查看原文
其他

汽车网络安全刻不容缓 | 智能网联汽车网络安全研究报告(2021版)

王健 盖世汽车社区 2022-10-27

加入盖世行业交流群,请加微信(盖世汽车西西:gasgoo222)出示名片,了解更多行业资讯


安全第一始终是汽车开发的核心理念和基本出发点。近年来,随着汽车联网越来越多,车辆受网络攻击的攻击面迅速增多,涉及到车端(含软件、通讯接口和硬件、网关、传感器等)、云端、APP端以及管端等多个途径,将加剧汽车网络安全的挑战,网络安全问题日益凸显。基于此,盖世开展了智能网联汽车网络安全产业的报告研究,希望给行业中的您带来一点收获和思考。



本报告的核心观点有:


▶ 汽车网络安全尚处于发展初期,整个行业网络安全水平相对较低。目前,云端服务、T-BOX、无线钥匙、IVI(车载娱乐系统)受网络安全攻击的风险相对较高。


▶ 政策重点要求加强云管端各个环节的安全防御同时要求建立全生命周期的安全管理和数据监管等,但行业监管和落地方案支撑不足是目前我国标准法规的现状。


▶ 单一单点的防护是无法满足车联网所面临的网络安全需求,车企需从网络安全的攻击链路和生命周期管理两个维度,构建云管端一体化纵向防御机制和全生命周期安全管理体系,开发系统化防御方案,来实现“进不来、看不懂、拿不走、改不了、存不下、瘫不成、赖不掉、及时响应补救”的防御目标。



本报告共分为四个部分:


第一部分为汽车网络安全发展现状,主要从概念、威胁和技术现状等角度进行阐述;


第二部分为汽车网络安全政策法规与行业标准,重点对国内外网络安全政策标准发展情况进行阐述;


第三部分为汽车网络安全技术发展趋势,重点从防御技术和目标,测试平台和全场景安全融合发展三个方面进行阐述;


第四部分为典型企业网络安全开发实践,重点列举了第三方供应商解决方案(如华为、东软NetEye、360政企安全、Upstream Security、盖瑞特等)。



网络安全并不是一个安全孤岛,而是一个系统工程。其主要包括终端设施安全、网络通信安全、数据安全和服务安全四个部分。其中,终端设施安全包含ECU、T-BOX、OBD、IVI、Wi-Fi和蓝牙接口等部件;网络通信安全包含车内网络与远程通信安全;数据安全主要包含个人信息、地图测绘信息以及车辆信息等敏感信息泄露风险;服务安全主要针对云端OTA服务、远程APP应用生态等带来的相关安全风险。



随着汽车新四化的快速发展,汽车将面临更多的网络安全风险。一方面是车内软件代码急剧增加,将在汽车内部形成巨大的系统漏洞。如高阶自动驾驶汽车的软件代码量将达到3亿-5亿行,即便汽车代码达到优异水平(每百万行代码缺陷或漏洞数量保持在600个以内),其代码漏洞都将达到18-30万个。另一方面汽车与外界的连接将逐渐增多,可被攻击面大幅增加,如手机APP、云端、车端接口、无线通讯接口、车端传感器/执行器/ECU和车载网络等。



从攻击手段来看,目前行业通过仿冒、篡改、抵赖、信息泄露、拒绝服务和特权提升等攻击手段去破坏车辆状态、用户、功能配置等汽车需保护的资产时常发生。如2015年,Charlie Miller和Chris Valasek两位安全专家,利用OBD接口向2014款Jeep自由光CAN总线发送大量不同指令,从而获取车辆的操控特权导致车辆失控落水,造成Jeep实行140万辆车型的紧急召回。



当智能网联汽车面对多样化的攻击入口和攻击手段,其实整个汽车的网络安全防不胜防。从中汽中心2021年对国内外80家车型的网络安全漏洞测试来看,当前车型网络安全漏洞数量非常多,包含严重漏洞和高危漏洞,整体安全水平较低。其中,自主车型漏洞主要聚焦在车端(如车内网络、T-BOX、IVI等),合资和进口安全漏洞主要聚焦在车外(如云服务和手机APP等),如果这些漏洞被有心利用将造成不可估量的损失。



具体来看,从Upstream Security对2010-2020年汽车网络安全各类攻击手段的统计结果发现,云端服务、无线钥匙和手机APP位于网络攻击的前三,受网络攻击的比例分别为32.94%、26.62%和9.9%,这些网络攻击主要涉及车端T-BOX、无线钥匙、IVI等主要零部件。后续车企在网络安全开发的过程中,需重点关注云端服务、T-BOX、无线钥匙和IVI等系统。




 本报告共34页PDF

原价1299

盖邦会员价999元 


识别下方二维码立即购买

-END-



如果喜欢本篇文章请给我点个在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存