360發(fā)布《2019智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》

3月24日，360春耕行動(dòng)推出智能網(wǎng)聯(lián)汽車專場，以線上發(fā)布會(huì)形式邀請(qǐng)近20家媒體共同參與，正式發(fā)布《2019智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》（以下簡稱《報(bào)告》）。

《報(bào)告》從智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全發(fā)展趨勢，新興攻擊手段，汽車安全攻擊事件，汽車安全風(fēng)險(xiǎn)總結(jié)和安全建設(shè)建議等方面對(duì)2019年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展做了梳理。

2019年，車聯(lián)網(wǎng)出現(xiàn)了兩種新型攻擊方式，大部分車廠將失守，數(shù)字車鑰匙漏洞也打開了汽車安全的潘多拉盒子，而汽車網(wǎng)絡(luò)安全的黃金分割點(diǎn)在于對(duì)供應(yīng)商的安全管理，《報(bào)告》建議車聯(lián)網(wǎng)安全要從正反兩面去考慮，做主動(dòng)防御。　

《報(bào)告》指出，通信模組是導(dǎo)致批量控車發(fā)生的根源，汽車廠商應(yīng)該遵循即將落地的汽車網(wǎng)絡(luò)安全系列標(biāo)準(zhǔn)，執(zhí)行嚴(yán)格的供應(yīng)鏈管理機(jī)制，定期進(jìn)行滲透測試，持續(xù)監(jiān)控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

智能網(wǎng)聯(lián)汽車向多元發(fā)展邁進(jìn)

2019 年，我國汽車產(chǎn)銷分別為 2572.1 萬輛和 2576.9 萬輛，同比分別下降 7.5％和 8.2％，但產(chǎn)業(yè)下滑幅度有所收窄。汽車產(chǎn)業(yè)也進(jìn)入了轉(zhuǎn)變發(fā)展方式、優(yōu)化產(chǎn)業(yè)結(jié)構(gòu)、由高速增長轉(zhuǎn)向高質(zhì)量發(fā)展的關(guān)鍵時(shí)期。以“電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化”為核心的汽車“新四化”趨勢，已成為政府、整車企業(yè)、汽車供應(yīng)商、科技企業(yè)及消費(fèi)者等各界的共識(shí)。

隨著“新四化”的不斷推進(jìn)，汽車原本幾千上萬數(shù)量的機(jī)械零部件，逐步被電機(jī)電控、動(dòng)力電池、整車控制器等在內(nèi)的“三電”系統(tǒng)取代。同時(shí)新的業(yè)務(wù)場景催生出例如汽車 T-box，數(shù)字車鑰匙等在內(nèi)的電子電氣部件，這又衍生出了一系列新的網(wǎng)絡(luò)安全隱患?！秷?bào)告》從新一代 E/E 架構(gòu)面臨新的安全挑戰(zhàn)以及自動(dòng)駕駛算法與傳感器面臨的安全挑戰(zhàn)兩方面進(jìn)行了整體分析?！?/p>

2020 年國內(nèi)外圍繞汽車網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)將全面鋪開，總體上呈現(xiàn)出以自動(dòng)駕駛、V2X 等應(yīng)用場景為目標(biāo)抓手，指導(dǎo)汽車產(chǎn)業(yè)鏈在概念、開發(fā)、生產(chǎn)、運(yùn)維等各階段開展網(wǎng)絡(luò)安全活動(dòng)。

2019 年開始，不少車企與互聯(lián)網(wǎng)公司牽手，以戰(zhàn)略合作和共建實(shí)驗(yàn)室等方式攜手合作共同解決網(wǎng)絡(luò)安全問題，則意味著“新四化”的變革已經(jīng)沖出了汽車領(lǐng)域，朝著橫向和多元的發(fā)展空間并進(jìn)。

車聯(lián)網(wǎng)出現(xiàn)的新型攻擊方式近乎“通殺”

2019年，車聯(lián)網(wǎng)出現(xiàn)兩種新型攻擊方式，基于車載通信模組信息泄露的遠(yuǎn)程控制劫持攻擊以及基于生成式對(duì)抗網(wǎng)絡(luò)的自動(dòng)駕駛算法攻擊，這兩種新型攻擊方式能夠影響大部分車企?！?/p>

早在2018年，360就探索出了通過破解通信模組，利用私有APN滲透車企TSP平臺(tái)，從而實(shí)現(xiàn)批量遠(yuǎn)程控制車輛的攻擊方式。2019月12月，360與奔馳梅賽德斯奔馳共同發(fā)現(xiàn)并修復(fù)了19個(gè)引發(fā)此類攻擊的漏洞，其中包含6個(gè)CVE漏洞，影響在路車輛200余萬輛。雙方在RSA大會(huì)上共同對(duì)此次漏洞研究成果發(fā)表了演講，通信模組作為車輛與外界網(wǎng)絡(luò)連接的第一道防線，如果遭到黑客的破解，將會(huì)實(shí)現(xiàn)遠(yuǎn)程開閉車門車窗，啟動(dòng)關(guān)閉引擎等控車操作，威脅到用戶的生命財(cái)產(chǎn)安全。經(jīng)過大量研究發(fā)現(xiàn)，此類漏洞廣泛存在于車企的車聯(lián)網(wǎng)系統(tǒng)中，亟需引起廣大車企的關(guān)注。

基于生成式對(duì)抗網(wǎng)絡(luò)的自動(dòng)駕駛算法攻擊主要源于在深度學(xué)習(xí)模型訓(xùn)練過程中，缺失了對(duì)抗樣本這類特殊的訓(xùn)練數(shù)據(jù)。雖然深度機(jī)器學(xué)習(xí)代表了技術(shù)的未來方向，但在目前的實(shí)際運(yùn)用中，通過研究人員的實(shí)驗(yàn)證明，可以通過特定算法生成相應(yīng)的對(duì)抗樣本，直接攻擊圖像識(shí)別系統(tǒng)，神經(jīng)網(wǎng)絡(luò)算法仍存在一定的安全隱患，值得關(guān)注。

2019年智能網(wǎng)聯(lián)汽車十大安全事件

2019年，智能網(wǎng)聯(lián)汽車全球范圍內(nèi)出現(xiàn)了十大安全事件，包括基于通信模組的遠(yuǎn)程控制劫持攻擊，基于生成式對(duì)抗網(wǎng)絡(luò)（GAN）自動(dòng)駕駛算法攻擊，特斯拉PKES系統(tǒng)存在中繼攻擊威脅，特斯拉Model S/X WiFi協(xié)議存在緩存區(qū)溢出漏洞，共享汽車APP存在漏洞，基于激光雷達(dá)的自動(dòng)駕駛系統(tǒng)安全性存疑，Uber爆出存在賬號(hào)劫持漏洞，后裝汽車防盜系統(tǒng)存在漏洞，豐田汽車服務(wù)器遭到入侵，寶馬遭受APT攻擊。

《報(bào)告》通過對(duì)典型安全事件的分析，總結(jié)出當(dāng)前汽車安全的四大風(fēng)險(xiǎn)：汽車攻擊事件快速增長，攻擊手段層出不窮；智能網(wǎng)聯(lián)汽車缺乏異常檢測和主動(dòng)防御機(jī)制；數(shù)字鑰匙成為廣泛引起關(guān)注的新攻擊面；自動(dòng)駕駛算法和V2X系統(tǒng)將成為新的熱點(diǎn)攻擊目標(biāo)。

數(shù)字車鑰匙漏洞打開汽車安全的潘多拉盒子。數(shù)字車鑰匙可用于遠(yuǎn)程召喚，自動(dòng)泊車等新興應(yīng)用場景，這種多元化的應(yīng)用場景也導(dǎo)致數(shù)字鑰匙易受攻擊。數(shù)字車鑰匙的“短板效應(yīng)”顯著，身份認(rèn)證、加密算法、密鑰存儲(chǔ)、數(shù)據(jù)包傳輸?shù)热我画h(huán)節(jié)遭受黑客入侵，則會(huì)導(dǎo)致整個(gè)數(shù)字車鑰匙安全系統(tǒng)瓦解。目前常見的攻擊方式是通過中繼攻擊方式，將數(shù)字車鑰匙的信號(hào)放大，從而盜竊車輛。

2019 年，歐洲和美國相繼爆出通過中繼攻擊的方式對(duì)高端品牌車輛實(shí)施盜竊的事件，尤其是在英國地區(qū)，僅 2019 年前 10 個(gè)月就有超過 14000 多起針 PKES 系統(tǒng)的盜竊事件，相當(dāng)于每 38 分鐘就有一起此類盜竊案件發(fā)生。而小偷的作案時(shí)間通常不到 30 秒，作案工具中繼設(shè)備和攻擊教程甚至在網(wǎng)絡(luò)上也可以購買，這將對(duì)人身和財(cái)產(chǎn)安全造成極大的傷害。

智能網(wǎng)聯(lián)汽車安全建設(shè)五大建議

《報(bào)告》針對(duì)智能網(wǎng)聯(lián)汽車面臨的安全風(fēng)險(xiǎn)和隱患提出了五大安全建議。

第一、建立供應(yīng)商關(guān)鍵環(huán)節(jié)的安全責(zé)任體系，可以說汽車網(wǎng)絡(luò)安全的黃金分割點(diǎn)在于對(duì)供應(yīng)商的安全管理?！靶滤幕睂⒓铀僖患?jí)供應(yīng)商開發(fā)新產(chǎn)品，屆時(shí)也會(huì)有新一級(jí)供應(yīng)商加入主機(jī)廠采購體系，原有的供應(yīng)鏈格局將被重塑。供應(yīng)鏈管理將成為汽車網(wǎng)絡(luò)安全的新痛點(diǎn)，主機(jī)廠應(yīng)從質(zhì)量體系，技術(shù)能力和管理水平等多方面綜合評(píng)估供應(yīng)商。

第二、推行安全標(biāo)準(zhǔn)，夯實(shí)安全基礎(chǔ)。2020 年，將是汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全面鋪開的一年。根據(jù)ISO21434等網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，在概念、開發(fā)、生產(chǎn)、運(yùn)營、維護(hù)、銷毀等階段全面布局網(wǎng)絡(luò)安全工作，將風(fēng)險(xiǎn)評(píng)估融入汽車生產(chǎn)制造的全生命周期，建立完善的供應(yīng)鏈管理機(jī)制，參照電子電器零部件的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，定期進(jìn)行滲透測試，持續(xù)對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行監(jiān)控，并結(jié)合威脅情報(bào)進(jìn)行安全分析，開展態(tài)勢感知，從而有效地管理安全風(fēng)險(xiǎn)。

第三、構(gòu)建多維安全防護(hù)體系，增強(qiáng)安全監(jiān)控措施。被動(dòng)防御方案無法應(yīng)對(duì)新興網(wǎng)絡(luò)安全攻擊手段，因此需要在車端部署安全通信模組、安全汽車網(wǎng)關(guān)等新型安全防護(hù)產(chǎn)品，主動(dòng)發(fā)現(xiàn)攻擊行為，并及時(shí)進(jìn)行預(yù)警和阻斷，通過多節(jié)點(diǎn)聯(lián)動(dòng)，構(gòu)建以點(diǎn)帶面的層次化縱深防御體系。

第四、利用威脅情報(bào)及安全大數(shù)據(jù)提升安全運(yùn)營能力。網(wǎng)絡(luò)安全環(huán)境瞬息萬變，高質(zhì)量的威脅情報(bào)和持續(xù)積累的安全大數(shù)據(jù)可以幫助車企以較小的代價(jià)最大程度地提升安全運(yùn)營能力，從而應(yīng)對(duì)變化莫測的網(wǎng)絡(luò)安全挑戰(zhàn)。

第五、良好的汽車安全生態(tài)建設(shè)依賴精誠合作。術(shù)業(yè)有專攻，互聯(lián)網(wǎng)企業(yè)和安全公司依托在傳統(tǒng)IT領(lǐng)域的技術(shù)沉淀和積累，緊跟汽車網(wǎng)絡(luò)安全快速發(fā)展的腳步，對(duì)相關(guān)汽車電子電氣產(chǎn)品和解決方案有獨(dú)到的鉆研和見解。只有產(chǎn)業(yè)鏈條上下游企業(yè)形成合力，才能共同將汽車網(wǎng)絡(luò)安全提升到“主動(dòng)縱深防御”新高度，為“新四化”的成熟落地保駕護(hù)航。

360汽車安全大腦攔截攻擊35000次 全力守護(hù)智能網(wǎng)聯(lián)汽車

360公司致力于保護(hù)用戶網(wǎng)絡(luò)安全和出行安全，360安全大腦和智能網(wǎng)聯(lián)汽車安全大腦雙雙入圍工信部“新一代人工智能產(chǎn)業(yè)創(chuàng)新重點(diǎn)任務(wù)入圍揭榜單位”。截至目前，360汽車安全大腦共攔截攻擊35000次，為車廠提供安全評(píng)估，累積發(fā)現(xiàn)車聯(lián)網(wǎng)超500個(gè)安全問題，影響450萬輛智能汽車。

當(dāng)前，360已與國內(nèi)80%的主流汽車廠商合作，有超50萬輛路面上行駛的汽車接入360汽車安全大腦，獲得實(shí)時(shí)防護(hù)。此外，360還牽頭中國第一個(gè)汽車信息安全國際標(biāo)準(zhǔn)——ITU-T X.mdcv（基于大數(shù)據(jù)分析的聯(lián)網(wǎng)汽車異常行為安全檢測機(jī)制），參與ISO、汽標(biāo)委、信安標(biāo)委、通信標(biāo)委等10余項(xiàng)的汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定工作，累計(jì)申請(qǐng)汽車網(wǎng)絡(luò)安全相關(guān)專利30余項(xiàng)，全力守護(hù)智能網(wǎng)聯(lián)汽車安全。