本文來自微信公眾號(hào)“信息化”,作者/九樂。
進(jìn)入2023年,隨著我們踏上邊緣計(jì)算的旅程,大多數(shù)行業(yè)都在數(shù)字化層面上發(fā)展。但汽車行業(yè)正在經(jīng)歷另一個(gè)層面的技術(shù)創(chuàng)新。聯(lián)網(wǎng)汽車產(chǎn)量的增加、新的自動(dòng)駕駛功能以及使汽車能夠自動(dòng)停車和自動(dòng)駕駛的軟件的興起,都是席卷汽車行業(yè)的數(shù)字化發(fā)展的典范。
根據(jù)AT&T 2022網(wǎng)絡(luò)安全洞察(CSI)報(bào)告,75%的組織計(jì)劃實(shí)施邊緣安全變革,以幫助減輕影響汽車、卡車、車隊(duì)和其他聯(lián)網(wǎng)車輛及其制造商的風(fēng)險(xiǎn)。并且有充分的理由。
在網(wǎng)絡(luò)攻擊方面,這些汽車功能和進(jìn)步為網(wǎng)絡(luò)犯罪分子提供了一系列新機(jī)會(huì)。威脅行為者以多種方式瞄準(zhǔn)汽車行業(yè),包括久經(jīng)考驗(yàn)的真實(shí)方法和新的攻擊媒介。
在本文中,您將了解進(jìn)入2023年汽車行業(yè)面臨的8大網(wǎng)絡(luò)安全威脅,以及該行業(yè)可以采取哪些措施來防止威脅。
汽車網(wǎng)絡(luò)安全威脅
近年來,針對(duì)汽車行業(yè)的網(wǎng)絡(luò)攻擊數(shù)量出現(xiàn)了驚人的激增。這種針對(duì)車輛的網(wǎng)絡(luò)攻擊的新流行,是因?yàn)榕c幾年前相比,如今道路上聯(lián)網(wǎng)車輛的數(shù)量急劇增加,以及車輛網(wǎng)絡(luò)黑客知識(shí)和工具的激增。通過廣泛連接的無線網(wǎng)絡(luò),數(shù)據(jù)收集的增加產(chǎn)生了攻擊向量,從OEM后端服務(wù)器到車輛電子控制單元(ECU),甚至是信息娛樂單元的藍(lán)牙功能。
隨著汽車越來越多地配備連接功能,遠(yuǎn)程威脅更有可能發(fā)生。最近的一份報(bào)告顯示,82%的針對(duì)汽車行業(yè)(包括消費(fèi)車輛、制造商和經(jīng)銷商)的攻擊是遠(yuǎn)程進(jìn)行的。此外,一半的車輛盜竊涉及無鑰匙進(jìn)入。
汽車制造商、經(jīng)銷商和消費(fèi)者在汽車網(wǎng)絡(luò)安全方面發(fā)揮著重要作用。但隨著行業(yè)繼續(xù)采用互聯(lián)技術(shù),組織采取積極主動(dòng)的網(wǎng)絡(luò)安全方法將變得越來越重要。
說到汽車威脅,黑客使用無數(shù)方法來竊取車輛和駕駛員信息并導(dǎo)致車輛功能出現(xiàn)問題。接下來,讓我們探討一下今年汽車行業(yè)面臨的8大網(wǎng)絡(luò)安全威脅。
無鑰匙偷車
遠(yuǎn)程無鑰匙偷車賊越來越普遍,因?yàn)橛辛诵碌募夹g(shù)方法來解鎖和啟動(dòng)車輛。此外還有用于操縱車輛的工具和技術(shù),這些工具和技術(shù)隨后在互聯(lián)網(wǎng)上出售。因此,汽車盜竊和汽車闖入已成為過去10年網(wǎng)絡(luò)事件的主要影響因素。汽車被盜時(shí),車主除了要承受痛苦之外,汽車保險(xiǎn)公司還負(fù)責(zé)處理損失,并為許多汽車被偷的司機(jī)支付費(fèi)用。這一現(xiàn)象在許多國家已經(jīng)成為一個(gè)嚴(yán)重的問題,因?yàn)樗脖砻鳎挠绊懯钱?dāng)今汽車世界最深刻的問題之一。從數(shù)量上看,汽車盜竊和入室盜竊占該行業(yè)事故總數(shù)的四分之一以上。除了上述盜竊汽車的頻率外,2019冠狀病毒病還導(dǎo)致了車輛盜竊的增加。2021年前9個(gè)月,僅在美國洛杉磯就有17195輛汽車被盜,創(chuàng)下十多年來年度被盜車輛最高紀(jì)錄。
作為最突出的威脅之一,無鑰匙汽車盜竊是汽車行業(yè)的主要關(guān)注點(diǎn)。今天的鑰匙扣使車主能夠通過站在車輛附近鎖定和解鎖車門,甚至無需實(shí)體鑰匙即可啟動(dòng)汽車。
啟用無鑰匙啟動(dòng)和無鑰匙進(jìn)入的汽車容易受到中間人攻擊,這種攻擊可以攔截汽車與遙控鑰匙本身之間的數(shù)據(jù)連接。黑客利用這些系統(tǒng)通過欺騙組件認(rèn)為它們就在附近來繞過身份驗(yàn)證協(xié)議。然后攻擊者可以在不觸發(fā)任何警報(bào)的情況下打開車門并啟動(dòng)車輛。
電動(dòng)汽車充電站攻擊
企業(yè)文化,或稱組織文化,是一個(gè)組織由其價(jià)值觀、信念、儀式、符號(hào)、隨著全球向環(huán)保技術(shù)轉(zhuǎn)型,電動(dòng)汽車正變得越來越流行。充電站允許電動(dòng)車車主在公共停車場(chǎng)、公園甚至他們自己的車庫等便利地點(diǎn)為車輛充電。
當(dāng)您在充電站為電動(dòng)汽車充電時(shí),數(shù)據(jù)會(huì)在汽車、充電站和擁有該設(shè)備的公司之間傳輸。該數(shù)據(jù)鏈展示了威脅行為者可以利用電動(dòng)車充電站的多種方式。惡意軟件、欺詐、遠(yuǎn)程操縱,甚至禁用充電站都是黑客利用電動(dòng)車充電站基礎(chǔ)設(shè)施的方式的例子。
信息娛樂系統(tǒng)攻擊
近年來,針對(duì)汽車行業(yè)的網(wǎng)絡(luò)攻擊數(shù)量出現(xiàn)了驚人的激增。這種針對(duì)車輛的網(wǎng)絡(luò)攻擊的新流行,是因?yàn)榕c幾年前相比,如今道路上聯(lián)網(wǎng)車輛的數(shù)量急劇增加,以及車輛網(wǎng)絡(luò)黑客知識(shí)和工具的激增。通過廣泛連接的無線網(wǎng)絡(luò),數(shù)據(jù)收集的增加產(chǎn)生了攻擊向量,從OEM后端服務(wù)器到車輛電子控制單元(ecu),甚至是信息娛樂單元的藍(lán)牙功能。
現(xiàn)代汽車需要超過1億行代碼才能運(yùn)行。大部分代碼都進(jìn)入了車輛的固件和軟件,支持導(dǎo)航、USB、CarPlay、SOS功能等。這些信息娛樂系統(tǒng)還為犯罪分子打開了通往汽車ECU的大門,危及生命并危及對(duì)車輛的控制。
制造商需要注意許多代碼漏洞,并且隨著信息娛樂系統(tǒng)繼續(xù)變得更加復(fù)雜和精密,將會(huì)發(fā)現(xiàn)更多漏洞。
暴力網(wǎng)絡(luò)攻擊
另一種影響汽車行業(yè)的常見攻擊類型是老式的暴力網(wǎng)絡(luò)攻擊。汽車行業(yè)中連接和自動(dòng)化的車輛和企業(yè)面臨的許多威脅,與常見的云安全威脅相似,但這并沒有降低它們的破壞性。
暴力攻擊是針對(duì)網(wǎng)絡(luò)的久經(jīng)考驗(yàn)的真實(shí)網(wǎng)絡(luò)攻擊,目的是破解憑據(jù)。在汽車行業(yè)中,暴力攻擊可能會(huì)產(chǎn)生深遠(yuǎn)的影響。制造商、經(jīng)銷商和所有者都可能成為此類攻擊的受害者。當(dāng)憑據(jù)遭到破壞時(shí),整個(gè)系統(tǒng)很容易成為復(fù)雜攻擊的目標(biāo),最終可能導(dǎo)致固件故障、大規(guī)模數(shù)據(jù)泄露和車輛盜竊。
網(wǎng)絡(luò)釣魚攻擊
黑客獲取進(jìn)入目標(biāo)網(wǎng)絡(luò)的憑據(jù)的另一種方法是通過網(wǎng)絡(luò)釣魚等社會(huì)工程學(xué)攻擊。攻擊者將向汽車公司員工發(fā)送一封電子郵件,他們?cè)谄渲忻俺涫苄湃蔚陌l(fā)件人,并附有官方外觀的HTML和簽名。有時(shí)攻擊者會(huì)直接要求提供憑據(jù),但通常情況下,攻擊者會(huì)在電子郵件中放置一個(gè)帶有惡意代碼的鏈接。
當(dāng)接收者點(diǎn)擊鏈接時(shí),惡意代碼被執(zhí)行,網(wǎng)絡(luò)犯罪分子可以在目標(biāo)系統(tǒng)中自由漫游,訪問敏感數(shù)據(jù),并從內(nèi)部進(jìn)行進(jìn)一步的攻擊。
受損的售后市場(chǎng)設(shè)備
保險(xiǎn)加密狗、智能手機(jī)和其他第三方連接設(shè)備也對(duì)汽車行業(yè)構(gòu)成網(wǎng)絡(luò)安全威脅。這些售后市場(chǎng)設(shè)備直接連接到車輛系統(tǒng),為黑客提供了另一種發(fā)起攻擊的方式。
對(duì)于那些想購買二手車的人來說,這種威脅也需要考慮很多。許多人選擇通過汽車經(jīng)銷商出售或交易二手車,消費(fèi)者可以在經(jīng)銷商那里找到二手車的交易。聯(lián)網(wǎng)設(shè)備可能會(huì)在汽車系統(tǒng)中留下惡意軟件和后門程序,讓下一位車主也面臨風(fēng)險(xiǎn)。
勒索軟件
勒索軟件是當(dāng)今科技領(lǐng)域最普遍的威脅之一。不幸的是,汽車行業(yè)也不例外。勒索軟件對(duì)汽車行業(yè)是一個(gè)重大威脅,包括原始設(shè)備制造商、消費(fèi)者和經(jīng)銷商。歷史上汽車行業(yè)遭受了多次勒索軟件攻擊,原始設(shè)備制造商、一級(jí)公司和汽車服務(wù)提供商繼續(xù)成為威脅行為者的目標(biāo)。例如2021年2月針對(duì)亞洲原始設(shè)備制造商的攻擊,DoppelPaymer團(tuán)伙要求用2000萬美元換取解密器。此外,在OEM能夠解決該問題之前,客戶有好幾天無法購買車輛。另一起事件發(fā)生在2021年2月,當(dāng)時(shí)東歐的一家汽車共享服務(wù)公司遭到勒索軟件攻擊,包括該公司客戶在內(nèi)的11萬人的個(gè)人數(shù)據(jù)被泄露到一個(gè)在線黑客網(wǎng)站,并在一個(gè)在線暗網(wǎng)論壇上發(fā)布出售。被盜數(shù)據(jù)包括用戶名、個(gè)人識(shí)別號(hào)碼、電話號(hào)碼、電子郵件和家庭地址、駕照號(hào)碼和加密密碼。
勒索軟件攻擊幾乎占了過去一年所有黑帽黑客攻擊的三分之一。這些攻擊通常以公司的IT服務(wù)器為目標(biāo),試圖敲詐企業(yè)。盡管如此,有必要承認(rèn),如果他們可以訪問后端it服務(wù)器,他們也可以控制系統(tǒng)并促進(jìn)對(duì)車輛的攻擊。上述攻擊破壞了美國所有OEM經(jīng)銷商的服務(wù),以及OEM的鏈接應(yīng)用程序、電話服務(wù)、支付系統(tǒng)和經(jīng)銷商使用的內(nèi)部網(wǎng)站。
威脅行為者可以劫持組織的數(shù)據(jù)作為人質(zhì),以換取大筆贖金。如果沒有合適的信用保護(hù)服務(wù),汽車企業(yè)可能會(huì)陷入財(cái)務(wù)困境。這些攻擊會(huì)影響IT系統(tǒng)和運(yùn)營(yíng),并可能導(dǎo)致代價(jià)高昂的停機(jī)。
汽車供應(yīng)鏈攻擊
汽車行業(yè)利用復(fù)雜的供應(yīng)鏈采購用于制造新車、進(jìn)行維修和提供服務(wù)的組件。這個(gè)供應(yīng)鏈給行業(yè)帶來了巨大的風(fēng)險(xiǎn),因?yàn)槊總€(gè)連接的端點(diǎn)都是一個(gè)等待發(fā)生的漏洞。
現(xiàn)代汽車每輛車大約有100個(gè)ECU。其中許多都是由可信的Tier-1、Tier-2和外圍供應(yīng)商生產(chǎn)的。每一個(gè)都很重要,但每一個(gè)都有可能讓黑客滲透內(nèi)部系統(tǒng),獲取其他車輛的信息,訪問中央服務(wù)器,甚至傷害司機(jī)或乘客。在汽車行業(yè),汽車原始設(shè)備制造商及其供應(yīng)鏈公司和供應(yīng)商可能難以遵循和管理產(chǎn)品的材料清單,無論是信息娛樂系統(tǒng)還是特定的ECU。因此,聯(lián)網(wǎng)汽車的硬件組件中可能包含軟件漏洞。這些供應(yīng)商制造的部件會(huì)在OEM無法正確識(shí)別漏洞來源的情況下進(jìn)入車輛。即使消費(fèi)者確實(shí)想要車輛部件的詳細(xì)信息,追蹤它們也將是一項(xiàng)艱巨的任務(wù)。
但供應(yīng)鏈攻擊也會(huì)波及消費(fèi)者。包含惡意代碼的更新補(bǔ)丁可以推送到互聯(lián)汽車,壞人可以破壞固件,惡意軟件可以讓供應(yīng)商的運(yùn)營(yíng)完全停止。在直接關(guān)系到消費(fèi)者健康和福祉的問題上,消費(fèi)者別無選擇,只能信任汽車制造商和監(jiān)管機(jī)構(gòu)。通常情況下,原始設(shè)備制造商和聯(lián)邦機(jī)構(gòu)甚至無法獲得深入的部件數(shù)據(jù)和它們構(gòu)成的潛在威脅。例如,2021年1月,一名黑客成功入侵了一家歐洲一級(jí)巨頭用于亞洲主要OEM汽車的信息娛樂單元。他們發(fā)現(xiàn)了信息娛樂系統(tǒng)的一個(gè)漏洞。通過插入U(xiǎn)SB設(shè)備,他們可以獲得系統(tǒng)的root shell訪問權(quán)限,并獲得管理員訪問權(quán)限,以安裝未經(jīng)授權(quán)的軟件。黑客發(fā)現(xiàn),歐洲生產(chǎn)的信息娛樂系統(tǒng)漏洞還可能影響到2015年以后生產(chǎn)的另外四款車型和商業(yè)車型。
此外,只在汽車行業(yè)使用的二級(jí)供應(yīng)商芯片上發(fā)現(xiàn)了100多個(gè)漏洞。這些芯片最終被放入一級(jí)產(chǎn)品中,而一級(jí)產(chǎn)品又被放入車輛中。這些漏洞可能會(huì)影響多個(gè)OEM,因?yàn)橐粋€(gè)一級(jí)供應(yīng)商可能向眾多OEM提供產(chǎn)品,而一個(gè)二級(jí)供應(yīng)商可能為多個(gè)一級(jí)供應(yīng)商提供服務(wù)。此外,在2021年8月,一份研究報(bào)告披露,一家二級(jí)供應(yīng)商已確認(rèn)存在一個(gè)漏洞,允許攻擊者獲得對(duì)北美電動(dòng)汽車OEM自動(dòng)駕駛系統(tǒng)代碼執(zhí)行的特權(quán)控制。這種攻擊包括解鎖一個(gè)引導(dǎo)加載程序,通常對(duì)消費(fèi)者禁用,用于實(shí)驗(yàn)室條件。這種攻擊也適用于歐洲OEM的信息娛樂系統(tǒng),因?yàn)樗彩褂昧硕?jí)供應(yīng)商的硬件。
行業(yè)該如何確保汽車安全
網(wǎng)絡(luò)安全應(yīng)該是整個(gè)汽車生命周期的中心目標(biāo)。但同樣重要的是,汽車制造商要提高網(wǎng)絡(luò)安全專業(yè)知識(shí),以監(jiān)控道路上的聯(lián)網(wǎng)和自動(dòng)駕駛車輛。
美國國家公路交通安全管理局(NHTSA)最近發(fā)布了其推薦的現(xiàn)代車輛網(wǎng)絡(luò)安全最佳實(shí)踐,以幫助加強(qiáng)車輛的底層數(shù)據(jù)架構(gòu)并防止?jié)撛诘墓簟?/p>
他們表示,汽車行業(yè)應(yīng)遵循美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架,該框架側(cè)重于五個(gè)關(guān)鍵功能:識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。NHTSA針對(duì)車輛的建議是基于了NIST框架,但卻是專門針對(duì)汽車行業(yè)編寫。
最后,聯(lián)邦貿(mào)易委員會(huì)(FTC)還制定了針對(duì)聯(lián)網(wǎng)和自動(dòng)駕駛車輛的法規(guī)。根據(jù)新的保障規(guī)則,經(jīng)銷商應(yīng)在2023年6月之前滿足其組織和車輛的網(wǎng)絡(luò)安全合規(guī)要求。
最后的思考
在2023年及以后,汽車制造商、銷售商、消費(fèi)者、供應(yīng)商、維修商以及所有業(yè)內(nèi)人士在提高聯(lián)網(wǎng)汽車的安全性方面發(fā)揮著至關(guān)重要的作用。
參考及來源:https://cybersecurity.att.com/blogs/security-essentials/the-top-8-cybersecurity-threats-facing-the-automotive-industry-heading-into-2023