網(wǎng)絡安全是汽車行業(yè)的重中之重

軟件安全是網(wǎng)絡安全的基礎部分。汽車軟件一部分是主機，一部分是移動設備，這些軟件系統(tǒng)越來越多地成為網(wǎng)絡攻擊者的目標。

長期以來，汽車安全一直是汽車公司最關(guān)心的問題，如今，它的重要性等同于網(wǎng)絡安全。這是因為現(xiàn)在的汽車比以往任何時候都更依賴軟件。

汽車軟件是快速移動、高度連接的數(shù)據(jù)中心，部分是主機，部分是移動設備，裝載著物聯(lián)網(wǎng)(IoT)設備。這些軟件實際上是運行在大規(guī)模云基礎設施邊緣的移動節(jié)點。而且將越來越多地成為網(wǎng)絡攻擊者的目標。

在過去十年中，汽車制造商穩(wěn)步轉(zhuǎn)向電動汽車，同時該行業(yè)也推出了新的移動出行計劃，例如拼車、汽車共享以及改變傳統(tǒng)所有權(quán)模式。計算機系統(tǒng)的無線 (OTA) 更新定期提供新功能，改善駕駛體驗或解決問題，而無需召回車輛。物聯(lián)網(wǎng)設備安裝在車輛中收集、傳輸和接收信息。自動駕駛汽車、出租車車隊(優(yōu)步、Lyft、Waymo)和卡車運輸業(yè)務都將在下一個轉(zhuǎn)彎處出現(xiàn)。

所有這些都增加了汽車網(wǎng)絡安全的緊迫性。2020年6月，《聯(lián)合國條例》(UNR) 155為其WP.29國家集團的成員國制定了網(wǎng)絡安全要求。結(jié)合ISO/SAE 21434等其他網(wǎng)絡安全要求，以及網(wǎng)絡攻擊的真正威脅，網(wǎng)絡安全將超越功能安全，或至少獲得與功能安全同等地位成為汽車制造商的優(yōu)先事項。

識別威脅

網(wǎng)絡戰(zhàn)對于目標來說已經(jīng)非常昂貴，但也變得越來越危險。例如，如果醫(yī)院、療養(yǎng)院或其他護理設施的電源被切斷，對能源部門的攻擊可能危及生命。

5月份，Colonial Pipeline攻擊并沒有完全達到以上所說的那個級別，但也展示了一次成功的攻擊(通過破壞單個密碼實現(xiàn))的影響力有多大。

對于汽車行業(yè)來說，在擁擠的道路上高速行駛的本質(zhì)放大了風險。汽車黑客已經(jīng)比許多人想象的更普遍而且很快會更普遍，有可能引發(fā)大規(guī)模的危及生命的事件。

這類黑客攻擊的經(jīng)濟影響也將是巨大的，這也為汽車公司提供了另一個關(guān)注網(wǎng)絡安全的理由。建立信任對任何企業(yè)都是至關(guān)重要的，在交通運輸領(lǐng)域更是至關(guān)重要。

波音737 Max客機在2019年和2020年因軟件故障發(fā)生兩次墜機事故后，其737Max客機的持續(xù)存在的問題清楚地說明了這一點。

汽車行業(yè)的網(wǎng)絡安全工作應該集中在五個關(guān)鍵領(lǐng)域。

1. 零日漏洞利用

車輛中暴露的端口數(shù)量使其容易受到攻擊。除了防范已知漏洞之外，安全團隊還應該了解新的發(fā)展和攻擊媒介，或許可以通過與供應商無關(guān)的零日計劃等努力進行合作。

當前，汽車物聯(lián)網(wǎng)由更大的互聯(lián)生態(tài)系統(tǒng)的組成，這個龐大的生態(tài)系統(tǒng)運行著由眾多不同軟件供應商提供的數(shù)百萬行代碼。像任何軟件一樣，這數(shù)百萬行代碼包含許多等待被利用的漏洞。

發(fā)現(xiàn)并消除所有漏洞是不現(xiàn)實的。因此，一方面最大限度減少黑客發(fā)現(xiàn)這些漏洞的能力，另一方面，加強代碼安全管理，通過靜態(tài)代碼檢測等方式提前發(fā)現(xiàn)并修復漏洞，防止黑客構(gòu)建漏洞并發(fā)起攻擊。

汽車制造商不應該依賴其代碼供應商提供無漏洞的代碼。相反，他們必須自己解決代碼安全相關(guān)的問題。

2. 供應鏈攻擊

汽車公司需要通過保護軟件開發(fā)生命周期 (SDLC) 流程和更新傳輸來避免通過OTA更新引入漏洞。 我們堅信安全不能是事后的想法。對于汽車制造商和整個汽車供應鏈來說，安全性應該是整個產(chǎn)品生命周期中固有的。

3. 共享

拼車和拼車應用的興起，以及租車和公司拼車等傳統(tǒng)方法的擴展，帶來了用戶身份和訪問特權(quán)的問題，這是汽車行業(yè)需要解決的問題。

4. 連通性

確保通信通道的安全需要對云環(huán)境的可見性、傳輸和數(shù)據(jù)的加密、持續(xù)監(jiān)控，以及應用人工智能等技術(shù)來避免窺探和篡改。

5. 隱私

保護車輛安全所需的程序必然會引起隱私問題，因此安全、加密的數(shù)據(jù)存儲至關(guān)重要。

將安全放在首位

隨著車輛的互聯(lián)程度越來越高，自動駕駛功能越來越普遍，網(wǎng)絡安全可能會成為車輛安全的最關(guān)鍵因素，這一領(lǐng)域仍受到嚴格監(jiān)管。

同時，與任何其他領(lǐng)域的網(wǎng)絡安全一樣，風險管理是關(guān)鍵。在選擇汽車物聯(lián)網(wǎng)安全解決方案時，必須確保該解決方案在設計上是安全的。在安全關(guān)鍵級別的網(wǎng)絡安全的確定性和安全設計方法對于乘客和車輛安全都至關(guān)重要。在這里，我們不能依賴 IT 網(wǎng)絡安全的事后補救方法。

實施一個可擴展的身份標識倉庫來存儲與車輛相關(guān)的所有身份信息，以及相關(guān)車輛和使用的歷史記錄。這對于安全性和合規(guī)性而言都是必要的。

同時，還需要在信息共享和隱私保護之間取得平衡。汽車公司將與汽車租賃公司、保險公司、供應鏈或科技公司等生態(tài)系統(tǒng)互動，查看汽車數(shù)據(jù)。

汽車行業(yè)對軟件和連接的依賴只會在未來幾年變得更加明顯。在新車和系統(tǒng)的各個方面建立有效的軟件安全機制是確保汽車網(wǎng)絡安全和行業(yè)未來成功的關(guān)鍵。

參讀鏈接：

https://www.darkreading.com/vulnerabilities-threats/cybersecurity-takes-the-wheel-as-auto-industry-s-top-priority

https://www.helpnetsecurity.com/2021/11/23/select-automotive-iot-security/