網路安全是汽車行業的重中之重

zktq2021發表於2021-12-09
行業

軟體安全是網路安全的基礎部分。汽車軟體一部分是主機,一部分是移動裝置,這些軟體系統越來越多地成為網路攻擊者的目標。

長期以來,汽車安全一直是汽車公司最關心的問題,如今,它的重要性等同於網路安全。這是因為現在的汽車比以往任何時候都更依賴軟體。

汽車軟體是快速移動、高度連線的資料中心,部分是主機,部分是移動裝置,裝載著物聯網(IoT)裝置。這些軟體實際上是執行在大規模雲基礎設施邊緣的移動節點。而且將越來越多地成為網路攻擊者的目標。

在過去十年中,汽車製造商穩步轉向電動汽車,同時該行業也推出了新的移動出行計劃,例如拼車、汽車共享以及改變傳統所有權模式。計算機系統的無線 (OTA) 更新定期提供新功能,改善駕駛體驗或解決問題,而無需召回車輛。物聯網裝置安裝在車輛中收集、傳輸和接收資訊。自動駕駛汽車、計程車車隊(優步、Lyft、Waymo)和卡車運輸業務都將在下一個轉彎處出現。

所有這些都增加了汽車網路安全的緊迫性。2020年6月,《聯合國條例》(UNR) 155為其WP.29國家集團的成員國制定了網路安全要求。結合ISO/SAE 21434等其他網路安全要求,以及網路攻擊的真正威脅,網路安全將超越功能安全,或至少獲得與功能安全同等地位成為汽車製造商的優先事項。

識別威脅

網路戰對於目標來說已經非常昂貴,但也變得越來越危險。例如,如果醫院、療養院或其他護理設施的電源被切斷,對能源部門的攻擊可能危及生命。

5月份,Colonial Pipeline攻擊並沒有完全達到以上所說的那個級別,但也展示了一次成功的攻擊(透過破壞單個密碼實現)的影響力有多大。

對於汽車行業來說,在擁擠的道路上高速行駛的本質放大了風險。汽車駭客已經比許多人想象的更普遍而且很快會更普遍,有可能引發大規模的危及生命的事件。

這類駭客攻擊的經濟影響也將是巨大的,這也為汽車公司提供了另一個關注網路安全的理由。建立信任對任何企業都是至關重要的,在交通運輸領域更是至關重要。

波音737 Max客機在2019年和2020年因軟體故障發生兩次墜機事故後,其737Max客機的持續存在的問題清楚地說明了這一點。

汽車行業的網路安全工作應該集中在五個關鍵領域。

1. 零日漏洞利用

車輛中暴露的埠數量使其容易受到攻擊。除了防範已知漏洞之外,安全團隊還應該瞭解新的發展和攻擊媒介,或許可以透過與供應商無關的零日計劃等努力進行合作。

當前,汽車物聯網由更大的互聯生態系統的組成,這個龐大的生態系統執行著由眾多不同軟體供應商提供的數百萬行程式碼。像任何軟體一樣,這數百萬行程式碼包含許多等待被利用的漏洞。

發現並消除所有漏洞是不現實的。因此,一方面最大限度減少駭客發現這些漏洞的能力,另一方面,加強程式碼安全管理,透過 靜態程式碼檢測等方式提前發現並修復漏洞,防止駭客構建漏洞併發起攻擊。

汽車製造商不應該依賴其程式碼供應商提供無漏洞的程式碼。相反,他們必須自己解決程式碼安全相關的問題。

2. 供應鏈攻擊

汽車公司需要透過保護軟體開發生命週期 (SDLC) 流程和更新傳輸來避免透過OTA更新引入漏洞。 我們堅信安全不能是事後的想法。對於汽車製造商和整個汽車供應鏈來說,安全性應該是整個產品生命週期中固有的。

3. 共享

拼車和拼車應用的興起,以及租車和公司拼車等傳統方法的擴充套件,帶來了使用者身份和訪問特權的問題,這是汽車行業需要解決的問題。

4. 連通性

確保通訊通道的安全需要對雲環境的可見性、傳輸和資料的加密、持續監控,以及應用人工智慧等技術來避免窺探和篡改。

5. 隱私

保護車輛安全所需的程式必然會引起隱私問題,因此安全、加密的資料儲存至關重要。

將安全放在首位

隨著車輛的互聯程度越來越高,自動駕駛功能越來越普遍,網路安全可能會成為車輛安全的最關鍵因素,這一領域仍受到嚴格監管。

同時,與任何其他領域的網路安全一樣,風險管理是關鍵。在選擇汽車物聯網安全解決方案時,必須確保該解決方案在設計上是安全的。在安全關鍵級別的網路安全的確定性和安全設計方法對於乘客和車輛安全都至關重要。在這裡,我們不能依賴 IT 網路安全的事後補救方法。

實施一個可擴充套件的身份標識倉庫來儲存與車輛相關的所有身份資訊,以及相關車輛和使用的歷史記錄。這對於安全性和合規性而言都是必要的。

同時,還需要在資訊共享和隱私保護之間取得平衡。汽車公司將與汽車租賃公司、保險公司、供應鏈或科技公司等生態系統互動,檢視汽車資料。

汽車行業對軟體和連線的依賴只會在未來幾年變得更加明顯。在新車和系統的各個方面建立有效的軟體安全機制是確保汽車網路安全和行業未來成功的關鍵。


參讀連結:

https://www.darkreading.com/vulnerabilities-threats/cybersecurity-takes-the-wheel-as-auto-industry-s-top-priority

https://www.helpnetsecurity.com/2021/11/23/select-automotive-iot-security/


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2846644/,如需轉載,請註明出處,否則將追究法律責任。

相關文章