同步工具rsync处理数据时,备份服务器没有限制使用者的IP地址,让非指定客户端也能连接,并且未设置身份验证等用户访问权限,比如客户端在接收信息前进行身份验证等,任何人都能直接通过rsync访问备份服务器,这是这起事件的主要原因。
智能网联汽车将继续面临数据泄露和未授权控车风险
2018年智能网联汽车信息安全领域所发现的漏洞以及安全事件,可以看到,智能网联汽车将物理世界与虚拟世界结合到一起,给用户带来更优质的体验。但在打通物理世界与虚拟世界的同时,也面临着虚拟世界中信息安全的风险,甚至因虚拟世界的安全问题直接影响到物理世界的安全。
报告预测,在2019年智能网联汽车将持续面临 敏感数据泄露 和 未授权控车 的风险。此两点为智能网联汽车安全的重中之重,也是攻击者关注的地方。
在这样的行业大氛围下,整车厂商纷纷着手构建信息安全能力;各级零部件供应商在整车厂商的安全需求下,开始积极配合,设计并制造带有信息安全功能的零部件;传统的IT巨头也卷入了这场信息安全浪潮,从各个角度推出信息安全解决方案。
报告建议,相关企业首先要防止数据泄露,保护用户隐私。
2018年中发生多起数据泄露事件,其规模和影响都是巨大的。在大数据和云服务的时代,加强对数据安全的考量与投入,至少从五个方面考虑数据安全:访问控制、身份认证、数据加密与脱敏、容灾备份与恢复、安全审计。
其次,智能汽车进步,控车仍在继续,安全开发要落实。
目前汽车领域的安全手段是有所提高的,但仍存在大量车联网、智能化的产品没有考虑到信息安全的问题。国际或者国内的安全标准仍处于建设时期,智能网联汽车仍处于没有安全标准及规范的环境下,建立企业自身的信息安全标准,准守信息安全开发流程,才能在车辆上市时保障其信息安全水平,降低被攻击的风险。
最后,建立动态安全实施监测机制,及时发现、及时处理。
汽车作为一款特殊的商品,其使用时间非常长,使得智能网联汽车的信息安全工作成为一项长期持续的工作。将车联网安全分析、汽车安全防御、安全资源与安全运营融合,结合大数据、人工智能、威胁情报等技术与资源,构建动态防御体系,对车联网系统的关键部件进行安全监测与防护,可以对安全事件更高效、更精准、更及时地定位与预警。
智能网联汽车的安全带——360安全大脑
周鸿祎在两会提案中提到智能网联汽车面临的三重威胁,第一是智能汽车存在网络安全风险,诸多联网系统被黑客攻击后或危及人身安全、社会安全和国家安全。第二,智能汽车目前没有网络安全标准,这可能令上市的智能汽车“裸奔”;第三,智能汽车厂商自身的网络安全问题威胁智能汽车安全。
基于多年在信息安全领域的积淀,360已涉足车联网安全领域,推出汽车安全大脑,并入选工信部2018年工业互联网试点示范项目。 汽车安全大脑是360安全大脑在智能汽车领域的应用。 汽车安全大脑体现了“软硬兼施+动态防御”的安全理念。
360汽车安全大脑针对汽车这个“终端”上容易遭受攻击的点——车载联网终端、车载中央网关、车载娱乐系统、车联网APP等,打造了智能汽车的“装甲”,包括终端防护软件汽车卫士,硬件层面的“车载联网防火墙”等。360还与紫光共同研发了汽车专用安全芯片,既从硬件层面保障安全,也能支持云端安全策略实时更新。
目前,360是全球唯一能提供整套智能汽车安全产品方案的企业,覆盖汽车制造的设计、开发、测试、运营各个阶段,与比亚迪、长安、东风、一汽、长城、奔驰、吉利等国内外品牌汽车厂商建立了合作。目前,已有15万多辆智能汽车连接到汽车安全大脑,预计2020年增长至100万辆。
道路千万条,安全第一条。在高速发展汽车智能化进程中,应该尽快重视起安全问题。“今天大家的电脑谁也不敢裸奔,手机里也装了安全杀毒软件,智能汽车也应加装网络安全防护系统。我们要把网络安全系统像‘安全带’一样列为智能汽车标配,做到智能汽车的安全、可靠、可控。”周鸿祎表示。
来源 安全牛 看报告!
页:
[1]