360为智能网联汽车“新四化”保驾护航就安全方

时 间:2020-04-11 11:23    

    

  3月24日,360发布了《2019年智能网联汽车信息安全年度报告》(下称《报告》),这是360连续第五年发布智能网联汽车信息安全年度报告。报告梳理了智能网联汽车网络安全方面的进展,同时针对2019年新出现的安全问题构建主动纵深防御策略,为智能网联汽车“新四化”保驾护航。

  通信模组是导致批量控车发生的根源。2019年8月,百度公司在BlackHat世界黑客大会上,公布了黑客可以通过APN直接访问车厂后台核心网内的资源,从而进行控制车辆的方法。2019年12月,360智能网联汽车安全实验室在与梅赛德斯奔驰的研究中也是利用了此类的漏洞,使用新型手段,实现批量远程开闭车门,启动关闭引擎等控车操作,影响200余万辆奔驰汽车。

  360智能网联汽车安全实验室在发现此类新型方法以后,就投入了对安全通信模组的研发。通过对传统通信模组进行了升级,在原有模组的基础架构之上,增加了安全芯片建立安全存储机制。集成了TEE关键应用服务在安全中运行,并嵌入了入侵检测与防护模块,提供在TCU端侧上的安全,检测异常行为,跟者进行动态的攻防对抗。通过主动防御的方式,抵御新型车联网。

  经过大量的研究分析,大部分车厂均存在类似的安全漏洞,且无法到此类新型的发生,360智能网联汽车安全实验室的安全通信模组则显得尤为必要。

  《报告》分析了2019年发生的多起汽车安全事件,涵盖了针对通信模组,PKES车钥匙,TSP服务器,手机APP等漏洞的利用,黑客不仅发掘了更多的智能网联汽车面,同时对各个面的研究程度也愈发深入。

  英国博勒姆伍德地区,两个小偷在30 秒内使用中继设备,在没有钥匙的情况下成功实现盗窃特斯拉 Model S。

  以数字车钥匙系统的事件为例,有通过中继的方式,将钥匙的信号进行放大,使钥匙收到并响应汽车短距离内的射频信号,从而完成一个完整的挑战应答通讯过程,最终盗取车辆。也有通过研究PKES加密算法,破解车钥匙密钥的方式,利用算法漏洞,复制车钥匙的密钥,实现解锁车辆。

  从成本来看,黑客和安全研究人员制作的PKES车钥匙设备并不昂贵且易于携带,研究者声称复制车钥匙的破解工具只需要Raspberry Pi 3 Model B+,一个负责RFID嗅探及克隆的Proxmark3,Yard Stick One天线及一个用来供电的USB充电宝,总价不超过600美元,可轻易放置于背包中。而中继方式的车钥匙盗窃设备和教程,甚至可以在互联网上购买到。

  针对花样百出的黑客,智能网联汽车需要全新的安全测试模式。360智能网联汽车安全实验室结合安全情报,采用黑盒测试方式,完全模拟黑客的手段,根据车联网“云”、“管”、“端”的三大面结构,结合各个零部件/系统的安全问题,进行整车级安全测试,综合判断安全问题危害及影响范围,合理提出安全,从黑客的视角提供全面的渗透测试服务。

  2020年是汽车网络安全标准全面铺开的一年,ISO/SAE 21434将提供方指导汽车产业链建设系统化的网络安全体系,ITU-T(国际电信联盟电信标准)、SAC/TC114/SC34(全国汽车标准化技术委员会的智能网联汽车分技术委员会)、SAC/TC260(信息技术安全标准化技术委员会)、CCSA(中国通信标准化协会)等组织和联盟的一系列汽车网络安全技术标准,给安全技术落地提供了参考。

  但是目前安全标准大多提供的是基线的安全要求,在动态变化的网络安全下,仅遵循标准,使用密码应用等被动防御机制还远远不够。新兴方式层出不穷,需要构建安全防护体系,增强安全等主动防御能力。《报告》为汽车厂商、供应商、服务提供商提出了五点:

  1、供应链车企厂商应将定期的网络安全渗透测试应作为一项至关重要的评判标准,从质量体系,技术能力和管理水平等方面综合评估供应商。

  2、遵循汽车网络安全标准,建立企业的网络安全体系,培养网络安全文化,建立监管机制,在全生命周期开展网络安全活动。

  3、被动防御方案无法应对新兴网络安全手段,因此需要部署安全通信模组、安全汽车网关等新型安全防护产品,对异常流量、IP地址、系统行为等进行实时,主动发现行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。

  4、网络安全瞬息万变,安全运营平台可通过监测车联网端、管、云数据,结合精准的安全情报对安全事件进行溯源、分析,及时发现并修复已知漏洞。在安全大数据的支撑下,安全运营平台不断迭代检测策略,优化安全事件处置机制,并将车联网海量数据进行可视化呈现,实时掌握车辆的网络安全态势。

  5、良好的汽车安全生态建设依赖精诚合作,术业有专攻,互联网企业和安全公司依托在传统IT领域的技术沉淀和积累,紧跟汽车网络安全快速发展的脚步,对相关汽车电子电气产品和解决方案有独到的钻研和见解。汽车产业的这场“软件定义车辆”的大变革,只有产业链条上下游企业各司其职,各取所长,形成合力,才能共同将汽车网络安全提升到层次化的“主动纵深防御”新高度。


 

Copyright © 2010-2011 广州fun88乐天堂信息科技有限公司 All rights reserved. 冀ICP备15006456号-5 网站地图