大数据时代的到来,让更多用户开始关注自身信息安全的保护。因此,多数用户在使用电脑,手机时都会将信息安全性能考虑在内。他们认为这已经足够了,可是其中的大多数人都忽略了一个至关重要的生活场景——汽车。
当前汽车产业正向智能网联发展,物联网时代万物互联。从智慧生态、云端的集群、数据链路、万物终端,这些无一例外都采集了大量驾乘人员的信息数据。而在未来,车与车之间互联,实现全生态的智能驾驶,控制逻辑和系统也将越来越复杂,对于用户数据的收集也将越发频繁。
危险:20倍、280余万次
今年1月,工信部组织召开部际联席会议2022年度工作会议强调,2022年是我国新能源汽车乘势而上、加快发展的关键一年,明确进一步强化安全监管,完善数据安全、网络安全等相关标准,加快构建系统、科学、规范的安全监管体系,提升新能源汽车本质安全水平。
近年来,智能网联汽车频遭黑客攻击,网络信息安全问题不容乐观。数据显示,在过去5年时间里,智能汽车被黑客攻击的次数增长了20倍,其中有27.6%的攻击涉及车辆控制。
据技术移动公司Upstream数据,2010年到2018年针对智能汽车的攻击数量激增了6倍。工信部车联网动态监测情况显示,2020年整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击已达到280余万次。
伴随着汽车电动化、网联化、智能化和共享化,车内功能大幅增加。由此,更多的信息安全接入点和风险点被暴露。如今,网络信息安全已成为智能网联汽车面临的最重大的安全风险之一。目前智能网联汽车很多技术方兴未艾,只有多方共同推进测试,才能推动中国方案的落地。
在智能网联汽车很多技术方兴未艾的当下,通过不断地渗透测试,或许成为了维护车企、供应商与用户网络信息安全的一个重要途径。
黑客,图片来源:techxplore.com
途径:渗透测试,有道德的“黑客”
早在2016年,美国国家公路交通安全管理局(NHTSA)就意识到了网络信息安全问题将会成为掣肘汽车产业发展的一个重要因素,因此在当年发布了汽车网络安全指导文件,为车企如何网络安全问题提供了指南。
NHTSA认为网络安全问题应当是汽车厂商和供应商关注的重中之重,新车产品研发的过程中就该妥善处理。该机构指出车企和供应商应当进行“渗透测试”找到潜在的问题,测试结果报告要指出易受入侵的问题是如何解决的或解释测试漏洞无法解决的原因。
何为渗透测试?其是指安全专业人员在系统所有者的许可下,模拟对网络或计算机系统的攻击以评估其安全性的过程。不过,尽管是“模拟”攻击,但渗透测试员同样会把现实世界中攻击者的所有工具和技术都用到目标系统上,只是他们并不以发现的漏洞或获取的信息用来牟利,而是将结果上报给所有者,以帮助其提高系统安全性。
由于渗透测试人员遵循与恶意黑客相同的攻击策略,所以他们有时候被称为“道德黑客”或“白帽黑客”。渗透测试可以由团队或独立黑客进行,他们可能是目标公司的内部员工,也可能独立工作或为提供专业渗透测试服务的安全公司工作。
某种程度而言,智能网联汽车通过渗透测试,除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求之外,更重要的是可以最大限度地减小业务风险,将风险保持在可控范围之内,保障车企、供应商与用户三方的信息安全。
图片来源:FUSA
方案:车联网大局下,供应商纷纷献策
渗透测试作为一种有效检测与维护汽车网络信息安全的方式,我国也有许多科技公司涉足该领域。
腾讯旗下的科恩实验室在PC 安全、移动终端安全等研究领域有十多年的积累,技术实力和研究成果达到了国际领先水平;近几年来,更是在智能网联汽车信息安全渗透测试中取得丰硕的成果。同样作为国内软件巨头的360在智能网联汽车安全方面打造了以360汽车安全大脑为核心,包括360车机管家、360汽车防火墙、车联网安全运营平台等为支撑的整套实时防护体系,同时360还长期跟踪国内外汽车信息安全标准,推动车联网安全标准化,参与讨论国际标准国内落地。