关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 360手机官网 | 社区客户端

推荐论坛版块疫情追踪活动众测360商城福利换券
来源:经济日报

3月24日,360春耕行动在线召开智能网联汽车专场发布会,并发布了《2019智能网联汽车信息安全年度报告》(以下简称《报告》)。《报告》认为,2019年,车联网出现了两种新型攻击方式,大部分车厂将失守,数字车钥匙漏洞也打开了汽车安全的潘多拉盒子,而汽车网络安全的黄金分割点在于对供应商的安全管理。《报告》建议,车联网安全要从正反两面去考虑,做主动防御。

《报告》还指出,通信模组是导致批量控车发生的根源,汽车厂商应该遵循即将落地的汽车网络安全系列标准,执行严格的供应链管理机制,定期进行渗透测试,持续监控网络安全风险。

2019 年,我国汽车产销分别为 2572.1 万辆和 2576.9 万辆,同比分别下降 7.5%和 8.2%,但产业下滑幅度有所收窄。汽车产业进入了转变发展方式、优化产业结构、由高速增长转向高质量发展的关键时期。以“电动化、智能化、网联化、共享化”为核心的汽车“新四化”趋势,已成为政府、整车企业、汽车供应商、科技企业及消费者等各界的共识。

然而,随着“新四化”的不断推进,汽车原本几千上万数量的机械零部件,逐步被电机电控、动力电池、整车控制器等在内的“三电”系统取代。同时新的业务场景催生出如汽车 T-box、数字车钥匙等在内的电子电气部件,这又衍生出了一系列新的网络安全隐患。

2019年,车联网出现了两种新型攻击方式,一种是基于车载通信模组信息泄露的远程控制劫持攻击,另一种是基于生成式对抗网络的自动驾驶算法攻击,这两种新型攻击方式能够影响大部分的车企。

2019 年开始,不少车企与互联网公司牵手,以战略合作和共建实验室等方式携手合作共同解决网络安全问题,则意味着“新四化”的变革已经冲出了汽车领域,朝着横向和多元的发展空间并进。

早在2018年,360就探索出了通过破解通信模组,利用私有APN渗透车企TSP平台,从而实现批量远程控制车辆的攻击方式。2019年12月,360与奔驰梅赛德斯奔驰共同发现并修复了19个引发此类攻击的漏洞,其中包含6个CVE漏洞,影响在路车辆200余万辆。双方在RSA大会上共同对此次漏洞研究成果发表了演讲,通信模组作为车辆与外界网络连接的第一道防线,如果遭到黑客的破解,将会实现远程开闭车门车窗,启动关闭引擎等控车操作,威胁到用户的生命财产安全。经过大量研究发现,此类漏洞广泛存在于车企的车联网系统中,亟需引起广大车企的关注。

2019年,智能网联汽车全球范围内出现了十大安全事件,比如,共享汽车APP存在漏洞, Uber爆出存在账号劫持漏洞,丰田汽车服务器遭到入侵,宝马遭受高级可持续威胁攻击等。

《报告》通过对典型安全事件的分析,总结出当前汽车安全的四大风险:汽车攻击事件快速增长,攻击手段层出不穷;智能网联汽车缺乏异常检测和主动防御机制;数字钥匙成为广泛引起关注的新攻击面;自动驾驶算法和V2X系统将成为新的热点攻击目标。

为什么说数字车钥匙漏洞打开了汽车安全的潘多拉盒子?

因为,数字车钥匙可用于远程召唤,自动泊车等新兴应用场景,这种多元化的应用场景也导致数字钥匙易受攻击。数字车钥匙的“短板效应”显著,身份认证、加密算法、密钥存储、数据包传输等任一环节遭受黑客入侵,则会导致整个数字车钥匙安全系统瓦解。目前常见的攻击方式是通过中继攻击方式,将数字车钥匙的信号放大,从而盗窃车辆。

2019 年,欧洲和美国相继爆出通过中继攻击的方式对高端品牌车辆实施盗窃的事件,尤其是在英国地区,仅 2019 年前 10 个月就有超过 14000 多起针 PKES 系统的盗窃事件,相当于每 38 分钟就有一起此类盗窃案件发生。而小偷的作案时间通常不到 30 秒,作案工具中继设备和攻击教程甚至在网络上也可以购买,这将对人身和财产安全造成极大的伤害。

针对智能网联汽车面临的安全风险和隐患,《报告》提出了五大安全建议:

第一 、建立供应商关键环节的安全责任体系,汽车网络安全的黄金分割点在于对供应商的安全管理。“新四化”将加速一级供应商开发新产品,届时也会有新一级供应商加入主机厂采购体系,原有的供应链格局将被重塑。供应链管理将成为汽车网络安全的新痛点,主机厂应从质量体系,技术能力和管理水平等多方面综合评估供应商。

第二、推行安全标准,夯实安全基础。2020 年将是汽车网络安全标准全面铺开的一年。根据ISO21434等网络安全标准,在概念、开发、生产、运营、维护、销毁等阶段全面布局网络安全工作,将风险评估融入汽车生产制造的全生命周期,建立完善的供应链管理机制,参照电子电器零部件的网络安全标准,定期进行渗透测试,持续对网络安全数据进行监控,并结合威胁情报进行安全分析,开展态势感知,从而有效地管理安全风险。

第三、构建多维安全防护体系,增强安全监控措施。被动防御方案无法应对新兴网络安全攻击手段,因此需要在车端部署安全通信模组、安全汽车网关等新型安全防护产品,主动发现攻击行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。

第四、利用威胁情报及安全大数据提升安全运营能力。网络安全环境瞬息万变,高质量的威胁情报和持续积累的安全大数据可以帮助车企以较小的代价最大程度地提升安全运营能力,从而应对变化莫测的网络安全挑战。

第五、良好的汽车安全生态建设依赖精诚合作。术业有专攻,互联网企业和安全公司依托在传统IT领域的技术沉淀和积累,紧跟汽车网络安全快速发展的脚步,对相关汽车电子电气产品和解决方案有独到的钻研和见解。只有产业链条上下游企业形成合力,才能共同将汽车网络安全提升到“主动纵深防御”新高度,为“新四化”的成熟落地保驾护航。

360扫地机器人X90 华为HiLink版首发1999元

共 0 个关于360智能网联汽车报告:数字车钥匙漏洞打开汽车安全潘多拉魔盒的回复 最后回复于 2020-3-24 13:40

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:167 关注:12 积分:157390

精华:305 金币:178045 经验:125375

最后登录时间:2020-4-4

360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360会员商城青铜会员

私信 加好友

最新活动

众测活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表