3月24日，360發(fā)布了《2019年智能網(wǎng)聯(lián)汽車(chē)信息安全年度報(bào)告》（下稱《報(bào)告》），這是360連續(xù)第五年發(fā)布智能網(wǎng)聯(lián)汽車(chē)信息安全年度報(bào)告。報(bào)告梳理了智能網(wǎng)聯(lián)汽車(chē)網(wǎng)絡(luò)安全方面的進(jìn)展，同時(shí)建議針對(duì)2019年新出現(xiàn)的安全問(wèn)題構(gòu)建主動(dòng)縱深防御策略，為智能網(wǎng)聯(lián)汽車(chē)“新四化”保駕護(hù)航。

新攻擊手段來(lái)襲  360安全通信模組將解決大多數(shù)車(chē)廠難題

通信模組是導(dǎo)致批量控車(chē)發(fā)生的根源。2019年8月，百度公司在BlackHat世界黑客大會(huì)上，公布了黑客可以通過(guò)APN直接訪問(wèn)車(chē)廠后臺(tái)核心網(wǎng)內(nèi)的資源，從而進(jìn)行控制車(chē)輛的攻擊方法。2019年12月，360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室在與梅賽德斯奔馳的研究中也是利用了此類(lèi)的漏洞，使用新型攻擊手段，實(shí)現(xiàn)批量遠(yuǎn)程開(kāi)閉車(chē)門(mén)，啟動(dòng)關(guān)閉引擎等控車(chē)操作，影響200余萬(wàn)輛奔馳汽車(chē)。

360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室在發(fā)現(xiàn)此類(lèi)新型攻擊方法以后，就投入了對(duì)安全通信模組的研發(fā)。通過(guò)對(duì)傳統(tǒng)通信模組進(jìn)行了升級(jí)改造，在原有模組的基礎(chǔ)架構(gòu)之上，增加了安全芯片建立安全存儲(chǔ)機(jī)制。集成了TEE環(huán)境保護(hù)關(guān)鍵應(yīng)用服務(wù)在安全環(huán)境中運(yùn)行，并嵌入了入侵檢測(cè)與防護(hù)模塊，提供在TCU端側(cè)上的安全監(jiān)控，檢測(cè)異常行為，跟攻擊者進(jìn)行動(dòng)態(tài)的攻防對(duì)抗。通過(guò)主動(dòng)防御的方式，抵御新型車(chē)聯(lián)網(wǎng)攻擊。

經(jīng)過(guò)大量的研究分析，大部分車(chē)廠均存在類(lèi)似的安全漏洞，且無(wú)法感知到此類(lèi)新型攻擊的發(fā)生，360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室的安全通信模組則顯得尤為必要。

汽車(chē)攻擊花樣頻出  360打造黑客視角滲透測(cè)試服務(wù)

《報(bào)告》分析了2019年發(fā)生的多起汽車(chē)安全事件，涵蓋了針對(duì)通信模組，PKES車(chē)鑰匙，TSP服務(wù)器，手機(jī)APP等漏洞的利用，黑客不僅發(fā)掘了更多的智能網(wǎng)聯(lián)汽車(chē)攻擊面，同時(shí)對(duì)各個(gè)攻擊面的研究程度也愈發(fā)深入。

以數(shù)字車(chē)鑰匙系統(tǒng)的攻擊事件為例，有通過(guò)中繼攻擊的方式，將鑰匙的信號(hào)進(jìn)行放大，使鑰匙收到并響應(yīng)汽車(chē)短距離內(nèi)的射頻信號(hào)，從而完成一個(gè)完整的挑戰(zhàn)應(yīng)答通訊過(guò)程，最終盜取車(chē)輛。也有通過(guò)研究PKES加密算法，破解車(chē)鑰匙密鑰的方式，利用算法漏洞，復(fù)制車(chē)鑰匙的密鑰，實(shí)現(xiàn)解鎖車(chē)輛。

從攻擊成本來(lái)看，黑客和安全研究人員制作的PKES車(chē)鑰匙攻擊設(shè)備并不昂貴且易于攜帶，研究者聲稱復(fù)制車(chē)鑰匙的破解工具只需要Raspberry Pi 3 Model B+，一個(gè)負(fù)責(zé)RFID嗅探及克隆的Proxmark3，Yard Stick One天線及一個(gè)用來(lái)供電的USB充電寶，總價(jià)不超過(guò)600美元，可輕易放置于背包中。而中繼攻擊方式的車(chē)鑰匙盜竊設(shè)備和教程，甚至可以在互聯(lián)網(wǎng)上購(gòu)買(mǎi)到。

針對(duì)花樣百出的黑客攻擊，智能網(wǎng)聯(lián)汽車(chē)需要全新的安全測(cè)試模式。360智能網(wǎng)聯(lián)汽車(chē)安全實(shí)驗(yàn)室結(jié)合安全威脅情報(bào)，采用黑盒測(cè)試方式，完全模擬黑客攻擊的手段，根據(jù)車(chē)聯(lián)網(wǎng)“云”、“管”、“端”的三大面結(jié)構(gòu)，結(jié)合各個(gè)零部件/系統(tǒng)的安全問(wèn)題，進(jìn)行整車(chē)級(jí)安全測(cè)試，綜合判斷安全問(wèn)題危害及影響范圍，合理提出安全建議，從黑客的視角提供全面的滲透測(cè)試服務(wù)。

汽車(chē)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將全面鋪開(kāi)  360建議還需主動(dòng)縱深防御策略

2020年是汽車(chē)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全面鋪開(kāi)的一年，ISO/SAE 21434將提供方法論指導(dǎo)汽車(chē)產(chǎn)業(yè)鏈建設(shè)系統(tǒng)化的網(wǎng)絡(luò)安全體系，ITU-T（國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)分局）、SAC/TC114/SC34（全國(guó)汽車(chē)標(biāo)準(zhǔn)化技術(shù)委員會(huì)的智能網(wǎng)聯(lián)汽車(chē)分技術(shù)委員會(huì)）、SAC/TC260（信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)）、CCSA（中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)）等組織和聯(lián)盟的一系列汽車(chē)網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)，給安全技術(shù)落地提供了參考。

但是目前安全標(biāo)準(zhǔn)大多提供的是基線的安全要求，在動(dòng)態(tài)變化的網(wǎng)絡(luò)安全環(huán)境下，僅遵循標(biāo)準(zhǔn)，使用密碼應(yīng)用等被動(dòng)防御機(jī)制還遠(yuǎn)遠(yuǎn)不夠。新興攻擊方式層出不窮，需要構(gòu)建多維安全防護(hù)體系，增強(qiáng)安全監(jiān)控等主動(dòng)防御能力。

回顧2019年，汽車(chē)信息安全事件快速增長(zhǎng)，攻擊手段層出不窮，《報(bào)告》為汽車(chē)廠商、供應(yīng)商、服務(wù)提供商提出了五點(diǎn)建議：

1、供應(yīng)鏈車(chē)企廠商應(yīng)將定期的網(wǎng)絡(luò)安全滲透測(cè)試應(yīng)作為一項(xiàng)至關(guān)重要的評(píng)判標(biāo)準(zhǔn)，從質(zhì)量體系，技術(shù)能力和管理水平等方面綜合評(píng)估供應(yīng)商。

2、遵循汽車(chē)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，建立企業(yè)的網(wǎng)絡(luò)安全體系，培養(yǎng)網(wǎng)絡(luò)安全文化，建立監(jiān)管機(jī)制，在全生命周期開(kāi)展網(wǎng)絡(luò)安全活動(dòng)。

3、被動(dòng)防御方案無(wú)法應(yīng)對(duì)新興網(wǎng)絡(luò)安全攻擊手段，因此需要部署安全通信模組、安全汽車(chē)網(wǎng)關(guān)等新型安全防護(hù)產(chǎn)品，對(duì)異常流量、IP地址、系統(tǒng)行為等進(jìn)行實(shí)時(shí)監(jiān)控，主動(dòng)發(fā)現(xiàn)攻擊行為，并及時(shí)進(jìn)行預(yù)警和阻斷，通過(guò)多節(jié)點(diǎn)聯(lián)動(dòng)，構(gòu)建以點(diǎn)帶面的層次化縱深防御體系。

4、 網(wǎng)絡(luò)安全環(huán)境瞬息萬(wàn)變，安全運(yùn)營(yíng)平臺(tái)可通過(guò)監(jiān)測(cè)車(chē)聯(lián)網(wǎng)端、管、云數(shù)據(jù)，結(jié)合精準(zhǔn)的安全威脅情報(bào)對(duì)安全事件進(jìn)行溯源、分析，及時(shí)發(fā)現(xiàn)并修復(fù)已知漏洞。在安全大數(shù)據(jù)的支撐下，安全運(yùn)營(yíng)平臺(tái)不斷迭代檢測(cè)策略，優(yōu)化安全事件處置機(jī)制，并將車(chē)聯(lián)網(wǎng)海量數(shù)據(jù)進(jìn)行可視化呈現(xiàn)，實(shí)時(shí)掌握車(chē)輛的網(wǎng)絡(luò)安全態(tài)勢(shì)。

5、良好的汽車(chē)安全生態(tài)建設(shè)依賴精誠(chéng)合作，術(shù)業(yè)有專(zhuān)攻，互聯(lián)網(wǎng)企業(yè)和安全公司依托在傳統(tǒng)IT領(lǐng)域的技術(shù)沉淀和積累，緊跟汽車(chē)網(wǎng)絡(luò)安全快速發(fā)展的腳步，對(duì)相關(guān)汽車(chē)電子電氣產(chǎn)品和解決方案有獨(dú)到的鉆研和見(jiàn)解。汽車(chē)產(chǎn)業(yè)的這場(chǎng)“軟件定義車(chē)輛”的大變革，只有產(chǎn)業(yè)鏈條上下游企業(yè)各司其職，各取所長(zhǎng)，形成合力，才能共同將汽車(chē)網(wǎng)絡(luò)安全提升到層次化的“主動(dòng)縱深防御”新高度。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。