LK分享｜智慧網聯汽車行業資訊保安現狀與威脅

隨著汽車邁向智慧化、網聯化、電動化和服務化之後，尤其是眾多的網聯介面，給智慧網聯汽車帶來的巨大的安全挑戰。雖然汽車行業的安全研究已經開展了很多年，但從整個行業來看，最佳實踐的缺失，安全標準的缺失，以及安全技術、方法論及其配套工具鏈等都未完全跟進，導致整個行業的安全現狀並沒有得到顯著的改變，尤其是OEM的變革相對滯後。

1。智慧網聯汽車行業安全挑戰

車聯網生態系統是車內網、車際網和車載移動網際網路三大部分組成，只有全面理解智慧網聯汽車的生態系統，才能真正理解汽車行業面臨的安全挑戰和風險。見圖1。

圖1 車聯網示意圖

到 2025 年，聯網汽車將佔全球汽車市場的近 86%，從而為駭客帶來許多易受攻擊的威脅點。網路攻擊和資料洩露事件將對汽車行業構成嚴重風險，因為它們直接影響駕駛員安全、資料隱私和服務連續性。

1。1

安全現狀1-龐大的產業鏈帶來的巨大安全隱患

車聯網產業鏈條長，跨越了汽車、電子、通訊、交通、車輛管理等多個行業和領域，在 Synopsys 和 SAE International 的一項新研究中，73% 的受訪者對第三方供應商的網路安全表示擔憂，但只有 44% 的受訪者表示他們的組織對上游供應商的產品提出了網路安全要求。在整個供應鏈體系任何一個環節被植入後門，都可能影響到整車的安全，而且極難排查。見圖2。在 Synopsys 和 SAE International 的一項新研究中，73% 的受訪者對第三方供應商的網路安全表示擔憂，但只有 44% 的受訪者表示他們的組織對上游供應商的產品提出了網路安全要求。

圖2 ：車聯網供應鏈示意圖

【什麼是供應鏈攻擊？軟體供應鏈攻擊是一種面向軟體開發人員和供應商的新興威脅。目標是透過感染合法應用分發惡意軟體來訪問原始碼、構建過程或更新機制】

一個供應鏈攻擊的案例：

2020年12月13日，FireEye釋出了關於SolarWinds供應鏈攻擊的通告，基礎網路管理軟體供應商SolarWinds Orion 軟體更新包中被駭客植入後門，並將其命名為SUNBURST，與其相關的攻擊事件被稱為 UNC2452。

【1】SolarWinds的客戶主要分佈在美國本土，不乏世界500強企業。本次供應鏈攻擊事件，波及範圍極大，包括政府部門，關鍵基礎設施以及多家全球500強企業，造成的影響目前無法估計。當地時間12月13日，FireEye釋出安全通告稱其在跟蹤一起被命名為UNC2452的攻擊活動中，發現了SolarWinds Orion軟體在2020年3-6月期間釋出的版本均受到供應鏈攻擊的影響。攻擊者在這段期間釋出的2019。4-2020。2。1版本中植入了惡意的後門應用程式。這些程式利用SolarWinds的數字證書繞過驗證，與攻擊者的通訊會偽裝成Orion Improvement Program（OIP）協議並將結果隱藏在眾多合法的外掛配置檔案中，從而達成隱藏自身的目的。與此同時，SolarWinds官方也釋出通告，承認其Orion平臺部分軟體更新中被駭客植入惡意軟體，提醒使用者儘快更新到不受影響的版本。

12月14日，SolarWinds在提交給美國證券交易委員會（SEC）的檔案中表示，在其30w+客戶中，大約有33，000名是Orion客戶，這其中大約又有18，000名客戶安裝了帶有後門的 Orion 軟體。同時SolarWinds稱入侵也損害了其Microsoft Office 365帳戶。

Google近日推出了一個軟體供應鏈安全框架：SLSA，目標是改善軟體行業安全狀況，尤其是開源軟體，以抵禦最緊迫的完整性威脅。

1。2

安全現狀2-智慧車攻擊面廣，遠端操控成為可能

移動網際網路上惡意應用程式數量1300萬，並以年複合增長率60%的速度增加。Android移動終端上，月均80~90萬用戶受到攻擊，如果這一數字放到智慧汽車上，那就產生災難性的影響，過去5年時間裡，汽車被攻擊的次數增長了20倍。

圖3：智慧車攻擊面示意圖

攻擊向量是駭客獲得訪問許可權的手段。單個事件可以包括多個攻擊向量。透過分析自2010年以來發生的事件，Upstream發現三種最常見的攻擊向量，分別是伺服器（Servers）、無鑰匙進入系統（Keyless entry systems）和移動應用程式（mobile apps）。下面的圖4數字表示使用每種攻擊向量事件的百分比。