汽車行業(yè)面臨的8大網(wǎng)絡安全威脅

進入2023年，隨著我們踏上邊緣計算的旅程，大多數(shù)(如果不是全部)行業(yè)都在數(shù)字化層面上發(fā)展。但汽車行業(yè)正在經(jīng)歷另一個層面的技術創(chuàng)新。聯(lián)網(wǎng)汽車產(chǎn)量的增加、新的自動駕駛功能以及使汽車能夠自動停車和自動駕駛的軟件的興起，都是席卷汽車行業(yè)的數(shù)字化發(fā)展的典范。

根據(jù) AT&T 2022 網(wǎng)絡安全洞察 (CSI) 報告， ?75% 的組織計劃實施邊緣安全變革，以幫助減輕影響汽車、卡車、車隊和其他聯(lián)網(wǎng)車輛及其制造商的風險。并且有充分的理由。

在網(wǎng)絡攻擊方面，這些汽車功能和進步為網(wǎng)絡犯罪分子提供了一系列新機會。威脅行為者以多種方式瞄準汽車行業(yè)，包括久經(jīng)考驗的真實方法和新的攻擊媒介。

在本文中，您將了解進入 2023 年汽車行業(yè)面臨的 8 大網(wǎng)絡安全威脅，以及該行業(yè)可以采取哪些措施來防止威脅。

汽車網(wǎng)絡安全威脅

近年來，針對汽車行業(yè)的網(wǎng)絡攻擊數(shù)量出現(xiàn)了驚人的激增。這種針對車輛的網(wǎng)絡攻擊的新流行，是因為與幾年前相比，如今道路上聯(lián)網(wǎng)車輛的數(shù)量急劇增加，以及車輛網(wǎng)絡黑客知識和工具的激增。通過廣泛連接的無線網(wǎng)絡，數(shù)據(jù)收集的增加產(chǎn)生了攻擊向量，從OEM后端服務器到車輛電子控制單元(ECU)，甚至是信息娛樂單元的藍牙功能

隨著汽車越來越多地配備連接功能，遠程威脅更有可能發(fā)生。最近的一份報告顯示，82% 的針對汽車行業(yè)（包括消費車輛、制造商和經(jīng)銷商）的攻擊是遠程進行的。此外，一半的車輛盜竊涉及無鑰匙進入。

汽車制造商、經(jīng)銷商和消費者在汽車網(wǎng)絡安全方面發(fā)揮著重要作用。但隨著行業(yè)繼續(xù)采用互聯(lián)技術，組織采取積極主動的網(wǎng)絡安全方法將變得越來越重要。

說到汽車威脅，黑客使用無數(shù)方法來竊取車輛和駕駛員信息并導致車輛功能出現(xiàn)問題。接下來，讓我們探討一下今年汽車行業(yè)面臨的 8 大網(wǎng)絡安全威脅。

無鑰匙偷車

遠程無鑰匙偷車賊越來越普遍，因為有了新的技術方法來解鎖和啟動車輛。此外還有用于操縱車輛的工具和技術，這些工具和技術隨后在互聯(lián)網(wǎng)上出售。因此，汽車盜竊和汽車闖入已成為過去10年網(wǎng)絡事件的主要影響因素。汽車被盜時，車主除了要承受痛苦之外，汽車保險公司還負責處理損失，并為許多汽車被偷的司機支付費用。這一現(xiàn)象在許多國家已經(jīng)成為一個嚴重的問題，因為它也表明，它的影響是當今汽車世界最深刻的問題之一。從數(shù)量上看，汽車盜竊和入室盜竊占該行業(yè)事故總數(shù)的四分之一以上。除了上述盜竊汽車的頻率外，2019冠狀病毒病還導致了車輛盜竊的增加。2021年前9個月，僅在美國洛杉磯就有17195輛汽車被盜，創(chuàng)下十多年來年度被盜車輛最高紀錄

作為最突出的威脅之一，無鑰匙汽車盜竊是汽車行業(yè)的主要關注點。今天的鑰匙扣使車主能夠通過站在車輛附近鎖定和解鎖車門，甚至無需實體鑰匙即可啟動汽車。

啟用無鑰匙啟動和無鑰匙進入的汽車容易受到中間人攻擊，這種攻擊可以攔截汽車與遙控鑰匙本身之間的數(shù)據(jù)連接。黑客利用這些系統(tǒng)通過欺騙組件認為它們就在附近來繞過身份驗證協(xié)議。然后攻擊者可以在不觸發(fā)任何警報的情況下打開車門并啟動車輛。

電動汽車充電站攻擊

隨著全球向環(huán)保技術轉(zhuǎn)型，電動汽車正變得越來越流行。充電站允許電動車車主在公共停車場、公園甚至他們自己的車庫等便利地點為車輛充電。

當您在充電站為電動汽車充電時，數(shù)據(jù)會在汽車、充電站和擁有該設備的公司之間傳輸。該數(shù)據(jù)鏈展示了威脅行為者可以利用電動車充電站的多種方式。惡意軟件、欺詐、遠程操縱，甚至禁用充電站都是黑客利用電動車充電站基礎設施的方式的例子。

信息娛樂系統(tǒng)攻擊

近年來，針對汽車行業(yè)的網(wǎng)絡攻擊數(shù)量出現(xiàn)了驚人的激增。這種針對車輛的網(wǎng)絡攻擊的新流行，是因為與幾年前相比，如今道路上聯(lián)網(wǎng)車輛的數(shù)量急劇增加，以及車輛網(wǎng)絡黑客知識和工具的激增。通過廣泛連接的無線網(wǎng)絡，數(shù)據(jù)收集的增加產(chǎn)生了攻擊向量，從 OEM 后端服務器到車輛電子控制單元(ecu)，甚至是信息娛樂單元的藍牙功能。

現(xiàn)代汽車需要超過 1 億行代碼才能運行。大部分代碼都進入了車輛的固件和軟件，支持導航、USB、CarPlay、SOS 功能等。這些信息娛樂系統(tǒng)還為犯罪分子打開了通往汽車 ECU 的大門，危及生命并危及對車輛的控制。

制造商需要注意許多代碼漏洞，并且隨著信息娛樂系統(tǒng)繼續(xù)變得更加復雜和精密，將會發(fā)現(xiàn)更多漏洞。

暴力網(wǎng)絡攻擊

另一種影響汽車行業(yè)的常見攻擊類型是老式的暴力網(wǎng)絡攻擊。汽車行業(yè)中連接和自動化的車輛和企業(yè)面臨的許多威脅，與常見的云安全威脅相似 ，但這并沒有降低它們的破壞性。

暴力攻擊是針對網(wǎng)絡的久經(jīng)考驗的真實網(wǎng)絡攻擊，目的是破解憑據(jù)。在汽車行業(yè)中，暴力攻擊可能會產(chǎn)生深遠的影響。制造商、經(jīng)銷商和所有者都可能成為此類攻擊的受害者。當憑據(jù)遭到破壞時，整個系統(tǒng)很容易成為復雜攻擊的目標，最終可能導致固件故障、大規(guī)模數(shù)據(jù)泄露和車輛盜竊。

網(wǎng)絡釣魚攻擊

黑客獲取進入目標網(wǎng)絡的憑據(jù)的另一種方法是通過網(wǎng)絡釣魚等社會工程學攻擊。攻擊者將向汽車公司員工發(fā)送一封電子郵件，他們在其中冒充受信任的發(fā)件人，并附有官方外觀的 HTML 和簽名。有時攻擊者會直接要求提供憑據(jù)，但通常情況下，攻擊者會在電子郵件中放置一個帶有惡意代碼的鏈接。

當接收者點擊鏈接時，惡意代碼被執(zhí)行，網(wǎng)絡犯罪分子可以在目標系統(tǒng)中自由漫游，訪問敏感數(shù)據(jù)，并從內(nèi)部進行進一步的攻擊。

受損的售后市場設備

保險加密狗、智能手機和其他第三方連接設備也對汽車行業(yè)構成網(wǎng)絡安全威脅。這些售后市場設備直接連接到車輛系統(tǒng)，為黑客提供了另一種發(fā)起攻擊的方式。

對于那些想購買二手車的人來說，這種威脅也需要考慮很多。許多人選擇通過汽車經(jīng)銷商出售或交易二手車，消費者可以在經(jīng)銷商那里找到二手車的交易。聯(lián)網(wǎng)設備可能會在汽車系統(tǒng)中留下惡意軟件和后門程序，讓下一位車主也面臨風險。

勒索軟件

勒索軟件是當今科技領域最普遍的威脅之一。不幸的是，汽車行業(yè)也不例外。勒索軟件對汽車行業(yè) 是一個重大威脅，包括原始設備制造商、消費者和經(jīng)銷商。歷史上汽車行業(yè)遭受了多次勒索軟件攻擊，原始設備制造商、一級公司和汽車服務提供商繼續(xù)成為威脅行為者的目標。例如2021年2月針對亞洲原始設備制造商的攻擊，DoppelPaymer 團伙要求用 2000萬美元換取解密器。此外，在 OEM 能夠解決該問題之前，客戶有好幾天無法購買車輛。另一起事件發(fā)生在2021年2月，當時東歐的一家汽車共享服務公司遭到勒索軟件攻擊，包括該公司客戶在內(nèi)的11萬人的個人數(shù)據(jù)被泄露到一個在線黑客網(wǎng)站，并在一個在線暗網(wǎng)論壇上發(fā)布出售。被盜數(shù)據(jù)包括用戶名、個人識別號碼、電話號碼、電子郵件和家庭地址、駕照號碼和加密密碼。

勒索軟件攻擊幾乎占了過去一年所有黑帽黑客攻擊的三分之一。這些攻擊通常以公司的IT服務器為目標，試圖敲詐企業(yè)。盡管如此，有必要承認，如果他們可以訪問后端it服務器，他們也可以控制系統(tǒng)并促進對車輛的攻擊。上述攻擊破壞了美國所有OEM經(jīng)銷商的服務，以及OEM的鏈接應用程序、電話服務、支付系統(tǒng)和經(jīng)銷商使用的內(nèi)部網(wǎng)站

威脅行為者可以劫持組織的數(shù)據(jù)作為人質(zhì)，以換取大筆贖金。如果沒有合適的信用保護服務，汽車企業(yè)可能會陷入財務困境。這些攻擊會影響 IT 系統(tǒng)和運營，并可能導致代價高昂的停機。

汽車供應鏈攻擊

汽車行業(yè)利用復雜的供應鏈采購用于制造新車、進行維修和提供服務的組件。這個供應鏈給行業(yè)帶來了巨大的風險，因為每個連接的端點都是一個等待發(fā)生的漏洞。

現(xiàn)代汽車每輛車大約有 100個 ECU。其中許多都是由可信的Tier-1、Tier-2和外圍供應商生產(chǎn)的。每一個都很重要，但每一個都有可能讓黑客滲透內(nèi)部系統(tǒng)，獲取其他車輛的信息，訪問中央服務器，甚至傷害司機或乘客。在汽車行業(yè)，汽車原始設備制造商及其供應鏈公司和供應商可能難以遵循和管理產(chǎn)品的材料清單，無論是信息娛樂系統(tǒng)還是特定的ECU。因此，聯(lián)網(wǎng)汽車的硬件組件中可能包含軟件漏洞。這些供應商制造的部件會在OEM無法正確識別漏洞來源的情況下進入車輛。即使消費者確實想要車輛部件的詳細信息，追蹤它們也將是一項艱巨的任務。

但供應鏈攻擊也會波及消費者。包含惡意代碼的更新補丁可以推送到互聯(lián)汽車，壞人可以破壞固件，惡意軟件可以讓供應商的運營完全停止。在直接關系到消費者健康和福祉的問題上，消費者別無選擇，只能信任汽車制造商和監(jiān)管機構。通常情況下，原始設備制造商和聯(lián)邦機構甚至無法獲得深入的部件數(shù)據(jù)和它們構成的潛在威脅。例如，2021年1月，一名黑客成功入侵了一家歐洲一級巨頭用于亞洲主要OEM汽車的信息娛樂單元。他們發(fā)現(xiàn)了信息娛樂系統(tǒng)的一個漏洞。通過插入USB設備，他們可以獲得系統(tǒng)的root shell訪問權限，并獲得管理員訪問權限，以安裝未經(jīng)授權的軟件。黑客發(fā)現(xiàn)，歐洲生產(chǎn)的信息娛樂系統(tǒng)漏洞還可能影響到2015年以后生產(chǎn)的另外四款車型和商業(yè)車型。

此外，只在汽車行業(yè)使用的二級供應商芯片上發(fā)現(xiàn)了100多個漏洞。這些芯片最終被放入一級產(chǎn)品中，而一級產(chǎn)品又被放入車輛中。這些漏洞可能會影響多個OEM，因為一個一級供應商可能向眾多OEM提供產(chǎn)品，而一個二級供應商可能為多個一級供應商提供服務。此外，在2021年8月，一份研究報告披露，一家二級供應商已確認存在一個漏洞，允許攻擊者獲得對北美電動汽車OEM自動駕駛系統(tǒng)代碼執(zhí)行的特權控制。這種攻擊包括解鎖一個引導加載程序，通常對消費者禁用，用于實驗室條件。這種攻擊也適用于歐洲OEM的信息娛樂系統(tǒng)，因為它也使用了二級供應商的硬件。

行業(yè)該如何確保汽車安全

網(wǎng)絡安全應該是整個汽車生命周期的中心目標。但同樣重要的是，汽車制造商要提高網(wǎng)絡安全專業(yè)知識，以監(jiān)控道路上的聯(lián)網(wǎng)和自動駕駛車輛。

美國國家公路交通安全管理局 (NHTSA) 最近發(fā)布了其推薦的現(xiàn)代車輛網(wǎng)絡安全最佳實踐，以幫助加強車輛的底層數(shù)據(jù)架構并防止?jié)撛诘墓簟?/p>

他們表示，汽車行業(yè)應遵循美國國家標準與技術研究院 (NIST) 的網(wǎng)絡安全框架，該框架側(cè)重于五個關鍵功能：識別、保護、檢測、響應和恢復。NHTSA 針對車輛的建議是基于了 NIST 框架，但卻是專門針對汽車行業(yè)編寫。

最后，聯(lián)邦貿(mào)易委員會 (FTC) 還制定了針對聯(lián)網(wǎng)和自動駕駛車輛的法規(guī)。根據(jù)新的保障規(guī)則，經(jīng)銷商應在 2023 年 6 月之前滿足其組織和車輛的網(wǎng)絡安全合規(guī)要求。

最后的想法

汽車制造商、銷售商、消費者、供應商、維修商和業(yè)內(nèi)所有其他人在 2023 年及以后提高聯(lián)網(wǎng)汽車的安全性方面發(fā)揮著關鍵作用。

編輯：黃飛

?