近日,BSI全新发布了《汽车网络安全洞察报告》,该报告聚焦于联网汽车的崛起和对不断增长的汽车网络安全需求,助力您应对行业在转型中遇到的挑战,满足新的网络合规要求。
本文将阐述这些主要变化如何转化为制造商面临的新的网络安全威胁和挑战,以及ISO/SAE 21434和BSI E2E互联汽车网络安全模型如何帮助您克服这些问题。
BSI全新发布汽车网络安全洞察报告
联网汽车的网络安全形势
联网自动驾驶汽车和无人驾驶汽车的概念已经并不新鲜。早在 1920 年代,人们就在自动驾驶系统 (ADS) 上进行实验,并在 1950 年代开始现场试验。1977 年,日本筑波机械工程实验室开发了第一款自动驾驶汽车,需要在带有专用标志的道路上行驶,由汽车上的两台摄像机通过模拟计算机识别标志。在高架轨道的辅助下,汽车的速度达到了惊人的 30 公里/时(19 英里/时)。
将近 50 年后,由于一系列颠覆性创新技术的相继出现,形势发生了巨大变化,汽车行业的发展超出了所有人的预期。伴随着工业 4.0、信息物理系统和数字化加速,该行业将在 2021 年迎来巨大变化。
例如,基于 AI 的自动驾驶汽车成为汽车行业的领跑者,而人工智能已经通过自动驾驶汽车实现了智能行驶模式,不再需要驾驶员而是依靠传感器和软件进行导航和控制。此外,据《研究与市场》(Research and Markets, 2020) 报道,联网功能已不再是汽车的可选功能,而是在设计上嵌入的功能。
汽车行业正处于大规模转型之中,这是自发明内燃机以来汽车行业所经历的最大变革,汽车制造商不再是硬件制造商,而是发展成为科技公司。
网络安全模式
对于一切联网事物而言,风险、漏洞和威胁无处不在。正如美国记者兼调查员Brian Krebs 所证明的那样,“一切都会被黑客攻击”,“企业和 IT 专业人员需要开始接受这个‘令人沮丧的现实’”。联网汽车行业也不例外。
这方面的例子不胜枚举。一些著名的数据泄露事件包括:2017 年本田遭到臭名昭著的勒索病毒WannaCry攻击,全球计算机系统受到严重破坏;2018 年,特斯拉公司、丰田汽车公司、大众汽车和菲亚特克莱斯勒汽车公司、福特汽车公司以及通用汽车公司被卷入一场数据泄露事件中,涉及公司商业机密的数千份工厂记录文件遭到泄露。
最近,在 2020 年,特斯拉对一名前雇员提起诉讼,指控该雇员更改了公司源代码并将千兆字节的专有数据导出给未知第三方,致使公司遭受内部攻击,损失惨重。
汽车和互联市场领域呈现的其他主要趋势同样引人注目:
中立服务器平台,目前正在计划制定相关立法,以保护汽车售后市场参与者的利益
联网汽车的威胁因素
客户所面临的最大挑战是如何防范无处不在的威胁,汽车已成为各类恶意威胁因素的攻击对象。通过 USB 连接感染恶意软件。我们都知道,将不受保护的未知 USB 插入任何设备都会带来危险,而车载 USB 端口也是如此。
如果最终用户将应用下载到汽车仪表板和 CPU 中,也有可能会遭到攻击。无论是基于云的应用,还是本地应用,都需要在下载前进行验证和检查安全性。在下载任何汽车应用之前,都必须保持警惕。中间人 (MATM) 攻击也非常普遍,在这种攻击模式下,攻击者会在直接通信的两方不知情的情况下,对他们的通信进行秘密中转并可能更改通信内容,就像窃听别人的对话一样。
虽然可以采用多种方式来解决该问题,例如身份验证、密钥协商协议、篡改检测(会造成正常流程耗费更长时间)以及数字取证。数字取证显然是高级方式,但是可以使用事件取证来检查和监控可疑攻击行为,详细说明数据是否遭到泄露、发生攻击的位置,并提供威胁情报以补救情况。
汽车网络安全 – 应对行业转型中的挑战
行业面临的另一个挑战是缺少技术网络安全合规标准导致行业缺乏标准化,在 ISO/SAE 21434 出现之前,市场上还没有联网汽车网络安全标准*。
ISO 标准在车辆整个生命周期中建立了“设计安全性”。ISO/SAE 21434 提供了开发风险评估系统的模型,并详细说明了流程和工作产品。
获取更多评论