3月24日,360春耕行動推出智能網聯汽車專場,以線上發布會形式邀請近20家媒體共同參與,正式發布《2019智能網聯汽車信息安全年度報告》(以下簡稱《報告》)。
《報告》從智能網聯汽車網絡安全發展趨勢,新興攻擊手段,汽車安全攻擊事件,汽車安全風險總結和安全建設建議等方面對2019年智能網聯汽車信息安全的發展做了梳理。
2019年,車聯網出現了兩種新型攻擊方式,大部分車廠將失守,數字車鑰匙漏洞也打開了汽車安全的潘多拉盒子,而汽車網絡安全的黃金分割點在於對供應商的安全管理,《報告》建議車聯網安全要從正反兩面去考慮,做主動防禦。
《報告》指出,通信模組是導致批量控車發生的根源,汽車廠商應該遵循即將落地的汽車網絡安全系列標準,執行嚴格的供應鏈管理機制,定期進行滲透測試,持續監控網絡安全風險。
智能網聯汽車向多元發展邁進
2019 年,我國汽車產銷分別為 2572.1 萬輛和 2576.9 萬輛,同比分別下降 7.5%和 8.2%,但產業下滑幅度有所收窄。汽車產業也進入了轉變發展方式、優化產業結構、由高速增長轉向高質量發展的關鍵時期。以「電動化、智能化、網聯化、共享化」為核心的汽車「新四化」趨勢,已成為政府、整車企業、汽車供應商、科技企業及消費者等各界的共識。
隨著「新四化」的不斷推進,汽車原本幾千上萬數量的機械零部件,逐步被電機電控、動力電池、整車控制器等在內的「三電」系統取代。同時新的業務場景催生出例如汽車 T-box,數字車鑰匙等在內的電子電氣部件,這又衍生出了一系列新的網絡安全隱患。《報告》從新一代 E/E 架構面臨新的安全挑戰以及自動駕駛算法與傳感器面臨的安全挑戰兩方面進行了整體分析。
2020 年國內外圍繞汽車網絡安全的標準將全面鋪開,總體上呈現出以自動駕駛、V2X 等應用場景為目標抓手,指導汽車產業鏈在概念、開發、生產、運維等各階段開展網絡安全活動。
2019 年開始,不少車企與網際網路公司牽手,以戰略合作和共建實驗室等方式攜手合作共同解決網絡安全問題,則意味著「新四化」的變革已經衝出了汽車領域,朝著橫向和多元的發展空間並進。
車聯網出現的新型攻擊方式近乎「通殺」
2019年,車聯網出現兩種新型攻擊方式,基於車載通信模組信息洩露的遠程控制劫持攻擊以及基於生成式對抗網絡的自動駕駛算法攻擊,這兩種新型攻擊方式能夠影響大部分車企。
早在2018年,360就探索出了通過破解通信模組,利用私有APN滲透車企TSP平臺,從而實現批量遠程控制車輛的攻擊方式。2019月12月,360與奔馳梅賽德斯奔馳共同發現並修復了19個引發此類攻擊的漏洞,其中包含6個CVE漏洞,影響在路車輛200餘萬輛。雙方在RSA大會上共同對此次漏洞研究成果發表了演講,通信模組作為車輛與外界網絡連接的第一道防線,如果遭到黑客的破解,將會實現遠程開閉車門車窗,啟動關閉引擎等控車操作,威脅到用戶的生命財產安全。經過大量研究發現,此類漏洞廣泛存在於車企的車聯網系統中,亟需引起廣大車企的關注。
基於生成式對抗網絡的自動駕駛算法攻擊主要源於在深度學習模型訓練過程中,缺失了對抗樣本這類特殊的訓練數據。雖然深度機器學習代表了技術的未來方向,但在目前的實際運用中,通過研究人員的實驗證明,可以通過特定算法生成相應的對抗樣本,直接攻擊圖像識別系統,神經網絡算法仍存在一定的安全隱患,值得關注。
2019年智能網聯汽車十大安全事件
2019年,智能網聯汽車全球範圍內出現了十大安全事件,包括基於通信模組的遠程控制劫持攻擊,基於生成式對抗網絡(GAN)自動駕駛算法攻擊,特斯拉PKES系統存在中繼攻擊威脅,特斯拉Model S/X WiFi協議存在緩存區溢出漏洞,共享汽車APP存在漏洞,基於雷射雷達的自動駕駛系統安全性存疑,Uber爆出存在帳號劫持漏洞,後裝汽車防盜系統存在漏洞,豐田汽車伺服器遭到入侵,寶馬遭受APT攻擊。
《報告》通過對典型安全事件的分析,總結出當前汽車安全的四大風險:汽車攻擊事件快速增長,攻擊手段層出不窮;智能網聯汽車缺乏異常檢測和主動防禦機制;數字鑰匙成為廣泛引起關注的新攻擊面;自動駕駛算法和V2X系統將成為新的熱點攻擊目標。
數字車鑰匙漏洞打開汽車安全的潘多拉盒子。數字車鑰匙可用於遠程召喚,自動泊車等新興應用場景,這種多元化的應用場景也導致數字鑰匙易受攻擊。數字車鑰匙的「短板效應」顯著,身份認證、加密算法、密鑰存儲、數據包傳輸等任一環節遭受黑客入侵,則會導致整個數字車鑰匙安全系統瓦解。目前常見的攻擊方式是通過中繼攻擊方式,將數字車鑰匙的信號放大,從而盜竊車輛。
2019 年,歐洲和美國相繼爆出通過中繼攻擊的方式對高端品牌車輛實施盜竊的事件,尤其是在英國地區,僅 2019 年前 10 個月就有超過 14000 多起針 PKES 系統的盜竊事件,相當於每 38 分鐘就有一起此類盜竊案件發生。而小偷的作案時間通常不到 30 秒,作案工具中繼設備和攻擊教程甚至在網絡上也可以購買,這將對人身和財產安全造成極大的傷害。
智能網聯汽車安全建設五大建議
《報告》針對智能網聯汽車面臨的安全風險和隱患提出了五大安全建議。
第一、建立供應商關鍵環節的安全責任體系,可以說汽車網絡安全的黃金分割點在於對供應商的安全管理。「新四化」將加速一級供應商開發新產品,屆時也會有新一級供應商加入主機廠採購體系,原有的供應鏈格局將被重塑。供應鏈管理將成為汽車網絡安全的新痛點,主機廠應從質量體系,技術能力和管理水平等多方面綜合評估供應商。
第二、推行安全標準,夯實安全基礎。2020 年,將是汽車網絡安全標準全面鋪開的一年。根據ISO21434等網絡安全標準,在概念、開發、生產、運營、維護、銷毀等階段全面布局網絡安全工作,將風險評估融入汽車生產製造的全生命周期,建立完善的供應鏈管理機制,參照電子電器零部件的網絡安全標準,定期進行滲透測試,持續對網絡安全數據進行監控,並結合威脅情報進行安全分析,開展態勢感知,從而有效地管理安全風險。
第三、構建多維安全防護體系,增強安全監控措施。被動防禦方案無法應對新興網絡安全攻擊手段,因此需要在車端部署安全通信模組、安全汽車網關等新型安全防護產品,主動發現攻擊行為,並及時進行預警和阻斷,通過多節點聯動,構建以點帶面的層次化縱深防禦體系。
第四、利用威脅情報及安全大數據提升安全運營能力。網絡安全環境瞬息萬變,高質量的威脅情報和持續積累的安全大數據可以幫助車企以較小的代價最大程度地提升安全運營能力,從而應對變化莫測的網絡安全挑戰。
第五、良好的汽車安全生態建設依賴精誠合作。術業有專攻,網際網路企業和安全公司依託在傳統IT領域的技術沉澱和積累,緊跟汽車網絡安全快速發展的腳步,對相關汽車電子電氣產品和解決方案有獨到的鑽研和見解。只有產業鏈條上下遊企業形成合力,才能共同將汽車網絡安全提升到「主動縱深防禦」新高度,為「新四化」的成熟落地保駕護航。
360汽車安全大腦攔截攻擊35000次 全力守護智能網聯汽車
360公司致力於保護用戶網絡安全和出行安全,360安全大腦和智能網聯汽車安全大腦雙雙入圍工信部「新一代人工智慧產業創新重點任務入圍揭榜單位」。截至目前,360汽車安全大腦共攔截攻擊35000次,為車廠提供安全評估,累積發現車聯網超500個安全問題,影響450萬輛智能汽車。
當前,360已與國內80%的主流汽車廠商合作,有超50萬輛路面上行駛的汽車接入360汽車安全大腦,獲得實時防護。此外,360還牽頭中國第一個汽車信息安全國際標準——ITU-T X.mdcv(基於大數據分析的聯網汽車異常行為安全檢測機制),參與ISO、汽標委、信安標委、通信標委等10餘項的汽車網絡安全標準的制定工作,累計申請汽車網絡安全相關專利30餘項,全力守護智能網聯汽車安全。