360對智能網(wǎng)聯(lián)汽車提出五大安全建議

3月24日，360春耕行動推出智能網(wǎng)聯(lián)汽車專場，以線上發(fā)布會形式邀請近20家媒體共同參與，正式發(fā)布《2019智能網(wǎng)聯(lián)汽車信息安全年度報告》（以下簡稱《報告》）。

《報告》從智能網(wǎng)聯(lián)汽車網(wǎng)絡安全發(fā)展趨勢，新興攻擊手段，汽車安全攻擊事件，汽車安全風險總結和安全建設建議等方面對2019年智能網(wǎng)聯(lián)汽車信息安全的發(fā)展做了梳理。

2019年，車聯(lián)網(wǎng)出現(xiàn)了兩種新型攻擊方式，大部分車廠將失守，數(shù)字車鑰匙漏洞也打開了汽車安全的潘多拉盒子，而汽車網(wǎng)絡安全的黃金分割點在于對供應商的安全管理，《報告》建議車聯(lián)網(wǎng)安全要從正反兩面去考慮，做主動防御。

《報告》指出，通信模組是導致批量控車發(fā)生的根源，汽車廠商應該遵循即將落地的汽車網(wǎng)絡安全系列標準，執(zhí)行嚴格的供應鏈管理機制，定期進行滲透測試，持續(xù)監(jiān)控網(wǎng)絡安全風險。

智能網(wǎng)聯(lián)汽車向多元發(fā)展邁進

2019 年，我國汽車產(chǎn)銷分別為 2572.1 萬輛和 2576.9 萬輛，同比分別下降 7.5％和 8.2％，但產(chǎn)業(yè)下滑幅度有所收窄。汽車產(chǎn)業(yè)也進入了轉變發(fā)展方式、優(yōu)化產(chǎn)業(yè)結構、由高速增長轉向高質量發(fā)展的關鍵時期。以“電動化、智能化、網(wǎng)聯(lián)化、共享化”為核心的汽車“新四化”趨勢，已成為政府、整車企業(yè)、汽車供應商、科技企業(yè)及消費者等各界的共識。

隨著“新四化”的不斷推進，汽車原本幾千上萬數(shù)量的機械零部件，逐步被電機電控、動力電池、整車控制器等在內(nèi)的“三電”系統(tǒng)取代。同時新的業(yè)務場景催生出例如汽車 T-box，數(shù)字車鑰匙等在內(nèi)的電子電氣部件，這又衍生出了一系列新的網(wǎng)絡安全隱患?！秷蟾妗窂男乱淮?E/E 架構面臨新的安全挑戰(zhàn)以及自動駕駛算法與傳感器面臨的安全挑戰(zhàn)兩方面進行了整體分析。

2020 年國內(nèi)外圍繞汽車網(wǎng)絡安全的標準將全面鋪開，總體上呈現(xiàn)出以自動駕駛、V2X 等應用場景為目標抓手，指導汽車產(chǎn)業(yè)鏈在概念、開發(fā)、生產(chǎn)、運維等各階段開展網(wǎng)絡安全活動。

2019 年開始，不少車企與互聯(lián)網(wǎng)公司牽手，以戰(zhàn)略合作和共建實驗室等方式攜手合作共同解決網(wǎng)絡安全問題，則意味著“新四化”的變革已經(jīng)沖出了汽車領域，朝著橫向和多元的發(fā)展空間并進。

車聯(lián)網(wǎng)出現(xiàn)的新型攻擊方式近乎“通殺”

2019年，車聯(lián)網(wǎng)出現(xiàn)兩種新型攻擊方式，基于車載通信模組信息泄露的遠程控制劫持攻擊以及基于生成式對抗網(wǎng)絡的自動駕駛算法攻擊，這兩種新型攻擊方式能夠影響大部分車企。

早在2018年，360就探索出了通過破解通信模組，利用私有APN滲透車企TSP平臺，從而實現(xiàn)批量遠程控制車輛的攻擊方式。2019月12月，360與奔馳梅賽德斯奔馳共同發(fā)現(xiàn)并修復了19個引發(fā)此類攻擊的漏洞，其中包含6個CVE漏洞，影響在路車輛200余萬輛。雙方在RSA大會上共同對此次漏洞研究成果發(fā)表了演講，通信模組作為車輛與外界網(wǎng)絡連接的第一道防線，如果遭到黑客的破解，將會實現(xiàn)遠程開閉車門車窗，啟動關閉引擎等控車操作，威脅到用戶的生命財產(chǎn)安全。經(jīng)過大量研究發(fā)現(xiàn)，此類漏洞廣泛存在于車企的車聯(lián)網(wǎng)系統(tǒng)中，亟需引起廣大車企的關注。

基于生成式對抗網(wǎng)絡的自動駕駛算法攻擊主要源于在深度學習模型訓練過程中，缺失了對抗樣本這類特殊的訓練數(shù)據(jù)。雖然深度機器學習代表了技術的未來方向，但在目前的實際運用中，通過研究人員的實驗證明，可以通過特定算法生成相應的對抗樣本，直接攻擊圖像識別系統(tǒng)，神經(jīng)網(wǎng)絡算法仍存在一定的安全隱患，值得關注。

2019年智能網(wǎng)聯(lián)汽車十大安全事件

2019年，智能網(wǎng)聯(lián)汽車全球范圍內(nèi)出現(xiàn)了十大安全事件，包括基于通信模組的遠程控制劫持攻擊，基于生成式對抗網(wǎng)絡（GAN）自動駕駛算法攻擊，特斯拉PKES系統(tǒng)存在中繼攻擊威脅，特斯拉Model S/X WiFi協(xié)議存在緩存區(qū)溢出漏洞，共享汽車APP存在漏洞，基于激光雷達的自動駕駛系統(tǒng)安全性存疑，Uber爆出存在賬號劫持漏洞，后裝汽車防盜系統(tǒng)存在漏洞，豐田汽車服務器遭到入侵，寶馬遭受APT攻擊。

《報告》通過對典型安全事件的分析，總結出當前汽車安全的四大風險：汽車攻擊事件快速增長，攻擊手段層出不窮；智能網(wǎng)聯(lián)汽車缺乏異常檢測和主動防御機制；數(shù)字鑰匙成為廣泛引起關注的新攻擊面；自動駕駛算法和V2X系統(tǒng)將成為新的熱點攻擊目標。

數(shù)字車鑰匙漏洞打開汽車安全的潘多拉盒子。數(shù)字車鑰匙可用于遠程召喚，自動泊車等新興應用場景，這種多元化的應用場景也導致數(shù)字鑰匙易受攻擊。數(shù)字車鑰匙的“短板效應”顯著，身份認證、加密算法、密鑰存儲、數(shù)據(jù)包傳輸?shù)热我画h(huán)節(jié)遭受黑客入侵，則會導致整個數(shù)字車鑰匙安全系統(tǒng)瓦解。目前常見的攻擊方式是通過中繼攻擊方式，將數(shù)字車鑰匙的信號放大，從而盜竊車輛。

2019 年，歐洲和美國相繼爆出通過中繼攻擊的方式對高端品牌車輛實施盜竊的事件，尤其是在英國地區(qū)，僅 2019 年前 10 個月就有超過 14000 多起針 PKES 系統(tǒng)的盜竊事件，相當于每 38 分鐘就有一起此類盜竊案件發(fā)生。而小偷的作案時間通常不到 30 秒，作案工具中繼設備和攻擊教程甚至在網(wǎng)絡上也可以購買，這將對人身和財產(chǎn)安全造成極大的傷害。

智能網(wǎng)聯(lián)汽車安全建設五大建議

《報告》針對智能網(wǎng)聯(lián)汽車面臨的安全風險和隱患提出了五大安全建議。

第一、建立供應商關鍵環(huán)節(jié)的安全責任體系，可以說汽車網(wǎng)絡安全的黃金分割點在于對供應商的安全管理?！靶滤幕睂⒓铀僖患壒涕_發(fā)新產(chǎn)品，屆時也會有新一級供應商加入主機廠采購體系，原有的供應鏈格局將被重塑。供應鏈管理將成為汽車網(wǎng)絡安全的新痛點，主機廠應從質量體系，技術能力和管理水平等多方面綜合評估供應商。

第二、推行安全標準，夯實安全基礎。2020 年，將是汽車網(wǎng)絡安全標準全面鋪開的一年。根據(jù)ISO21434等網(wǎng)絡安全標準，在概念、開發(fā)、生產(chǎn)、運營、維護、銷毀等階段全面布局網(wǎng)絡安全工作，將風險評估融入汽車生產(chǎn)制造的全生命周期，建立完善的供應鏈管理機制，參照電子電器零部件的網(wǎng)絡安全標準，定期進行滲透測試，持續(xù)對網(wǎng)絡安全數(shù)據(jù)進行監(jiān)控，并結合威脅情報進行安全分析，開展態(tài)勢感知，從而有效地管理安全風險。

第三、構建多維安全防護體系，增強安全監(jiān)控措施。被動防御方案無法應對新興網(wǎng)絡安全攻擊手段，因此需要在車端部署安全通信模組、安全汽車網(wǎng)關等新型安全防護產(chǎn)品，主動發(fā)現(xiàn)攻擊行為，并及時進行預警和阻斷，通過多節(jié)點聯(lián)動，構建以點帶面的層次化縱深防御體系。

第四、利用威脅情報及安全大數(shù)據(jù)提升安全運營能力。網(wǎng)絡安全環(huán)境瞬息萬變，高質量的威脅情報和持續(xù)積累的安全大數(shù)據(jù)可以幫助車企以較小的代價最大程度地提升安全運營能力，從而應對變化莫測的網(wǎng)絡安全挑戰(zhàn)。

第五、良好的汽車安全生態(tài)建設依賴精誠合作。術業(yè)有專攻，互聯(lián)網(wǎng)企業(yè)和安全公司依托在傳統(tǒng)IT領域的技術沉淀和積累，緊跟汽車網(wǎng)絡安全快速發(fā)展的腳步，對相關汽車電子電氣產(chǎn)品和解決方案有獨到的鉆研和見解。只有產(chǎn)業(yè)鏈條上下游企業(yè)形成合力，才能共同將汽車網(wǎng)絡安全提升到“主動縱深防御”新高度，為“新四化”的成熟落地保駕護航。

360汽車安全大腦攔截攻擊35000次 全力守護智能網(wǎng)聯(lián)汽車

360公司致力于保護用戶網(wǎng)絡安全和出行安全，360安全大腦和智能網(wǎng)聯(lián)汽車安全大腦雙雙入圍工信部“新一代人工智能產(chǎn)業(yè)創(chuàng)新重點任務入圍揭榜單位”。截至目前，360汽車安全大腦共攔截攻擊35000次，為車廠提供安全評估，累積發(fā)現(xiàn)車聯(lián)網(wǎng)超500個安全問題，影響450萬輛智能汽車。

當前，360已與國內(nèi)80%的主流汽車廠商合作，有超50萬輛路面上行駛的汽車接入360汽車安全大腦，獲得實時防護。此外，360還牽頭中國第一個汽車信息安全國際標準——ITU-T X.mdcv（基于大數(shù)據(jù)分析的聯(lián)網(wǎng)汽車異常行為安全檢測機制），參與ISO、汽標委、信安標委、通信標委等10余項的汽車網(wǎng)絡安全標準的制定工作，累計申請汽車網(wǎng)絡安全相關專利30余項，全力守護智能網(wǎng)聯(lián)汽車安全。