北京2021年5月14日 /美通社/ -- 近日,BSI全新發布了《汽車網絡安全洞察報告》,該報告聚焦于聯網汽車的崛起和對不斷增長的汽車網絡安全需求,助力您應對行業在轉型中遇到的挑戰,滿足新的網絡合規要求。
本文將闡述這些主要變化如何轉化為制造商面臨的新的網絡安全威脅和挑戰,以及ISO/SAE 21434和BSI E2E互聯汽車網絡安全模型如何幫助您克服這些問題。
聯網汽車的網絡安全形勢
聯網自動駕駛汽車和無人駕駛汽車的概念已經并不新鮮。早在 1920 年代,人們就在自動駕駛系統 (ADS) 上進行實驗,并在 1950 年代開始現場試驗。1977 年,日本筑波機械工程實驗室開發了第一款自動駕駛汽車,需要在帶有專用標志的道路上行駛,由汽車上的兩臺攝像機通過模擬計算機識別標志。在高架軌道的輔助下,汽車的速度達到了驚人的 30 公里/時(19 英里/時)。
將近 50 年后,由于一系列顛覆性創新技術的相繼出現,形勢發生了巨大變化,汽車行業的發展超出了所有人的預期。伴隨著工業 4.0、信息物理系統和數字化加速,該行業將在 2021 年迎來巨大變化。
例如,基于 AI 的自動駕駛汽車成為汽車行業的領跑者,而人工智能已經通過自動駕駛汽車實現了智能行駛模式,不再需要駕駛員而是依靠傳感器和軟件進行導航和控制。此外,據《研究與市場》(Research and Markets, 2020) 報道,聯網功能已不再是汽車的可選功能,而是在設計上嵌入的功能。
汽車行業正處于大規模轉型之中,這是自發明內燃機以來汽車行業所經歷的最大變革,汽車制造商不再是硬件制造商,而是發展成為科技公司。
網絡安全模式
對于一切聯網事物而言,風險、漏洞和威脅無處不在。正如美國記者兼調查員Brian Krebs 所證明的那樣,“一切都會被黑客攻擊”,“企業和 IT 專業人員需要開始接受這個‘令人沮喪的現實’”。聯網汽車行業也不例外。
這方面的例子不勝枚舉。一些著名的數據泄露事件包括:2017 年本田遭到臭名昭著的勒索病毒WannaCry攻擊,全球計算機系統受到嚴重破壞;2018 年,特斯拉公司、豐田汽車公司、大眾汽車和菲亞特克萊斯勒汽車公司、福特汽車公司以及通用汽車公司被卷入一場數據泄露事件中,涉及公司商業機密的數千份工廠記錄文件遭到泄露。
最近,在 2020 年,特斯拉對一名前雇員提起訴訟,指控該雇員更改了公司源代碼并將千兆字節的專有數據導出給未知第三方,致使公司遭受內部攻擊,損失慘重。
汽車和互聯市場領域呈現的其他主要趨勢同樣引人注目:
聯網汽車的威脅因素
客戶所面臨的最大挑戰是如何防范無處不在的威脅,汽車已成為各類惡意威脅因素的攻擊對象。通過 USB 連接感染惡意軟件。我們都知道,將不受保護的未知 USB 插入任何設備都會帶來危險,而車載 USB 端口也是如此。
如果最終用戶將應用下載到汽車儀表板和 CPU 中,也有可能會遭到攻擊。無論是基于云的應用,還是本地應用,都需要在下載前進行驗證和檢查安全性。在下載任何汽車應用之前,都必須保持警惕。中間人 (MATM) 攻擊也非常普遍,在這種攻擊模式下,攻擊者會在直接通信的兩方不知情的情況下,對他們的通信進行秘密中轉并可能更改通信內容,就像竊聽別人的對話一樣。
雖然可以采用多種方式來解決該問題,例如身份驗證、密鑰協商協議、篡改檢測(會造成正常流程耗費更長時間)以及數字取證。數字取證顯然是高級方式,但是可以使用事件取證來檢查和監控可疑攻擊行為,詳細說明數據是否遭到泄露、發生攻擊的位置,并提供威脅情報以補救情況。
行業面臨的另一個挑戰是缺少技術網絡安全合規標準導致行業缺乏標準化,在 ISO/SAE 21434 出現之前,市場上還沒有聯網汽車網絡安全標準*。
ISO 標準在車輛整個生命周期中建立了“設計安全性”。ISO/SAE 21434 提供了開發風險評估系統的模型,并詳細說明了流程和工作產品。
可通過如下方式聯系BSI,獲取完整版《汽車網絡安全洞察報告》,更全面地了解行業動態和分析觀點。