0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

针对汽车网络安全的二十问

我快闭嘴 来源:汽车商业评论 作者:马晓蕾 2020-09-03 11:38 次阅读

一个新的国际标准诞生了。

关于汽车网络安全风险的话题已经持续了20年,随着大量现实世界真实存在的漏洞被挖出,车辆潜在攻击的数量和范围急剧增加。因此,全世界都在开展行动,对汽车网络安全进行监管和标准化。

它们有三个共同的主要趋势:更加关注汽车行业的特殊性;在整个生命周期内维护安全的挑战和要求;法规的强制性越来越强,例如在型号批准流程中增加网络安全这一项。这些趋势在即将出台的UNECE WP.29和ISO/SAE 21434的联合国法规中尤为明显。它们定义并授权明确的网络安全管理系统(CSMS)来保护车辆。

欧盟和日本等主要汽车市场计划从2022年起,在批准新的车辆类型时强制要求认证CSMS。进一步的计划是在2024年将这一联合国条例的适用范围扩大到现有车辆类型的首次注册。算上车型的平均开发时间,制造商和供应商如今需要开始关注新要求。

同时,联合国法规和ISO/SAE 21434仍处于草案状态。管理这种不确定性,确保成功的型式批准,同时避免超支,已成为企业成功的关键因素。到2027年汽车网络安全市场价值预计达76.7亿美元,众多企业都在排队等待入局。

预计到2030年汽车联网率将接近100%,目前许多互联汽车已经发展到15-20个威胁面,并不断增加新的功能和互联。同时,在没有适当的第三方监督或协助的情况下,所有制造商和供应商其实都是在赌。

“了解如何以及何时进行完整的、端到端的威胁分析,并将学习到的知识吸收到产品开发中并不容易。”Kugler Maag Cie的首席网络安全顾问托马斯·利特克(Thomas Liedtke)说。

“新的功能、变更请求和缺陷不仅会在首席信息安全官不注意的时候偷偷潜入,通常情况下,一些华而不实的新功能却更受营销青睐,而传统且基础的安全工作则备受冷落。新的UNECE网络安全认证将改善这种不平衡的状况,但要平衡增长和安全的优先级却没那么容易。”

潜在的风险需要说出来。

如果政府意识到某一不安全因素,那么这个风险要到什么程度才会被判定需要召回?

有些黑客入侵可能本质上与安全无关(如解锁车门、升降车窗),但会增加被盗和驾驶员分心的概率。在这里,我们把这两者称为安全影响和延展影响。历史表明,前者可能会在48小时内被判定召回,而后者则有五年的滞后期。

美国政府扮演的角色是什么?

根据BlackDuck和其他监督组织的说法,美国国家标准与技术研究所(NIST)等漏洞数据库中列出的75%的bug,在黑客攻击发生后一年多的时间里,曾在公网或“暗网”上曝光过。让美国民众不禁怀疑政府对黑客的态度。

黑客被抓到的概率有多少?

很少有政府能抓到独立的黑客。可能有人会想到大名鼎鼎的凯文·米特尼克(Kevin Mitnick)曾经受过五年的牢狱之灾。但世界上能有几个凯文。为什么大多数黑客的形象被描绘成裹着黑布、穿着帽衫的幽灵,是因为他们通常隐蔽的很好,很难被发现。

隐私法的制定是不是能够很好的提升汽车网络安全?

安全和隐私是两码事。有些地方如加州在保护隐私方面就做的很好,取得了很大的进步,但网络安全法规仍然落后于欧盟。有些地方如远东地区几乎没有隐私,网络安全黑客猖獗。

政府该怎么做来执行网络安全设计?

审计和规格化都非常艰难。技术每时每刻都在变,勒索软件有超过6000个在线犯罪市场,每秒钟有75条记录被盗。成千上万审计人员的下游成本对任何监管部门来说都很难实现。所以应该从上游入手:规范工作方式,比如新的UNECE法规的制定。

远程更新绝对安全吗?

首先,远程更新还没有做到完全普及,即使可以远程刷新,但蜂窝连接也不是在每个国家都能实现,那么长期脱网的车辆如何更新?不直接影响安全性的更新是很难实现的。

如果黑客想入侵,成功的概率有多高?

无论制造商如何努力,对于黑客攻击总是防不胜防。2017年,马里兰大学量化了对联网计算机的攻击率,现在描述对象变为互联汽车,为每39秒一次。以这种频率,汽车制造商不一定要比黑客快,他们只需要比竞争对手快。就像这句古话所说的,“你不必跑得比熊快,你只需要跑得过其他的猎人。”

那么在这方面,何时汽车制造商之间会停止竞争?

一位汽车业高管曾表示,一旦遭受车队网络攻击,可能会直接导致品牌破产,没有人愿意成为第一个中招的。所以,战斗必须持续下去。

汽车制造商最起码应该做什么?

多个国家都要求在功能安全方面采用“最先进”的工程设计。对于网络安全来说,“哪种安全可以在立法层面体现”,这个问题的答案总是在变,尤其是对于十年前制造的车辆来说。良好的工程实践应该是进行可预测的、最小成本的、无处不在且定期的审计,并成为新的常态。

作为个人,我很容易受到攻击吗?

对于互联车辆,最可能受到的攻击是“拒绝服务”(Dos)攻击,即车辆或相关服务无法运行,直到缴纳“赎金”。这些攻击经常指向较大的供应商,在汽车领域可能是车队运营商、远程信息处理供应商或汽车制造商。但现实中,无论哪种方式,最终客户本身还是要付出代价。

汽车制造商更有钱,为何在与黑客的斗争中无法占据上风?

网络犯罪比毒品交易利润更大,前者为6000亿美元,而后者为4000亿美元。汽车制造商有固定的发布日期,不会轻易与竞争对手或政府分享技术,而黑客没有时间限制,他们彼此之间还会分享最佳实践。

如果汽车品牌或网络安全公司倒闭了会怎样?

如果是汽车的一级供应商破产,汽车制造商会接管注塑或冲压工具,但接管网络安全软件和运营是一个更棘手的问题,因为汽车制造商一般缺乏熟悉情况的专业人员等。

为什么要生产一个难以保证安全数字化产品,还可能会连累整个公司

欧盟的汽车网络安全法规可能导致的连锁反应有,一些汽车制造商在2022年为北美市场生产的汽车,由于网络安全工程不足,无法在欧盟销售。而如果他们不承担这个风险,选择放弃互联汽车,他们就会把这一部分销量输给竞争对手。反之,汽车网络安全风险也会连累整个公司。所以在这一方面,汽车制造商根本没得选。

迄今为止,发生了多少起黑客事件?

这个几乎很难统计。目前所知的是几起奔驰、特斯拉和Jeep被盗事件,视频显示整个过程只用了30秒,这只是冰山一角,看不见的部分可能是巨大的。

有多大比例的产品进行过完整的威胁分析,并经过第三方的审核?

这个比例几乎低到惊人,一些品牌要求供应商在交付前进行网络安全评估,但这种零敲碎打的要求经常执行不力。

我的车辆在生命周期内能否等来网络安全?

每天都有新的黑客产生,每周都有老旧电脑被淘汰,很少有汽车品牌会吹嘘或宣传持续的防火墙解决方案,因为这一准会招致黑客的挑战。汽车可能在购买时不安全,也可能在几十年后完全安全,而公众却没有办法预测。

汽车如何快速修复?

如上所述,没有任何一个修复的过程是100%可靠的。此外,很少有制造商能够拥有可靠的、不断更新的、24小时不间断的监控系统,为整个车队提供每一个可构建的组合来管理运营、风险和更新。

车辆能保护自己吗?

目前,汽车网络安全方面没有类似于五星碰撞评级的明确评级体系,因为,这将再次给品牌施加了一个目标。而且很可能汽车网络安全永远不会提供升级服务,因为客户期望网络安全也能够免费自动更新。

如果我干脆避开自动驾驶汽车呢?

黑客也可以控制非自动驾驶汽车,因此,将自动驾驶级别与易感性挂钩是完全错误的。自动驾驶级别的增加的确意味着更多的攻击面(从而增加了DoS攻击的可扩展性),但我们需要面对的一个简单明了且残酷的事实是:威胁已经存在。

如果我不是最薄弱的环节呢?

如果邻居的车在车道上被偷了,那么周围所有人的车险额肯定会提升。如果邻居的车在高速路上被黑了,那么它的失控会让周围的车都很难幸免于难。无论你是不是最弱的一环,在黑客入侵时,都是在劫难逃。
责任编辑:tzh

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 计算机
    +关注

    关注

    19

    文章

    7489

    浏览量

    87877
  • 网络安全
    +关注

    关注

    10

    文章

    3156

    浏览量

    59712
  • 自动驾驶
    +关注

    关注

    784

    文章

    13787

    浏览量

    166408
收藏 人收藏

    评论

    相关推荐

    智能网联汽车网络安全开发解决方案

    经纬恒润网络安全团队密切关注行业发展趋势,致力于为国内外客户提供优质的网络安全咨询服务。在智能网联汽车电子电气架构(EEA)开发阶段,协助客户识别到系统的薄弱点并定义网络安全目标,开发
    的头像 发表于 12-19 17:30 599次阅读
    智能网联<b class='flag-5'>汽车网络安全</b>开发解决方案

    经纬恒润荣获ISO/SAE 21434汽车网络安全流程认证

    近日,经纬恒润顺利通过TÜV南德意志集团总部的审查,获得ISO/SAE21434汽车网络安全流程认证证书。这一荣誉标志着经纬恒润在汽车网络安全管理方面的技术实力和安全保障能力得到认可,已能够在全球
    的头像 发表于 12-03 01:00 160次阅读
    经纬恒润荣获ISO/SAE 21434<b class='flag-5'>汽车网络安全</b>流程认证

    爱芯元智通过ISO/SAE 21434:2021汽车网络安全流程认证

    近日,国际公认的测试、检验和认证机构SGS(以下简称"SGS")为爱芯元智半导体有限公司(以下简称:爱芯元智)颁发ISO/SAE 21434:2021汽车网络安全流程认证证书
    的头像 发表于 11-18 17:31 445次阅读

    四维图新荣获ISO/SAE 21434汽车网络安全管理体系认证

    近日,在第七届中国国际进口博览会(CIIE)期间,北京四维图新科技股份有限公司(以下简称:四维图新)荣获SGS通标标准技术服务有限公司(以下简称:SGS)颁发的ISO/SAE 21434汽车网络安全
    的头像 发表于 11-07 18:16 576次阅读

    能可瑞获颁TÜV南德ISO/SAE 21434 汽车网络安全流程认证证书

    南京2024年7月24日 /美通社/ -- 日前,南京能可瑞科技有限公司(以下简称"能可瑞")获颁TÜV南德意志集团(以下简称"TÜV南德")ISO/SAE 21434汽车网络安全流程认证证书。该
    的头像 发表于 07-25 09:39 382次阅读
    能可瑞获颁TÜV南德ISO/SAE 21434 <b class='flag-5'>汽车网络安全</b>流程认证证书

    了解 ADAS 和车舱监控系统对网络安全图像传感器的需求

    作者:Ludovic Rota,安森美产品营销经理 要让人们认识到汽车网络安全的重要性并不容易。随着汽车向半自动驾驶过渡,汽车主机厂 (OEM) 越来越关注汽车网络安全问题。对
    的头像 发表于 05-15 17:17 480次阅读
    了解 ADAS 和车舱监控系统对<b class='flag-5'>网络安全</b>图像传感器的需求

    广电计量入选“汽车网络与数据安全行业全景图”

    评选由行业权威机构谈思实验室(Taas Labs)携手业内专家共同发起,从汽车网络安全、数据安全2大维度展开,从企业实力、产品应用、技术研发、创新专利4大维度进行评选,力争能反映行业优秀企业全貌。经过层层严格筛选,广电计量成
    的头像 发表于 05-13 09:22 1466次阅读
    广电计量入选“<b class='flag-5'>汽车网络</b>与数据<b class='flag-5'>安全</b>行业全景图”

    经纬恒润亮相AutoSec中国汽车网络安全及数据安全合规峰会

    近日,由谈思实验室、谈思汽车、上海市车联网协会联合举办的AutoSec8周年年会暨中国汽车网络安全及数据安全合规峰会在上海举办。本次大会主要聚焦数据合规、汽车网络与数据
    的头像 发表于 05-10 08:00 379次阅读
    经纬恒润亮相AutoSec中国<b class='flag-5'>汽车网络安全</b>及数据<b class='flag-5'>安全</b>合规峰会

    黑芝麻智能获得ISO/SAE 21434:2021汽车网络安全流程认证证书

    4月3日,黑芝麻智能获得 ISO/SAE 21434:2021汽车网络安全流程认证证书,标志着黑芝麻智能已建立起符合ISO/SAE 21434要求的网络安全产品开发流程体系,构筑起网络安全风险管控能力。
    的头像 发表于 04-03 17:22 683次阅读
    黑芝麻智能获得ISO/SAE 21434:2021<b class='flag-5'>汽车网络安全</b>流程认证证书

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    近日,普华基础软件在网络安全领域取得了又一重大突破,成功获得了国际知名第三方检测、检验和认证机构德国莱茵TÜV颁发的汽车网络安全ISO/SAE 21434管理体系认证证书。这一荣誉的获得,标志着普华
    的头像 发表于 03-19 09:48 643次阅读

    英飞凌汽车安全控制器获ISO/SAE 21434认证,引领汽车网络安全新篇章

    近日,全球领先的半导体科技公司英飞凌宣布,其SLI37系列汽车安全控制器成功获得了ISO/SAE 21434汽车网络安全管理体系认证,成为业内首家获得此项殊荣的半导体公司。这一认证不仅彰显了英飞凌在
    的头像 发表于 03-12 10:08 825次阅读

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    2024年2月26日,普华基础软件正式获得由国际独立第三方检测、检验和认证机构德国莱茵TÜV颁发的汽车网络安全ISO/SAE 21434管理体系认证证书
    的头像 发表于 03-05 09:22 1157次阅读
    普华基础软件荣获ISO/SAE 21434<b class='flag-5'>汽车网络安全</b>管理体系认证证书

    Microchip通过ISO/SAE 21434汽车网络安全标准

    随着汽车行业日益依赖无线和车载网络连接,网络安全问题日益凸显。为确保道路车辆网络安全风险得到有效管理,国际标准化组织(ISO)与国际汽车工程
    的头像 发表于 02-19 17:29 973次阅读

    汽车网络安全-挑战和实践指南

    汽车网络安全-挑战和实践指南
    的头像 发表于 02-19 16:37 533次阅读
    <b class='flag-5'>汽车网络安全</b>-挑战和实践指南

    FCA汽车网络安全风险管理

    汽车工业继续在车辆上增加连接,以满足顾客对技术的贪得无厌的需求,但汽车不仅仅是某些计算机网络上的不安全端点--一些人所描绘的--汽车网络安全
    发表于 12-29 10:48 466次阅读
    FCA<b class='flag-5'>汽车网络安全</b>风险管理