網(wǎng)絡(luò)安全或成未來智能網(wǎng)聯(lián)汽車的“命門”

比如，到2020年，中國智能汽車新車占比達到50%，每年將新增1000多萬輛聯(lián)網(wǎng)汽車上路，但是這些智能網(wǎng)聯(lián)汽車在上路時有沒有做好網(wǎng)絡(luò)安全？目前汽車網(wǎng)絡(luò)安全國際標準ISO/SAE 21434要到2020年10月左右才會公開發(fā)布，這意味著未來上路的1000多萬輛汽車是“裸奔”的，有可能會引發(fā)很多安全問題。

自2015年以來，有超過50次汽車黑客攻擊事件，對于黑客而言，汽車上將會有越來越多的數(shù)據(jù)，對其中有價值的數(shù)據(jù)進行攻擊獲取，將成為新常態(tài)。汽車之所以會成為被攻擊的對象，是因為汽車系統(tǒng)越來越復雜，導致其弱點也越來越突出。目前的高級別車型，甚至有超過150個ECU被使用，軟件代碼量也超過2億行。

2015年FCA在北美有一個黑客研究的項目，白帽黑客查理·米勒成功“越獄”，證明Jeep是可以被遠程操控，F(xiàn)CA為此在北美召回了140萬輛的自由光。代價是數(shù)月的時間和上億美元。

2014年，來自中國360安全團隊在全球首次成功破解特斯拉，當時團隊發(fā)現(xiàn)一種利用無線中繼攻擊可進入特斯拉無鑰匙系統(tǒng)。2018年2月底，科恩實驗室向?qū)汃R集團報告了寶馬3系、5系、7系、X系和I系列車型的安全問題。

特斯拉的Model S， Model X 和Model 3屢遭破解，公司首席執(zhí)行官埃隆·馬斯克對此表示特斯拉正在做出努力，以確保汽車不受互聯(lián)網(wǎng)“入侵”問題的影響，防止汽車被破解將成為公司的首要安全任務(wù)之一。

去年，大眾和奧迪汽車被曝出存在多處安全漏洞，這些漏洞可能允許攻擊者發(fā)起遠程攻擊行為。其中，部署部分車型的車載信息娛樂（IVI）系統(tǒng)中的漏洞可能會允許攻擊者遠程訪問麥克風、揚聲器以及導航系統(tǒng)。

越來越多的無線接口將出現(xiàn)在智能汽車上，預計到2020年將會有2.5億輛聯(lián)網(wǎng)的車輛行駛在道路上。從這一點上來看，逐漸豐富的車聯(lián)網(wǎng)也漸變成了孕育黑客的沃土。未來遠程攻擊的典型模型，將會是從網(wǎng)絡(luò)端開始，進入車載通訊模塊，然后黑掉TCU、OBD，進入到ADAS、IVI、Tbox的功能，最后影響剎車、車身相關(guān)控制等。

現(xiàn)實是，幾乎所有的OEM，在保證汽車安全的措施方面，唯一能做的就是不開放CAN協(xié)議，至于網(wǎng)絡(luò)信息安全，并不在其能力范圍內(nèi)，要做相關(guān)的防范，往往需要單獨配置安全研究人員。

去年8月，馬斯克在推特發(fā)布消息，特斯拉計劃向其他汽車廠商開放汽車安全軟件的源代碼，旨在通過眾人之力，提升汽車的安全性。而與此同時，通用汽車也發(fā)布了一項高額的漏洞懸賞計劃，要讓程序員們?yōu)槠渫诰驖撛诘木W(wǎng)絡(luò)安全問題和產(chǎn)品的潛在弱點。

這些都是真實存在的問題。

近日，SAE International和Synopsys, Inc.聯(lián)合發(fā)布了一份名為《保護現(xiàn)代汽車：汽車行業(yè)網(wǎng)絡(luò)安全實踐研究》的調(diào)查報告，該報告強調(diào)了影響汽車行業(yè)面向未來智能網(wǎng)聯(lián)的關(guān)鍵網(wǎng)絡(luò)安全挑戰(zhàn)和不足。

研究發(fā)現(xiàn)，84%的汽車專業(yè)人士擔心，他們所在機構(gòu)和公司的網(wǎng)絡(luò)安全研發(fā)跟不上不斷發(fā)展的技術(shù)。調(diào)查還發(fā)現(xiàn)，30%的公司沒有建立網(wǎng)絡(luò)安全項目或團隊，63%的公司測試不到一半的汽車安全漏洞技術(shù)。

在過去十年，SAE成員尋求應(yīng)對汽車系統(tǒng)開發(fā)生命周期的網(wǎng)絡(luò)安全挑戰(zhàn)，制定和推出了世界上第一個汽車網(wǎng)絡(luò)安全標準指南SAE J3061?，旨在通過統(tǒng)一全球標準，來推動汽車電氣系統(tǒng)與其他互聯(lián)系統(tǒng)之間安全流程的建立。

此次最新的調(diào)查則是基于未來應(yīng)對聯(lián)網(wǎng)、支持軟件更新的汽車安全風險的能力，調(diào)查對象來自全球汽車制造商、供應(yīng)商和服務(wù)提供商的593名專業(yè)人士。涉及領(lǐng)域包括信息娛樂系統(tǒng)、遠程信息處理、轉(zhuǎn)向系統(tǒng)、攝像頭、基于socket的組件、自動駕駛以及Wi-Fi和藍牙等射頻技術(shù)。

如何在整個系統(tǒng)開發(fā)生命周期和整個汽車供應(yīng)鏈上整體解決網(wǎng)絡(luò)安全問題，已經(jīng)成為全球汽車行業(yè)軟件、連接性和其他新興技術(shù)的普及，帶來了一個前所未有的關(guān)鍵風險：網(wǎng)絡(luò)安全。

在這份報告中，有四項結(jié)果值得行業(yè)關(guān)注和重視。

1、缺乏網(wǎng)絡(luò)安全技能和資源。超過一半的受訪者說，他們的公司沒有為網(wǎng)絡(luò)安全分配足夠的預算和人力資本，62%的人說他們不具備產(chǎn)品開發(fā)中必要的網(wǎng)絡(luò)安全技能。

2、目前， 大多數(shù)企業(yè)并沒有把主動的網(wǎng)絡(luò)安全測試作為重點。不到一半的公司有測試其產(chǎn)品的安全漏洞。與此同時，71%的人認為，在產(chǎn)品開發(fā)期限內(nèi)完成任務(wù)的壓力是導致安全漏洞的主要因素。

3、開發(fā)者需要網(wǎng)絡(luò)安全培訓。只有33%的受訪者表示，他們的公司有對開發(fā)人員進行了相關(guān)安全編碼方法的培訓。此外，60%的人說缺乏對安全編碼實踐的理解或培訓是導致漏洞的主要因素。

4、整個供應(yīng)鏈的網(wǎng)絡(luò)安全風險。73%的受訪者對第三方提供的汽車網(wǎng)絡(luò)安全技術(shù)表示擔憂。與此同時，只有44%的人表示，他們的公司對上游供應(yīng)商提供的產(chǎn)品提出了網(wǎng)絡(luò)安全要求。

眾所周知，如今的智能汽車是一臺聯(lián)網(wǎng)的移動電腦，它帶來了一個汽車行業(yè)幾乎沒有太多經(jīng)驗應(yīng)對的問題：網(wǎng)絡(luò)安全風險。而調(diào)查報告顯示，全球主要汽車制造商在產(chǎn)品網(wǎng)絡(luò)安全項目上平均只有不到9個人在負責，30%的受訪者表示，他們的公司沒有現(xiàn)成的產(chǎn)品安全計劃或團隊。

一直以來，汽車制造商嚴重依賴于數(shù)百家獨立供應(yīng)商提供的硬件和軟件組件，以交付最新的汽車技術(shù)和設(shè)計。

在未來，上下游之間的協(xié)作關(guān)系還會更加緊密，而73%的受訪者表示，他們非常擔心第三方提供的汽車技術(shù)的網(wǎng)絡(luò)安全狀況。

現(xiàn)在，汽車制造商及其供應(yīng)商必須要考慮聯(lián)網(wǎng)汽車對消費者隱私和安全意味著什么。隨著越來越多的聯(lián)網(wǎng)車輛上路，惡意黑客利用蜂窩網(wǎng)絡(luò)、Wi-Fi和物理連接來利用這些軟件漏洞的可能性越來越大。不解決這些風險可能是一個代價高昂的錯誤，包括它們可能對消費者信心、個人隱私和品牌聲譽造成的影響。

不過，眾多受訪者對網(wǎng)絡(luò)安全問題有著深刻的認識，并有強烈的改善愿望。令人擔憂的是，69%的受訪者認為自己沒有權(quán)力在公司高層那里提出他們的擔憂。

正如ISO9000和ISO26262等標準為汽車行業(yè)帶來了更高的質(zhì)量，嚴格的網(wǎng)絡(luò)安全措施對于新汽車技術(shù)的導入至關(guān)重要，同時保持質(zhì)量、安全和快速上市時間。

62%的受訪者表示，未來12個月內(nèi)，針對汽車網(wǎng)絡(luò)安全的惡意或驗證攻擊很有可能或非常有可能發(fā)生，超過一半(52%)的受訪者意識到，由于第三方或汽車制造商開發(fā)的不安全的汽車技術(shù)，可能導致致命的事故發(fā)生。主要原因在于汽車制造商和零部件制造商并沒有在產(chǎn)品開發(fā)過程中，比如從設(shè)計階段開始就進行安全性測試。

智能網(wǎng)聯(lián)汽車現(xiàn)在本質(zhì)上是一個移動計算機，包括控制系統(tǒng)（ADAS）、豐富的個人數(shù)據(jù)、信息娛樂和多種協(xié)議的無線通信。這種連接可以擴展到駕駛員的個人電子設(shè)備、其他車輛和基礎(chǔ)設(shè)施，并通過互聯(lián)網(wǎng)擴展到OEM和售后應(yīng)用程序，使它們成為網(wǎng)絡(luò)攻擊的目標。未經(jīng)授權(quán)的遠程訪問車輛網(wǎng)絡(luò)，以及攻擊者轉(zhuǎn)向安全關(guān)鍵系統(tǒng)的可能性，不僅會危及駕駛員的個人信息，還會危及他們的人身安全。

汽車工程師、產(chǎn)品開發(fā)人員和IT專業(yè)人員強調(diào)了幾個主要的安全問題領(lǐng)域，以及他們用來降低風險的安全控制。

被認為造成最大風險的技術(shù)是射頻技術(shù)、遠程信息技術(shù)和自動駕駛汽車，被視為構(gòu)成最大潛在的網(wǎng)絡(luò)安全風險，而在產(chǎn)品期限內(nèi)完成任務(wù)的壓力、缺乏對安全編碼實踐的理解/培訓以及意外編碼錯誤是導致技術(shù)漏洞的最常見因素。

OTA是近年來被引入解決軟件安全漏洞的工具之一，但只有39%的受訪者表示，他們的軟件更新模塊及時解決了關(guān)鍵的安全漏洞。此外，只有37%的人說他們會使用OAT更新來提供安全補丁，但超過50%的人說他們會在未來5年內(nèi)計劃這樣做。這表明有必要為安全OTA更新制定行業(yè)標準。

防火墻和網(wǎng)關(guān)是車輛中最常見的安全控制“大門”。不過，只有47%的公司在需求和設(shè)計階段或開發(fā)和測試階段評估安全漏洞。這一過程與SAE J3061?《網(wǎng)絡(luò)物理車輛系統(tǒng)網(wǎng)絡(luò)安全指南》的指導方針相悖，該指南主張在整個產(chǎn)品開發(fā)生命周期中采用基于風險、流程驅(qū)動的方法來實現(xiàn)網(wǎng)絡(luò)安全。

將安全性集成到產(chǎn)品開發(fā)中的優(yōu)勢不言而喻，可以比在后期應(yīng)用安全控制實現(xiàn)更高的安全性。同時，做到盡早識別風險和漏洞，并應(yīng)用適當?shù)陌踩刂?。此外，這是一種更有效的方式來應(yīng)用有限的網(wǎng)絡(luò)安全資源，并將網(wǎng)絡(luò)安全成本作為產(chǎn)品開發(fā)規(guī)程的關(guān)鍵部分加以規(guī)范。

受訪者表示，保護汽車最常見的技術(shù)是安全補丁管理(占比61%)、滲透測試(占比56%)和動態(tài)安全測試/DAST(占比49%)。有趣的是，這些都是產(chǎn)品生命周期后期使用的技術(shù)。這是網(wǎng)絡(luò)安全在整個系統(tǒng)開發(fā)生命周期(特別是在早期需求、設(shè)計、測試和開發(fā)階段)中沒有得到充分重視的體現(xiàn)。

汽車行業(yè)復雜的供應(yīng)鏈是導致整車質(zhì)量問題、造成安全漏洞的罪魁禍首。第三方硬件、軟件、通信協(xié)議和應(yīng)用程序的集成常常會引入OEM必須解決而又忽視的威脅因素。

找到人員、流程和技術(shù)的正確組合是成功的關(guān)鍵?，F(xiàn)有的解決辦法是加強目前從事安全專業(yè)人員以及能力，目前在行業(yè)內(nèi)已經(jīng)有一些相應(yīng)的共識和準則：

1、SAE J3061?Cyber-Physical車輛系統(tǒng)的網(wǎng)絡(luò)安全指南描述了一個網(wǎng)絡(luò)安全過程框架，面向車輛系統(tǒng)設(shè)計和構(gòu)建網(wǎng)絡(luò)安全。

2、網(wǎng)絡(luò)安全培訓也是一項至關(guān)重要的投資，它不僅針對受訪者在調(diào)查中分享的痛點，而且在未來很長一段時間內(nèi)還會帶來正向回報，有助于在整個企業(yè)建立一種安全文化。

3、SAE目前擁有多個網(wǎng)絡(luò)安全組織，制定標準、指導方針和最佳實踐，提供專業(yè)開發(fā)培訓。

通過密切關(guān)注開發(fā)生命周期的需求階段，可以解決甚至減輕安全風險。同時，需要汽車制造商與供應(yīng)商密切合作，以確定相關(guān)組件的設(shè)計或體系結(jié)構(gòu)中的安全漏洞。通過定期審查供應(yīng)商的網(wǎng)絡(luò)安全流程或?qū)?yīng)商協(xié)議實施網(wǎng)絡(luò)安全保證要求，以強化安全保障。

4、網(wǎng)絡(luò)安全不應(yīng)該在車型研發(fā)結(jié)束時作為額外附加，而應(yīng)該加入到整個產(chǎn)品開發(fā)生命周期的系統(tǒng)工程過程的每個步驟中——尤其是安全軟件開發(fā)生命周期(SSDLC)。