360為智能網(wǎng)聯(lián)汽車“新四化”保駕護(hù)航，就安全方面提出五點(diǎn)建議

3月24日，360發(fā)布了《2019年智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》（下稱《報(bào)告》），這是360連續(xù)第五年發(fā)布智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告。報(bào)告梳理了智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全方面的進(jìn)展，同時(shí)建議針對(duì)2019年新出現(xiàn)的安全問(wèn)題構(gòu)建主動(dòng)縱深防御策略，為智能網(wǎng)聯(lián)汽車“新四化”保駕護(hù)航。

智能網(wǎng)聯(lián)汽車“新四化”

新攻擊手段來(lái)襲 360安全通信模組將解決大多數(shù)車廠難題

通信模組是導(dǎo)致批量控車發(fā)生的根源。2019年8月，百度公司在BlackHat世界黑客大會(huì)上，公布了黑客可以通過(guò)APN直接訪問(wèn)車廠后臺(tái)核心網(wǎng)內(nèi)的資源，從而進(jìn)行控制車輛的攻擊方法。2019年12月，360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室在與梅賽德斯奔馳的研究中也是利用了此類的漏洞，使用新型攻擊手段，實(shí)現(xiàn)批量遠(yuǎn)程開(kāi)閉車門，啟動(dòng)關(guān)閉引擎等控車操作，影響200余萬(wàn)輛奔馳汽車。

360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室在發(fā)現(xiàn)此類新型攻擊方法以后，就投入了對(duì)安全通信模組的研發(fā)。通過(guò)對(duì)傳統(tǒng)通信模組進(jìn)行了升級(jí)改造，在原有模組的基礎(chǔ)架構(gòu)之上，增加了安全芯片建立安全存儲(chǔ)機(jī)制。集成了TEE環(huán)境保護(hù)關(guān)鍵應(yīng)用服務(wù)在安全環(huán)境中運(yùn)行，并嵌入了入侵檢測(cè)與防護(hù)模塊，提供在TCU端側(cè)上的安全監(jiān)控，檢測(cè)異常行為，跟攻擊者進(jìn)行動(dòng)態(tài)的攻防對(duì)抗。通過(guò)主動(dòng)防御的方式，抵御新型車聯(lián)網(wǎng)攻擊。

經(jīng)過(guò)大量的研究分析，大部分車廠均存在類似的安全漏洞，且無(wú)法感知到此類新型攻擊的發(fā)生，360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室的安全通信模組則顯得尤為必要。

汽車攻擊花樣頻出 360打造黑客視角滲透測(cè)試服務(wù)

《報(bào)告》分析了2019年發(fā)生的多起汽車安全事件，涵蓋了針對(duì)通信模組，PKES車鑰匙，TSP服務(wù)器，手機(jī)APP等漏洞的利用，黑客不僅發(fā)掘了更多的智能網(wǎng)聯(lián)汽車攻擊面，同時(shí)對(duì)各個(gè)攻擊面的研究程度也愈發(fā)深入。

英國(guó)博勒姆伍德地區(qū)，兩個(gè)小偷在30 秒內(nèi)使用中繼攻擊設(shè)備，在沒(méi)有鑰匙的情況下成功實(shí)現(xiàn)盜竊特斯拉 Model S。

以數(shù)字車鑰匙系統(tǒng)的攻擊事件為例，有通過(guò)中繼攻擊的方式，將鑰匙的信號(hào)進(jìn)行放大，使鑰匙收到并響應(yīng)汽車短距離內(nèi)的射頻信號(hào)，從而完成一個(gè)完整的挑戰(zhàn)應(yīng)答通訊過(guò)程，最終盜取車輛。也有通過(guò)研究PKES加密算法，破解車鑰匙密鑰的方式，利用算法漏洞，復(fù)制車鑰匙的密鑰，實(shí)現(xiàn)解鎖車輛。

Model S 鑰匙 FOB 破解設(shè)備

從攻擊成本來(lái)看，黑客和安全研究人員制作的PKES車鑰匙攻擊設(shè)備并不昂貴且易于攜帶，研究者聲稱復(fù)制車鑰匙的破解工具只需要Raspberry Pi 3 Model B+，一個(gè)負(fù)責(zé)RFID嗅探及克隆的Proxmark3，Yard Stick One天線及一個(gè)用來(lái)供電的USB充電寶，總價(jià)不超過(guò)600美元，可輕易放置于背包中。而中繼攻擊方式的車鑰匙盜竊設(shè)備和教程，甚至可以在互聯(lián)網(wǎng)上購(gòu)買到。

針對(duì)花樣百出的黑客攻擊，智能網(wǎng)聯(lián)汽車需要全新的安全測(cè)試模式。360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室結(jié)合安全威脅情報(bào)，采用黑盒測(cè)試方式，完全模擬黑客攻擊的手段，根據(jù)車聯(lián)網(wǎng)“云”、“管”、“端”的三大面結(jié)構(gòu)，結(jié)合各個(gè)零部件/系統(tǒng)的安全問(wèn)題，進(jìn)行整車級(jí)安全測(cè)試，綜合判斷安全問(wèn)題危害及影響范圍，合理提出安全建議，從黑客的視角提供全面的滲透測(cè)試服務(wù)。

汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將全面鋪開(kāi) 360建議還需主動(dòng)縱深防御策略

2020年是汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全面鋪開(kāi)的一年，ISO/SAE 21434將提供方法論指導(dǎo)汽車產(chǎn)業(yè)鏈建設(shè)系統(tǒng)化的網(wǎng)絡(luò)安全體系，ITU-T（國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)分局）、SAC/TC114/SC34（全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)的智能網(wǎng)聯(lián)汽車分技術(shù)委員會(huì)）、SAC/TC260（信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)）、CCSA（中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)）等組織和聯(lián)盟的一系列汽車網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)，給安全技術(shù)落地提供了參考。

《報(bào)告》為汽車廠商、供應(yīng)商、服務(wù)提供商提出了五點(diǎn)建議

但是目前安全標(biāo)準(zhǔn)大多提供的是基線的安全要求，在動(dòng)態(tài)變化的網(wǎng)絡(luò)安全環(huán)境下，僅遵循標(biāo)準(zhǔn)，使用密碼應(yīng)用等被動(dòng)防御機(jī)制還遠(yuǎn)遠(yuǎn)不夠。新興攻擊方式層出不窮，需要構(gòu)建多維安全防護(hù)體系，增強(qiáng)安全監(jiān)控等主動(dòng)防御能力?！秷?bào)告》為汽車廠商、供應(yīng)商、服務(wù)提供商提出了五點(diǎn)建議：

1、供應(yīng)鏈車企廠商應(yīng)將定期的網(wǎng)絡(luò)安全滲透測(cè)試應(yīng)作為一項(xiàng)至關(guān)重要的評(píng)判標(biāo)準(zhǔn)，從質(zhì)量體系，技術(shù)能力和管理水平等方面綜合評(píng)估供應(yīng)商。

2、遵循汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，建立企業(yè)的網(wǎng)絡(luò)安全體系，培養(yǎng)網(wǎng)絡(luò)安全文化，建立監(jiān)管機(jī)制，在全生命周期開(kāi)展網(wǎng)絡(luò)安全活動(dòng)。

3、被動(dòng)防御方案無(wú)法應(yīng)對(duì)新興網(wǎng)絡(luò)安全攻擊手段，因此需要部署安全通信模組、安全汽車網(wǎng)關(guān)等新型安全防護(hù)產(chǎn)品，對(duì)異常流量、IP地址、系統(tǒng)行為等進(jìn)行實(shí)時(shí)監(jiān)控，主動(dòng)發(fā)現(xiàn)攻擊行為，并及時(shí)進(jìn)行預(yù)警和阻斷，通過(guò)多節(jié)點(diǎn)聯(lián)動(dòng)，構(gòu)建以點(diǎn)帶面的層次化縱深防御體系。

4、網(wǎng)絡(luò)安全環(huán)境瞬息萬(wàn)變，安全運(yùn)營(yíng)平臺(tái)可通過(guò)監(jiān)測(cè)車聯(lián)網(wǎng)端、管、云數(shù)據(jù)，結(jié)合精準(zhǔn)的安全威脅情報(bào)對(duì)安全事件進(jìn)行溯源、分析，及時(shí)發(fā)現(xiàn)并修復(fù)已知漏洞。在安全大數(shù)據(jù)的支撐下，安全運(yùn)營(yíng)平臺(tái)不斷迭代檢測(cè)策略，優(yōu)化安全事件處置機(jī)制，并將車聯(lián)網(wǎng)海量數(shù)據(jù)進(jìn)行可視化呈現(xiàn)，實(shí)時(shí)掌握車輛的網(wǎng)絡(luò)安全態(tài)勢(shì)。

5、良好的汽車安全生態(tài)建設(shè)依賴精誠(chéng)合作，術(shù)業(yè)有專攻，互聯(lián)網(wǎng)企業(yè)和安全公司依托在傳統(tǒng)IT領(lǐng)域的技術(shù)沉淀和積累，緊跟汽車網(wǎng)絡(luò)安全快速發(fā)展的腳步，對(duì)相關(guān)汽車電子電氣產(chǎn)品和解決方案有獨(dú)到的鉆研和見(jiàn)解。汽車產(chǎn)業(yè)的這場(chǎng)“軟件定義車輛”的大變革，只有產(chǎn)業(yè)鏈條上下游企業(yè)各司其職，各取所長(zhǎng)，形成合力，才能共同將汽車網(wǎng)絡(luò)安全提升到層次化的“主動(dòng)縱深防御”新高度。

責(zé)任編輯：gt