3月24日,360發(fā)布了《2019年智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》(下稱《報(bào)告》),這是360連續(xù)第五年發(fā)布智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告。報(bào)告梳理了智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全方面的進(jìn)展,同時(shí)建議針對(duì)2019年新出現(xiàn)的安全問(wèn)題構(gòu)建主動(dòng)縱深防御策略,為智能網(wǎng)聯(lián)汽車“新四化”保駕護(hù)航。
智能網(wǎng)聯(lián)汽車“新四化”
新攻擊手段來(lái)襲 360安全通信模組將解決大多數(shù)車廠難題
通信模組是導(dǎo)致批量控車發(fā)生的根源。2019年8月,百度公司在BlackHat世界黑客大會(huì)上,公布了黑客可以通過(guò)APN直接訪問(wèn)車廠后臺(tái)核心網(wǎng)內(nèi)的資源,從而進(jìn)行控制車輛的攻擊方法。2019年12月,360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室在與梅賽德斯奔馳的研究中也是利用了此類的漏洞,使用新型攻擊手段,實(shí)現(xiàn)批量遠(yuǎn)程開(kāi)閉車門,啟動(dòng)關(guān)閉引擎等控車操作,影響200余萬(wàn)輛奔馳汽車。
360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室在發(fā)現(xiàn)此類新型攻擊方法以后,就投入了對(duì)安全通信模組的研發(fā)。通過(guò)對(duì)傳統(tǒng)通信模組進(jìn)行了升級(jí)改造,在原有模組的基礎(chǔ)架構(gòu)之上,增加了安全芯片建立安全存儲(chǔ)機(jī)制。集成了TEE環(huán)境保護(hù)關(guān)鍵應(yīng)用服務(wù)在安全環(huán)境中運(yùn)行,并嵌入了入侵檢測(cè)與防護(hù)模塊,提供在TCU端側(cè)上的安全監(jiān)控,檢測(cè)異常行為,跟攻擊者進(jìn)行動(dòng)態(tài)的攻防對(duì)抗。通過(guò)主動(dòng)防御的方式,抵御新型車聯(lián)網(wǎng)攻擊。
經(jīng)過(guò)大量的研究分析,大部分車廠均存在類似的安全漏洞,且無(wú)法感知到此類新型攻擊的發(fā)生,360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室的安全通信模組則顯得尤為必要。
汽車攻擊花樣頻出 360打造黑客視角滲透測(cè)試服務(wù)
《報(bào)告》分析了2019年發(fā)生的多起汽車安全事件,涵蓋了針對(duì)通信模組,PKES車鑰匙,TSP服務(wù)器,手機(jī)APP等漏洞的利用,黑客不僅發(fā)掘了更多的智能網(wǎng)聯(lián)汽車攻擊面,同時(shí)對(duì)各個(gè)攻擊面的研究程度也愈發(fā)深入。
英國(guó)博勒姆伍德地區(qū),兩個(gè)小偷在30 秒內(nèi)使用中繼攻擊設(shè)備,在沒(méi)有鑰匙的情況下成功實(shí)現(xiàn)盜竊特斯拉 Model S。
以數(shù)字車鑰匙系統(tǒng)的攻擊事件為例,有通過(guò)中繼攻擊的方式,將鑰匙的信號(hào)進(jìn)行放大,使鑰匙收到并響應(yīng)汽車短距離內(nèi)的射頻信號(hào),從而完成一個(gè)完整的挑戰(zhàn)應(yīng)答通訊過(guò)程,最終盜取車輛。也有通過(guò)研究PKES加密算法,破解車鑰匙密鑰的方式,利用算法漏洞,復(fù)制車鑰匙的密鑰,實(shí)現(xiàn)解鎖車輛。
Model S 鑰匙 FOB 破解設(shè)備
從攻擊成本來(lái)看,黑客和安全研究人員制作的PKES車鑰匙攻擊設(shè)備并不昂貴且易于攜帶,研究者聲稱復(fù)制車鑰匙的破解工具只需要Raspberry Pi 3 Model B+,一個(gè)負(fù)責(zé)RFID嗅探及克隆的Proxmark3,Yard Stick One天線及一個(gè)用來(lái)供電的USB充電寶,總價(jià)不超過(guò)600美元,可輕易放置于背包中。而中繼攻擊方式的車鑰匙盜竊設(shè)備和教程,甚至可以在互聯(lián)網(wǎng)上購(gòu)買到。
針對(duì)花樣百出的黑客攻擊,智能網(wǎng)聯(lián)汽車需要全新的安全測(cè)試模式。360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室結(jié)合安全威脅情報(bào),采用黑盒測(cè)試方式,完全模擬黑客攻擊的手段,根據(jù)車聯(lián)網(wǎng)“云”、“管”、“端”的三大面結(jié)構(gòu),結(jié)合各個(gè)零部件/系統(tǒng)的安全問(wèn)題,進(jìn)行整車級(jí)安全測(cè)試,綜合判斷安全問(wèn)題危害及影響范圍,合理提出安全建議,從黑客的視角提供全面的滲透測(cè)試服務(wù)。
汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將全面鋪開(kāi) 360建議還需主動(dòng)縱深防御策略
2020年是汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全面鋪開(kāi)的一年,ISO/SAE 21434將提供方法論指導(dǎo)汽車產(chǎn)業(yè)鏈建設(shè)系統(tǒng)化的網(wǎng)絡(luò)安全體系,ITU-T(國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)分局)、SAC/TC114/SC34(全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)的智能網(wǎng)聯(lián)汽車分技術(shù)委員會(huì))、SAC/TC260(信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì))、CCSA(中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì))等組織和聯(lián)盟的一系列汽車網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn),給安全技術(shù)落地提供了參考。
《報(bào)告》為汽車廠商、供應(yīng)商、服務(wù)提供商提出了五點(diǎn)建議
但是目前安全標(biāo)準(zhǔn)大多提供的是基線的安全要求,在動(dòng)態(tài)變化的網(wǎng)絡(luò)安全環(huán)境下,僅遵循標(biāo)準(zhǔn),使用密碼應(yīng)用等被動(dòng)防御機(jī)制還遠(yuǎn)遠(yuǎn)不夠。新興攻擊方式層出不窮,需要構(gòu)建多維安全防護(hù)體系,增強(qiáng)安全監(jiān)控等主動(dòng)防御能力?!秷?bào)告》為汽車廠商、供應(yīng)商、服務(wù)提供商提出了五點(diǎn)建議:
1、供應(yīng)鏈車企廠商應(yīng)將定期的網(wǎng)絡(luò)安全滲透測(cè)試應(yīng)作為一項(xiàng)至關(guān)重要的評(píng)判標(biāo)準(zhǔn),從質(zhì)量體系,技術(shù)能力和管理水平等方面綜合評(píng)估供應(yīng)商。
2、遵循汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn),建立企業(yè)的網(wǎng)絡(luò)安全體系,培養(yǎng)網(wǎng)絡(luò)安全文化,建立監(jiān)管機(jī)制,在全生命周期開(kāi)展網(wǎng)絡(luò)安全活動(dòng)。
3、被動(dòng)防御方案無(wú)法應(yīng)對(duì)新興網(wǎng)絡(luò)安全攻擊手段,因此需要部署安全通信模組、安全汽車網(wǎng)關(guān)等新型安全防護(hù)產(chǎn)品,對(duì)異常流量、IP地址、系統(tǒng)行為等進(jìn)行實(shí)時(shí)監(jiān)控,主動(dòng)發(fā)現(xiàn)攻擊行為,并及時(shí)進(jìn)行預(yù)警和阻斷,通過(guò)多節(jié)點(diǎn)聯(lián)動(dòng),構(gòu)建以點(diǎn)帶面的層次化縱深防御體系。
4、網(wǎng)絡(luò)安全環(huán)境瞬息萬(wàn)變,安全運(yùn)營(yíng)平臺(tái)可通過(guò)監(jiān)測(cè)車聯(lián)網(wǎng)端、管、云數(shù)據(jù),結(jié)合精準(zhǔn)的安全威脅情報(bào)對(duì)安全事件進(jìn)行溯源、分析,及時(shí)發(fā)現(xiàn)并修復(fù)已知漏洞。在安全大數(shù)據(jù)的支撐下,安全運(yùn)營(yíng)平臺(tái)不斷迭代檢測(cè)策略,優(yōu)化安全事件處置機(jī)制,并將車聯(lián)網(wǎng)海量數(shù)據(jù)進(jìn)行可視化呈現(xiàn),實(shí)時(shí)掌握車輛的網(wǎng)絡(luò)安全態(tài)勢(shì)。
5、良好的汽車安全生態(tài)建設(shè)依賴精誠(chéng)合作,術(shù)業(yè)有專攻,互聯(lián)網(wǎng)企業(yè)和安全公司依托在傳統(tǒng)IT領(lǐng)域的技術(shù)沉淀和積累,緊跟汽車網(wǎng)絡(luò)安全快速發(fā)展的腳步,對(duì)相關(guān)汽車電子電氣產(chǎn)品和解決方案有獨(dú)到的鉆研和見(jiàn)解。汽車產(chǎn)業(yè)的這場(chǎng)“軟件定義車輛”的大變革,只有產(chǎn)業(yè)鏈條上下游企業(yè)各司其職,各取所長(zhǎng),形成合力,才能共同將汽車網(wǎng)絡(luò)安全提升到層次化的“主動(dòng)縱深防御”新高度。
責(zé)任編輯:gt
-
汽車電子
+關(guān)注
關(guān)注
3013文章
7740瀏覽量
164816 -
監(jiān)控
+關(guān)注
關(guān)注
6文章
2129瀏覽量
54885 -
模組
+關(guān)注
關(guān)注
6文章
1361瀏覽量
29944
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論