大数据时代的到来,让更多用户开始关注自身信息安全的保护。因此,多数用户在使用电脑,手机时都会将信息安全性能考虑在内。他们认为这已经足够了,可是其中的大多数人都忽略了一个至关重要的生活场景——汽车。

当前汽车产业正向智能网联发展,物联网时代万物互联。从智慧生态、云端的集群、数据链路、万物终端,这些无一例外都采集了大量驾乘人员的信息数据。而在未来,车与车之间互联,实现全生态的智能驾驶,控制逻辑和系统也将越来越复杂,对于用户数据的收集也将越发频繁。

危险:20倍、280余万次

今年1月,工信部组织召开部际联席会议2022年度工作会议强调,2022年是我国新能源汽车乘势而上、加快发展的关键一年,明确进一步强化安全监管,完善数据安全、网络安全等相关标准,加快构建系统、科学、规范的安全监管体系,提升新能源汽车本质安全水平。

近年来,智能网联汽车频遭黑客攻击,网络信息安全问题不容乐观。数据显示,在过去5年时间里,智能汽车被黑客攻击的次数增长了20倍,其中有27.6%的攻击涉及车辆控制。

据技术移动公司Upstream数据,2010年到2018年针对智能汽车的攻击数量激增了6倍。工信部车联网动态监测情况显示,2020年整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击已达到280余万次。

伴随着汽车电动化、网联化、智能化和共享化,车内功能大幅增加。由此,更多的信息安全接入点和风险点被暴露。如今,网络信息安全已成为智能网联汽车面临的最重大的安全风险之一。目前智能网联汽车很多技术方兴未艾,只有多方共同推进测试,才能推动中国方案的落地。

在智能网联汽车很多技术方兴未艾的当下,通过不断地渗透测试,或许成为了维护车企、供应商与用户网络信息安全的一个重要途径。

车联网时代降临,“黑客”请就位

黑客,图片来源:techxplore.com

途径:渗透测试,有道德的“黑客”

早在2016年,美国国家公路交通安全管理局(NHTSA)就意识到了网络信息安全问题将会成为掣肘汽车产业发展的一个重要因素,因此在当年发布了汽车网络安全指导文件,为车企如何网络安全问题提供了指南。

NHTSA认为网络安全问题应当是汽车厂商和供应商关注的重中之重,新车产品研发的过程中就该妥善处理。该机构指出车企和供应商应当进行“渗透测试”找到潜在的问题,测试结果报告要指出易受入侵的问题是如何解决的或解释测试漏洞无法解决的原因。

何为渗透测试?其是指安全专业人员在系统所有者的许可下,模拟对网络或计算机系统的攻击以评估其安全性的过程。不过,尽管是“模拟”攻击,但渗透测试员同样会把现实世界中攻击者的所有工具和技术都用到目标系统上,只是他们并不以发现的漏洞或获取的信息用来牟利,而是将结果上报给所有者,以帮助其提高系统安全性。

由于渗透测试人员遵循与恶意黑客相同的攻击策略,所以他们有时候被称为“道德黑客”或“白帽黑客”。渗透测试可以由团队或独立黑客进行,他们可能是目标公司的内部员工,也可能独立工作或为提供专业渗透测试服务的安全公司工作。

某种程度而言,智能网联汽车通过渗透测试,除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求之外,更重要的是可以最大限度地减小业务风险,将风险保持在可控范围之内,保障车企、供应商与用户三方的信息安全。

车联网时代降临,“黑客”请就位

图片来源:FUSA

方案:车联网大局下,供应商纷纷献策

渗透测试作为一种有效检测与维护汽车网络信息安全的方式,我国也有许多科技公司涉足该领域。

腾讯旗下的科恩实验室在PC 安全、移动终端安全等研究领域有十多年的积累,技术实力和研究成果达到了国际领先水平;近几年来,更是在智能网联汽车信息安全渗透测试中取得丰硕的成果。同样作为国内软件巨头的360在智能网联汽车安全方面打造了以360汽车安全大脑为核心,包括360车机管家、360汽车防火墙、车联网安全运营平台等为支撑的整套实时防护体系,同时360还长期跟踪国内外汽车信息安全标准,推动车联网安全标准化,参与讨论国际标准国内落地。

除了软件巨头,也有专门致力于解决车辆日益智能化发展所面临的网络安全问题的公司。为辰信安推出了系列化解决方案,覆盖IVI、TBOX覆盖IVI、TBOX、智能座舱、中央网关、自动驾驶、控制类型ECU等关键零部件,CAN/CANFD、Ethernet等通信协议,以及FOTA、蓝牙钥匙、远程控制等关键业务,拥有支持国际/国内密码算法的密码模块、IDPS、安全通信、可信执行环境等方面的基础产品,并提供网络安全方面的系列化测试工具,以及渗透测试和咨询等方面的安全服务。针对传统安全测试中漏洞检测低效且不完整。维克多则带来了一种使用更少测试案例的增强型灰盒渗透测试,能够在提高覆盖率的同时降低误报。

这些企业都致力于打造内容完备、成熟可靠,得到大量实际应用的智能网联汽车信息安全系统,并能够提供系统性的解决方案。 车联网时代降临,“黑客”请就位

车联网时代降临,“黑客”请就位车联网时代降临,“黑客”请就位

图片来源:360

展望:方兴未艾,企盼人才

渗透测试作为维护信息安全的一个重要途径,其对人才的需求量很大,而且这些工作不仅仅是在独立的安全公司,像微软这样的大型科技公司也都有完整的内部渗透测试团队。

北卡罗来纳州立大学的IT职业部门调查发现,仅2020年就有16,000个职位缺口。不过,需要注意的是,渗透测试和漏洞分析师的职业轨迹虽然有许多共同的技能,但漏洞分析师专注于应用程序和系统在开发中或部署之前发现安全性漏洞,而渗透测试人员则是探测活跃系统。与许多需求旺盛的技术安全岗位一样,渗透测试员可以获得可观的薪水。Infosec Institute 对美国各区域的薪酬和职位做出了很好的概述:总体而言,大多数渗透测试人员的预期工资都比较高。这显然是一份非常有潜力、也很有趣的工作。

维护信息安全被不断提及,但是据智联招聘调查,我国近年高校教育培养的信息安全专业人才仅5万余人,而信息安全相关人才总需求则超过100万人,缺口高达95%,并且这一需求每年都在成倍增长,人才短缺的问题也成为了掣肘产业发展的一个重要因素。

随着渗透测试被不断提及,智能网联汽车信息安全的重要性开始凸显,渗透测试也将促进汽车信息安全系统更快速地完善和落地。在完善与落地前夜,盖世汽车将于2022年3月17-18日举办2022中国汽车信息安全与功能安全大会,了解产业趋势,明确发展方向。

车联网时代降临,“黑客”请就位