北(bei)京(jing)2021年5月14日 /美通社/ -- 近日,全新發(fa)布了(le)《汽車(che)網絡安全洞察報告》,該報告聚焦于聯網汽車(che)的(de)崛起和對不斷增長的(de)汽車(che)網絡安全需(xu)求,助力您應對行業在轉型中(zhong)遇(yu)到的(de)挑����戰,滿(man)足(zu)新的(de)網絡合規(gui)要求。
本文將闡述這些主要變化如何(he)轉化為制造商面(mian)臨的新的網(wang��������)絡安全(quan)威脅(xie)和挑戰(zhan),以(yi)及ISO/SAE 21434和BSI E2E互聯汽車網(wang)絡安全(quan)模(mo)型如何(he)幫助您克(ke)服(fu)這些問(wen)題。
BSI全新發布汽車(che)網絡安全洞(dong)察(cha)報告
聯網汽(qi)車(che)的網絡(luo)安全形(xing)勢
聯網自動駕駛汽車和無人駕駛汽車的概念已經并不新鮮。早在 1920 年代(dai),人們就在自動駕駛系統 (ADS) 上進行實驗,并在 1950 年代開始現場試驗。1977 年,日本筑波機械工程實驗室開發了第一款自動駕駛汽車,需要在帶有專用標志的道路上行駛,由汽車上的兩臺攝像機通過模擬計算機識別標志。在高架軌道的輔助下,汽車的速度達到了驚人的 30 公里/時(19 英里/時)。
將近 50 年后,由于一系列顛覆性創新技術的相繼出現,形勢發生了巨大變化,汽車行業的發展超出了所有人的預期。伴隨著工業 4.0、信息物理系統和數字化加速,該行業將在 2021 年迎來巨大變化。
例如,基于 AI 的自動駕駛汽車成為汽車行業的領跑者,而人工智能已經通過自動駕駛汽車實現了智能行駛模式,不再需要駕駛員而是依靠傳感器和軟件進行導航和控制。此外,據《研究與市場》(Research and Markets, 2020) 報道(dao),聯(l�������ian)網(wang)功能已不再是汽車(che)的可(ke)選功能,而(er)是在設計上(shang)嵌入(ru)的����功能。
汽(qi)(qi)車行(xing)(xing)業正處于大規(gui)模(mo)轉型之中,這是自(zi)發明內燃機以來汽(qi)(qi)車行(xing)(xing)業所經歷的最大變革,汽(qi)(qi)車制造商不再(zai)������是硬件制造商,而是發展成為科技公司。
網絡安全模式
對于一切聯網事物而言,風險、漏洞和威脅無處不在。正如美國記者兼調查員Brian Krebs 所證明的那樣,“一切都會被黑客(ke)攻擊”,“企業和 IT 專業人員需要開始接受這個‘令(ling)人沮(ju)喪(sang)的現(xian�����)實����’”。聯網(wang)汽(qi)車行業也不例外。
這方面的(de)例(li)子不勝枚舉。一些著(zhu)名的(de)數據泄露(lu)事(shi)件(jian)包括:2017 年本田遭到臭名昭著(zhu)的(de)勒索病(bing)毒(du)WannaCry攻擊,全球計算機系統受到嚴重破壞;2018 年,特斯拉公(gong)司(si)(si)、豐田汽(qi)(qi)車(che)(che)公(gong��������)司(si)(si)、大眾(zhong)汽(qi)(qi)車(che)(che)和菲亞特克萊(lai)斯勒汽(qi)(qi)車(che)(che)公(gong)司(si)(si)、福特汽(qi)(qi)車(che)(che)公(gong)司(si)(si)以及通(tong)用汽(qi)(qi)車(che)(che)公(gong)司(si)(si)被卷入一場數據泄露(lu)事(shi)件(jian)中,涉及公(gong)司(si)(si)商(shang)業機密的(de)數千份工廠(chang)記錄文件(jian)遭到泄露(lu)。
最近,在(zai) 2020 年,特斯拉對一名(ming)前雇員(yuan)提起訴訟,指控該雇員(yuan)更(geng)改了公(gong)司(si)源代碼并將千(qian)兆(zhao)字節(jie)的專(zhuan)有數(shu)據導出(chu)給未知第三方(fang),致使公(gong)司(si)遭�������受內部攻擊,損失慘(can)重。
汽車和互聯市場領域呈現的其他主要趨勢同樣引人注目:
- “汽車市場”或“汽車商務”讓最終用戶能夠在旅途中預訂、訂購和購買所有商品,讓人們真正對汽車零售和汽車支付系統有了需求
- 按需功能是原始設備制造商 (OEM) 提供的基于訂閱的服務,諸如定制照明、夜視助手和導航地圖等
- 重點關注跟蹤統計、移動和設計系統(例如Cedric/E Palette)的智能交通系統,以共享出行為主題
- 中立服務器平臺,目前正在計劃制定相關立法,以保護汽車售后市場參與者的利益
聯網汽車的威脅因素
客戶所面臨的最大挑戰是如何防范無處不在的威脅,汽(qi)車(che)已成(cheng)為各類惡(e)意(yi)威脅因素的攻擊對(dui)��������象(xiang)。通過������� USB 連(lian)接感染惡(e)意(yi)軟件。我們(men)都知道,將不受(shou)保護的未知 USB 插入任何設備都會帶來危險,而車(che)載 USB 端口(kou)也是如此。
如果最(zui)終用(yong)戶將(jiang)應(ying)(ying)用(yong)下載(zai)到汽車儀(yi)表板(ban)和 CPU 中,也有可(ke)能(neng)會(hui)遭(zao)到攻擊。無論是基于云的(de)應(ying)(ying)用(yong),還是本地應(ying)(ying)用(yong),都需要在(zai)(zai)下載(zai)前進(jin)行驗(yan)證和檢查安全性(xing)。在(zai)(zai)下載(zai)任何(he)汽車應(ying)(ying)用(yong)之(zhi)前,都必(bi)須保持警惕。中間人(ren) (MATM) 攻擊也非常(chang)普遍,在(za����i)(zai)這種攻擊模(mo)式下,攻擊者會(hui)在(zai)(zai)直接通信的(de)兩方不知情的(de)情況下,對他們的(de)通信進(jin)行秘密中轉并可(ke)能(neng)更改通信內容,就(jiu)像竊聽別人(ren)的(de)對話(hua)一樣。
雖然可(ke)以采用多種(zhong)方式(shi)來解決該(gai)問題,例如(ru)身份驗(yan)證、密鑰協商協議、篡改檢(jian)測(會(hui)造(zao)成正常流程(cheng)耗費(fei)更長時(shi)間)以及數字(�������zi)取證。數字(zi)取證顯然是高(gao)級方式(shi),但是可(ke)以使用事(shi)件(jian)取證來檢(jian)查和(he)監控可(ke)疑(yi)攻擊(ji)行為,詳細說明數據是否遭到泄露、發生攻擊(ji)的位置,并提供(gong)威脅情(qing)報以補救情(qing)況。
汽(qi)車網(wang)絡(luo)安全(q������uan) – 應(ying)對(dui)行業轉型中的挑(tiao)戰
行業面臨的另一個挑戰是缺少技術網絡安全合規標準導致行業缺乏標準化,在 ISO/SAE 21434 出現之前,���市場上還沒有(you)聯網汽車網絡安全標準*。
ISO 標準在車輛整個生(sheng)命周期(qi)中建立了(le)“設(she)計安全性”。ISO/SAE 21434 提(ti)供(go������ng)了(le)開發風險(xian)評(ping)估(gu)系(xi)統的模型,并(b������ing)詳(xiang)細說(shuo)明了(le)流(liu)程和工(gong)作產品。
可通過如下(xia)方式聯(lian)系BSI,獲取�����完整(zheng)版《汽(qi)車(che)網絡(luo)安全(quan)洞(dong)察(cha)報(bao)告》,更全(quan)�������面地了(le)解行業(ye)動態和分析觀點。
