360发布2019智能网联汽车信息安全报告 车联网安全要攻防平衡
3月24日,360发布了《2019年智能网联汽车信息安全年度报告》(下称《报告》),这是360连续第五年发布智能网联汽车信息安全年度报告。报告梳理了智能网联汽车网络安全方面的进展,同时建议针对2019年新出现的安全问题构建主动纵深防御策略,为智能网联汽车“新四化”保驾护航。
新攻击手段来袭 360安全通信模组将解决大多数车厂难题
通信模组是导致批量控车发生的根源。2019年8月,百度公司在BlackHat世界黑客大会上,公布了黑客可以通过APN直接访问车厂后台核心网内的资源,从而进行控制车辆的攻击方法。2019年12月,360智能网联汽车安全实验室在与梅赛德斯奔驰的研究中也是利用了此类的漏洞,使用新型攻击手段,实现批量远程开闭车门,启动关闭引擎等控车操作,影响200余万辆奔驰汽车。
360智能网联汽车安全实验室在发现此类新型攻击方法以后,就投入了对安全通信模组的研发。通过对传统通信模组进行了升级改造,在原有模组的基础架构之上,增加了安全芯片建立安全存储机制。集成了TEE环境保护关键应用服务在安全环境中运行,并嵌入了入侵检测与防护模块,提供在TCU端侧上的安全监控,检测异常行为,跟攻击者进行动态的攻防对抗。通过主动防御的方式,抵御新型车联网攻击。
经过大量的研究分析,大部分车厂均存在类似的安全漏洞,且无法感知到此类新型攻击的发生,360智能网联汽车安全实验室的安全通信模组则显得尤为必要。
汽车攻击花样频出 360打造黑客视角渗透测试服务
《报告》分析了2019年发生的多起汽车安全事件,涵盖了针对通信模组,PKES车钥匙,TSP服务器,手机APP等漏洞的利用,黑客不仅发掘了更多的智能网联汽车攻击面,同时对各个攻击面的研究程度也愈发深入。
以数字车钥匙系统的攻击事件为例,有通过中继攻击的方式,将钥匙的信号进行放大,使钥匙收到并响应汽车短距离内的射频信号,从而完成一个完整的挑战应答通讯过程,最终盗取车辆。也有通过研究PKES加密算法,破解车钥匙密钥的方式,利用算法漏洞,复制车钥匙的密钥,实现解锁车辆。
从攻击成本来看,黑客和安全研究人员制作的PKES车钥匙攻击设备并不昂贵且易于携带,研究者声称复制车钥匙的破解工具只需要Raspberry Pi 3 Model B+,一个负责RFID嗅探及克隆的Proxmark3,Yard Stick One天线及一个用来供电的USB充电宝,总价不超过600美元,可轻易放置于背包中。而中继攻击方式的车钥匙盗窃设备和教程,甚至可以在互联网上购买到。
针对花样百出的黑客攻击,智能网联汽车需要全新的安全测试模式。360智能网联汽车安全实验室结合安全威胁情报,采用黑盒测试方式,完全模拟黑客攻击的手段,根据车联网“云”、“管”、“端”的三大面结构,结合各个零部件/系统的安全问题,进行整车级安全测试,综合判断安全问题危害及影响范围,合理提出安全建议,从黑客的视角提供全面的渗透测试服务。
汽车网络安全标准将全面铺开 360建议还需主动纵深防御策略
2020年是汽车网络安全标准全面铺开的一年,ISO/SAE 21434将提供方法论指导汽车产业链建设系统化的网络安全体系,ITU-T(国际电信联盟电信标准分局)、SAC/TC114/SC34(全国汽车标准化技术委员会的智能网联汽车分技术委员会)、SAC/TC260(信息技术安全标准化技术委员会)、CCSA(中国通信标准化协会)等组织和联盟的一系列汽车网络安全技术标准,给安全技术落地提供了参考。
但是目前安全标准大多提供的是基线的安全要求,在动态变化的网络安全环境下,仅遵循标准,使用密码应用等被动防御机制还远远不够。新兴攻击方式层出不穷,需要构建多维安全防护体系,增强安全监控等主动防御能力。
回顾2019年,汽车信息安全事件快速增长,攻击手段层出不穷,《报告》为汽车厂商、供应商、服务提供商提出了五点建议:
1、供应链车企厂商应将定期的网络安全渗透测试应作为一项至关重要的评判标准,从质量体系,技术能力和管理水平等方面综合评估供应商。
2、遵循汽车网络安全标准,建立企业的网络安全体系,培养网络安全文化,建立监管机制,在全生命周期开展网络安全活动。
3、被动防御方案无法应对新兴网络安全攻击手段,因此需要部署安全通信模组、安全汽车网关等新型安全防护产品,对异常流量、IP地址、系统行为等进行实时监控,主动发现攻击行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。
4、 网络安全环境瞬息万变,安全运营平台可通过监测车联网端、管、云数据,结合精准的安全威胁情报对安全事件进行溯源、分析,及时发现并修复已知漏洞。在安全大数据的支撑下,安全运营平台不断迭代检测策略,优化安全事件处置机制,并将车联网海量数据进行可视化呈现,实时掌握车辆的网络安全态势。
5、良好的汽车安全生态建设依赖精诚合作,术业有专攻,互联网企业和安全公司依托在传统IT领域的技术沉淀和积累,紧跟汽车网络安全快速发展的脚步,对相关汽车电子电气产品和解决方案有独到的钻研和见解。汽车产业的这场“软件定义车辆”的大变革,只有产业链条上下游企业各司其职,各取所长,形成合力,才能共同将汽车网络安全提升到层次化的“主动纵深防御”新高度。
雷锋网 (公众号:雷锋网) 雷锋网
雷锋网版权文章,未经授权禁止转载。详情见。