0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

网络安全或成未来智能网联汽车的“命门”

高工智能汽车 来源:cc 2019-02-25 09:27 次阅读

比如,到2020年,中国智能汽车新车占比达到50%,每年将新增1000多万辆联网汽车上路,但是这些智能网联汽车在上路时有没有做好网络安全?目前汽车网络安全国际标准ISO/SAE 21434要到2020年10月左右才会公开发布,这意味着未来上路的1000多万辆汽车是“裸奔”的,有可能会引发很多安全问题。

自2015年以来,有超过50次汽车黑客攻击事件,对于黑客而言,汽车上将会有越来越多的数据,对其中有价值的数据进行攻击获取,将成为新常态。汽车之所以会成为被攻击的对象,是因为汽车系统越来越复杂,导致其弱点也越来越突出。目前的高级别车型,甚至有超过150个ECU被使用,软件代码量也超过2亿行。

2015年FCA在北美有一个黑客研究的项目,白帽黑客查理·米勒成功“越狱”,证明Jeep是可以被远程操控,FCA为此在北美召回了140万辆的自由光。代价是数月的时间和上亿美元。

2014年,来自中国360安全团队在全球首次成功破解特斯拉,当时团队发现一种利用无线中继攻击可进入特斯拉无钥匙系统。2018年2月底,科恩实验室向宝马集团报告了宝马3系、5系、7系、X系和I系列车型的安全问题。

特斯拉的Model S, Model X 和Model 3屡遭破解,公司首席执行官埃隆·马斯克对此表示特斯拉正在做出努力,以确保汽车不受互联网“入侵”问题的影响,防止汽车被破解将成为公司的首要安全任务之一。

去年,大众和奥迪汽车被曝出存在多处安全漏洞,这些漏洞可能允许攻击者发起远程攻击行为。其中,部署部分车型的车载信息娱乐(IVI)系统中的漏洞可能会允许攻击者远程访问麦克风、扬声器以及导航系统。

越来越多的无线接口将出现在智能汽车上,预计到2020年将会有2.5亿辆联网的车辆行驶在道路上。从这一点上来看,逐渐丰富的车联网也渐变成了孕育黑客的沃土。未来远程攻击的典型模型,将会是从网络端开始,进入车载通讯模块,然后黑掉TCU、OBD,进入到ADAS、IVI、Tbox的功能,最后影响刹车、车身相关控制等。

现实是,几乎所有的OEM,在保证汽车安全的措施方面,唯一能做的就是不开放CAN协议,至于网络信息安全,并不在其能力范围内,要做相关的防范,往往需要单独配置安全研究人员。

去年8月,马斯克在推特发布消息,特斯拉计划向其他汽车厂商开放汽车安全软件的源代码,旨在通过众人之力,提升汽车的安全性。而与此同时,通用汽车也发布了一项高额的漏洞悬赏计划,要让程序员们为其挖掘潜在的网络安全问题和产品的潜在弱点。

这些都是真实存在的问题。

近日,SAE International和Synopsys, Inc.联合发布了一份名为《保护现代汽车:汽车行业网络安全实践研究》的调查报告,该报告强调了影响汽车行业面向未来智能网联的关键网络安全挑战和不足。

研究发现,84%的汽车专业人士担心,他们所在机构和公司的网络安全研发跟不上不断发展的技术。调查还发现,30%的公司没有建立网络安全项目或团队,63%的公司测试不到一半的汽车安全漏洞技术。

在过去十年,SAE成员寻求应对汽车系统开发生命周期的网络安全挑战,制定和推出了世界上第一个汽车网络安全标准指南SAE J3061™,旨在通过统一全球标准,来推动汽车电气系统与其他互联系统之间安全流程的建立。

此次最新的调查则是基于未来应对联网、支持软件更新的汽车安全风险的能力,调查对象来自全球汽车制造商、供应商和服务提供商的593名专业人士。涉及领域包括信息娱乐系统、远程信息处理、转向系统、摄像头、基于socket的组件、自动驾驶以及Wi-Fi蓝牙射频技术。

如何在整个系统开发生命周期和整个汽车供应链上整体解决网络安全问题,已经成为全球汽车行业软件、连接性和其他新兴技术的普及,带来了一个前所未有的关键风险:网络安全。

在这份报告中,有四项结果值得行业关注和重视。

1、缺乏网络安全技能和资源。超过一半的受访者说,他们的公司没有为网络安全分配足够的预算和人力资本,62%的人说他们不具备产品开发中必要的网络安全技能。

2、目前, 大多数企业并没有把主动的网络安全测试作为重点。不到一半的公司有测试其产品的安全漏洞。与此同时,71%的人认为,在产品开发期限内完成任务的压力是导致安全漏洞的主要因素。

3、开发者需要网络安全培训。只有33%的受访者表示,他们的公司有对开发人员进行了相关安全编码方法的培训。此外,60%的人说缺乏对安全编码实践的理解或培训是导致漏洞的主要因素。

4、整个供应链的网络安全风险。73%的受访者对第三方提供的汽车网络安全技术表示担忧。与此同时,只有44%的人表示,他们的公司对上游供应商提供的产品提出了网络安全要求。

众所周知,如今的智能汽车是一台联网的移动电脑,它带来了一个汽车行业几乎没有太多经验应对的问题:网络安全风险。而调查报告显示,全球主要汽车制造商在产品网络安全项目上平均只有不到9个人在负责,30%的受访者表示,他们的公司没有现成的产品安全计划或团队。

一直以来,汽车制造商严重依赖于数百家独立供应商提供的硬件和软件组件,以交付最新的汽车技术和设计。

在未来,上下游之间的协作关系还会更加紧密,而73%的受访者表示,他们非常担心第三方提供的汽车技术的网络安全状况。

现在,汽车制造商及其供应商必须要考虑联网汽车对消费者隐私和安全意味着什么。随着越来越多的联网车辆上路,恶意黑客利用蜂窝网络、Wi-Fi和物理连接来利用这些软件漏洞的可能性越来越大。不解决这些风险可能是一个代价高昂的错误,包括它们可能对消费者信心、个人隐私和品牌声誉造成的影响。

不过,众多受访者对网络安全问题有着深刻的认识,并有强烈的改善愿望。令人担忧的是,69%的受访者认为自己没有权力在公司高层那里提出他们的担忧。

正如ISO9000和ISO26262等标准为汽车行业带来了更高的质量,严格的网络安全措施对于新汽车技术的导入至关重要,同时保持质量、安全和快速上市时间。

62%的受访者表示,未来12个月内,针对汽车网络安全的恶意或验证攻击很有可能或非常有可能发生,超过一半(52%)的受访者意识到,由于第三方或汽车制造商开发的不安全的汽车技术,可能导致致命的事故发生。主要原因在于汽车制造商和零部件制造商并没有在产品开发过程中,比如从设计阶段开始就进行安全性测试。

智能网联汽车现在本质上是一个移动计算机,包括控制系统(ADAS)、丰富的个人数据、信息娱乐和多种协议的无线通信。这种连接可以扩展到驾驶员的个人电子设备、其他车辆和基础设施,并通过互联网扩展到OEM和售后应用程序,使它们成为网络攻击的目标。未经授权的远程访问车辆网络,以及攻击者转向安全关键系统的可能性,不仅会危及驾驶员的个人信息,还会危及他们的人身安全。

汽车工程师、产品开发人员和IT专业人员强调了几个主要的安全问题领域,以及他们用来降低风险的安全控制。

被认为造成最大风险的技术是射频技术、远程信息技术和自动驾驶汽车,被视为构成最大潜在的网络安全风险,而在产品期限内完成任务的压力、缺乏对安全编码实践的理解/培训以及意外编码错误是导致技术漏洞的最常见因素。

OTA是近年来被引入解决软件安全漏洞的工具之一,但只有39%的受访者表示,他们的软件更新模块及时解决了关键的安全漏洞。此外,只有37%的人说他们会使用OAT更新来提供安全补丁,但超过50%的人说他们会在未来5年内计划这样做。这表明有必要为安全OTA更新制定行业标准。

防火墙和网关是车辆中最常见的安全控制“大门”。不过,只有47%的公司在需求和设计阶段或开发和测试阶段评估安全漏洞。这一过程与SAE J3061™《网络物理车辆系统网络安全指南》的指导方针相悖,该指南主张在整个产品开发生命周期中采用基于风险、流程驱动的方法来实现网络安全。

将安全性集成到产品开发中的优势不言而喻,可以比在后期应用安全控制实现更高的安全性。同时,做到尽早识别风险和漏洞,并应用适当的安全控制。此外,这是一种更有效的方式来应用有限的网络安全资源,并将网络安全成本作为产品开发规程的关键部分加以规范。

受访者表示,保护汽车最常见的技术是安全补丁管理(占比61%)、渗透测试(占比56%)和动态安全测试/DAST(占比49%)。有趣的是,这些都是产品生命周期后期使用的技术。这是网络安全在整个系统开发生命周期(特别是在早期需求、设计、测试和开发阶段)中没有得到充分重视的体现。

汽车行业复杂的供应链是导致整车质量问题、造成安全漏洞的罪魁祸首。第三方硬件、软件、通信协议和应用程序的集成常常会引入OEM必须解决而又忽视的威胁因素。

找到人员、流程和技术的正确组合是成功的关键。现有的解决办法是加强目前从事安全专业人员以及能力,目前在行业内已经有一些相应的共识和准则:

1、SAE J3061™Cyber-Physical车辆系统的网络安全指南描述了一个网络安全过程框架,面向车辆系统设计和构建网络安全。

2、网络安全培训也是一项至关重要的投资,它不仅针对受访者在调查中分享的痛点,而且在未来很长一段时间内还会带来正向回报,有助于在整个企业建立一种安全文化。

3、SAE目前拥有多个网络安全组织,制定标准、指导方针和最佳实践,提供专业开发培训。

通过密切关注开发生命周期的需求阶段,可以解决甚至减轻安全风险。同时,需要汽车制造商与供应商密切合作,以确定相关组件的设计或体系结构中的安全漏洞。通过定期审查供应商的网络安全流程或对供应商协议实施网络安全保证要求,以强化安全保障。

4、网络安全不应该在车型研发结束时作为额外附加,而应该加入到整个产品开发生命周期的系统工程过程的每个步骤中——尤其是安全软件开发生命周期(SSDLC)。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    11

    文章

    3216

    浏览量

    60394
  • 智能网联汽车

    关注

    9

    文章

    1103

    浏览量

    31188

原文标题:智能网联汽车的“命门” | GGAI头条

文章出处:【微信号:ilove-ev,微信公众号:高工智能汽车】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    相关推荐

    中科创达通过ISO/SAE 21434汽车网络安全管理体系认证

    近日,中科创达(股票代码:300496)成功通过 ISO/SAE 21434汽车网络安全管理体系认证,并获得国际知名认证机构 SGS 颁发的认证证书。这标志着中科创达在汽车网络安全领域达到了国际先进水平,为智能
    的头像 发表于 02-20 09:33 373次阅读

    时代智能获TÜV南德ISO/SAE 21434汽车网络安全认证

    汽车网络安全领域取得了显著成就。 ISO/SAE 21434标准是全球范围内针对智能网联汽车网络安全管理的权威标准。通过获得这一认证,时代智能
    的头像 发表于 01-23 14:07 172次阅读

    TÜV南德授予时代智能ISO/SAE 21434 汽车网络安全流程认证证书

    21434汽车网络安全流程认证证书。这一认证的获得,标志着时代智能已建立汽车网络安全体系和治理结构,构筑了面向国际市场量产项目安全落地的合规壁垒,也将助力其应对
    的头像 发表于 01-20 15:19 177次阅读

    NVIDIA DRIVE Hyperion平台通过汽车功能安全网络安全认证

    NVIDIA 宣布自动驾驶汽车平台NVIDIA DRIVE AGX Hyperion已通过两家业内权威的汽车功能安全网络安全认证评估机构——TÜV SÜD 和 TÜV Rheinla
    的头像 发表于 01-08 10:43 225次阅读

    智能网联汽车网络安全开发解决方案

    经纬恒润网络安全团队密切关注行业发展趋势,致力于为国内外客户提供优质的网络安全咨询服务。在智能网联汽车电子电气架构(EEA)开发阶段,协助客
    的头像 发表于 12-19 17:30 767次阅读
    <b class='flag-5'>智能</b><b class='flag-5'>网联</b><b class='flag-5'>汽车网络安全</b>开发解决方案

    经纬恒润荣获ISO/SAE 21434汽车网络安全流程认证

    市场环境下赋能主机厂量产项目的安全、合规落地,为智能网联汽车网络安全提供坚实保障。经纬恒润ISO/SAE21434
    的头像 发表于 12-03 01:00 266次阅读
    经纬恒润荣获ISO/SAE 21434<b class='flag-5'>汽车网络安全</b>流程认证

    车联网网络安全:未雨绸缪应对未来挑战

    近日,中国网络空间安全协会发布了一篇关于英特尔产品网络安全风险的文章,引发了人们对底层硬件芯片安全问题的关注。如果底层硬件存在安全隐患,那么
    的头像 发表于 10-22 14:04 471次阅读

    邀请函 | Vector中国汽车网络安全技术日

    要求(GB44495-2024)在内,全球各主要汽车市场国家和地区均已经即将颁布相关强制法规,以督促行业尽快建立网络安全防范机制。网络安全涵盖汽车
    的头像 发表于 09-05 08:05 644次阅读
    邀请函 | Vector中国<b class='flag-5'>汽车网络安全</b>技术日

    虹软科技获ISO/SAE 21434 网络安全管理体系认证

    表明虹软具备了提供符合网络安全要求车载产品的能力及车辆网络安全领域的管理能力,能够在全球市场环境下赋能车企智能驾驶量产项目安全、合规落地。 随着智能
    的头像 发表于 08-23 18:33 1270次阅读

    能可瑞获颁TÜV南德ISO/SAE 21434 汽车网络安全流程认证证书

    证书的授予标志着能可瑞在电动汽车通信控制器(以下简称"EVCC")领域的网络安全保障能力处于业界领先地位。通过遵循ISO/SAE 21434标准,能可瑞已成功构建起了全面的网络安全管理体系,在流程上不仅有效应对了日益复杂多变的
    的头像 发表于 07-25 09:39 470次阅读
    能可瑞获颁TÜV南德ISO/SAE 21434 <b class='flag-5'>汽车网络安全</b>流程认证证书

    数字证书如何工作?汽车智能网联V2X通信安全的基石#智能网联

    智能网联
    北汇信息POLELINK
    发布于 :2024年07月12日 13:33:30

    人工智能大模型在工业网络安全领域的应用

    随着人工智能技术的飞速发展,人工智能大模型作为一种具有强大数据处理能力和复杂模式识别能力的深度学习模型,已经在多个领域展现了其独特的优势和广阔的应用前景。在工业网络安全领域,人工智能
    的头像 发表于 07-10 14:07 1024次阅读

    智己汽车荣获UN R155车辆网络安全管理体系认证

    System,CSMS)证书。这一里程碑式的成就不仅彰显了智己汽车智能网联汽车网络安全领域的技术实力和管理水平,更体现了其对于用户安全
    的头像 发表于 06-26 18:24 1237次阅读

    经纬恒润亮相AutoSec中国汽车网络安全及数据安全合规峰会

    、车辆网络安全网络安全管理等话题。经纬恒润作为智能网联汽车全栈式解决方案供应商,受邀与Cybellum联合出席,与千余名产业链上下游专业人
    的头像 发表于 05-10 08:00 435次阅读
    经纬恒润亮相AutoSec中国<b class='flag-5'>汽车网络安全</b>及数据<b class='flag-5'>安全</b>合规峰会

    黑芝麻智能获得ISO/SAE 21434:2021汽车网络安全流程认证证书

    4月3日,黑芝麻智能获得 ISO/SAE 21434:2021汽车网络安全流程认证证书,标志着黑芝麻智能已建立起符合ISO/SAE 21434要求的网络安全产品开发流程体系,构筑起
    的头像 发表于 04-03 17:22 774次阅读
    黑芝麻<b class='flag-5'>智能</b>获得ISO/SAE 21434:2021<b class='flag-5'>汽车网络安全</b>流程认证证书