進(jìn)入 2023 年,隨著我們踏上邊緣計算的旅程,大多數(shù) ( 如果不是全部 ) 行業(yè)都在數(shù)字化層面上發(fā)展。但汽車行業(yè)正在經(jīng)歷另一個層面的技術(shù)創(chuàng)新。聯(lián)網(wǎng)汽車產(chǎn)量的增加、新的自動駕駛功能以及使汽車能夠自動停車和自動駕駛的軟件的興起,都是席卷汽車行業(yè)的數(shù)字化發(fā)展的典范。

 根據(jù) AT&T 2022 網(wǎng)絡(luò)安全洞察 ( CSI ) 報告, 75% 的組織計劃實施邊緣安全變革,以幫助減輕影響汽車、卡車、車隊和其他聯(lián)網(wǎng)車輛及其制造商的風(fēng)險。并且有充分的理由。

 在網(wǎng)絡(luò)攻擊方面,這些汽車功能和進(jìn)步為網(wǎng)絡(luò)犯罪分子提供了一系列新機(jī)會。威脅行為者以多種方式瞄準(zhǔn)汽車行業(yè),包括久經(jīng)考驗的真實方法和新的攻擊媒介。

 在本文中,您將了解進(jìn)入 2023 年汽車行業(yè)面臨的 8 大網(wǎng)絡(luò)安全威脅,以及該行業(yè)可以采取哪些措施來防止威脅。

 汽車網(wǎng)絡(luò)安全威脅

 近年來,針對汽車行業(yè)的網(wǎng)絡(luò)攻擊數(shù)量出現(xiàn)了驚人的激增。這種針對車輛的網(wǎng)絡(luò)攻擊的新流行,是因為與幾年前相比,如今道路上聯(lián)網(wǎng)車輛的數(shù)量急劇增加,以及車輛網(wǎng)絡(luò)黑客知識和工具的激增。通過廣泛連接的無線網(wǎng)絡(luò),數(shù)據(jù)收集的增加產(chǎn)生了攻擊向量,從 OEM 后端服務(wù)器到車輛電子控制單元 ( ECU ) ,甚至是信息娛樂單元的藍(lán)牙功能

 隨著汽車越來越多地配備連接功能,遠(yuǎn)程威脅更有可能發(fā)生。最近的一份報告顯示,82% 的針對汽車行業(yè)(包括消費車輛、制造商和經(jīng)銷商)的攻擊是遠(yuǎn)程進(jìn)行的。此外,一半的車輛盜竊涉及無鑰匙進(jìn)入。

 汽車制造商、經(jīng)銷商和消費者在汽車網(wǎng)絡(luò)安全方面發(fā)揮著重要作用。但隨著行業(yè)繼續(xù)采用互聯(lián)技術(shù),組織采取積極主動的網(wǎng)絡(luò)安全方法將變得越來越重要。

 說到汽車威脅,黑客使用無數(shù)方法來竊取車輛和駕駛員信息并導(dǎo)致車輛功能出現(xiàn)問題。 接下來,讓我們探討一下今年汽車行業(yè)面臨的 8 大網(wǎng)絡(luò)安全威脅。

 無鑰匙偷車

 遠(yuǎn)程無鑰匙偷車賊越來越普遍,因為有了新的技術(shù)方法來解鎖和啟動車輛。此外還有用于操縱車輛的工具和技術(shù),這些工具和技術(shù)隨后在互聯(lián)網(wǎng)上出售。因此,汽車盜竊和汽車闖入已成為過去 10 年網(wǎng)絡(luò)事件的主要影響因素。汽車被盜時,車主除了要承受痛苦之外,汽車保險公司還負(fù)責(zé)處理損失,并為許多汽車被偷的司機(jī)支付費用。這一現(xiàn)象在許多國家已經(jīng)成為一個嚴(yán)重的問題,因為它也表明,它的影響是當(dāng)今汽車世界最深刻的問題之一。從數(shù)量上看,汽車盜竊和入室盜竊占該行業(yè)事故總數(shù)的四分之一以上。除了上述盜竊汽車的頻率外,2019 冠狀病毒病還導(dǎo)致了車輛盜竊的增加。2021 年前 9 個月,僅在美國洛杉磯就有 17195 輛汽車被盜,創(chuàng)下十多年來年度被盜車輛最高紀(jì)錄

 作為最突出的威脅之一,無鑰匙汽車盜竊是汽車行業(yè)的主要關(guān)注點。今天的鑰匙扣使車主能夠通過站在車輛附近鎖定和解鎖車門,甚至無需實體鑰匙即可啟動汽車。

 啟用無鑰匙啟動和無鑰匙進(jìn)入的汽車容易受到中間人攻擊,這種攻擊可以攔截汽車與遙控鑰匙本身之間的數(shù)據(jù)連接。黑客利用這些系統(tǒng)通過欺騙組件認(rèn)為它們就在附近來繞過身份驗證協(xié)議。然后攻擊者可以在不觸發(fā)任何警報的情況下打開車門并啟動車輛。

 電動汽車充電站攻擊

 隨著全球向環(huán)保技術(shù)轉(zhuǎn)型,電動汽車正變得越來越流行。充電站允許電動車車主在公共停車場、公園甚至他們自己的車庫等便利地點為車輛充電。

 當(dāng)您在充電站為電動汽車充電時,數(shù)據(jù)會在汽車、充電站和擁有該設(shè)備的公司之間傳輸。該數(shù)據(jù)鏈展示了威脅行為者可以利用電動車充電站的多種方式。惡意軟件、欺詐、遠(yuǎn)程操縱,甚至禁用充電站都是黑客利用電動車充電站基礎(chǔ)設(shè)施的方式的例子。

 信息娛樂系統(tǒng)攻擊

 近年來,針對汽車行業(yè)的網(wǎng)絡(luò)攻擊數(shù)量出現(xiàn)了驚人的激增。這種針對車輛的網(wǎng)絡(luò)攻擊的新流行,是因為與幾年前相比,如今道路上聯(lián)網(wǎng)車輛的數(shù)量急劇增加,以及車輛網(wǎng)絡(luò)黑客知識和工具的激增。通過廣泛連接的無線網(wǎng)絡(luò),數(shù)據(jù)收集的增加產(chǎn)生了攻擊向量,從 OEM 后端服務(wù)器到車輛電子控制單元 ( ecu ) ,甚至是信息娛樂單元的藍(lán)牙功能。

 現(xiàn)代汽車需要超過 1 億行代碼才能運行。大部分代碼都進(jìn)入了車輛的固件和軟件,支持導(dǎo)航、USB、CarPlay、SOS 功能等。這些信息娛樂系統(tǒng)還為犯罪分子打開了通往汽車 ECU 的大門,危及生命并危及對車輛的控制。

 制造商需要注意許多代碼漏洞,并且隨著信息娛樂系統(tǒng)繼續(xù)變得更加復(fù)雜和精密,將會發(fā)現(xiàn)更多漏洞。

 暴力網(wǎng)絡(luò)攻擊

 另一種影響汽車行業(yè)的常見攻擊類型是老式的暴力網(wǎng)絡(luò)攻擊。汽車行業(yè)中連接和自動化的車輛和企業(yè)面臨的許多威脅,與常見的云安全威脅相似 ,但這并沒有降低它們的破壞性。

 暴力攻擊是針對網(wǎng)絡(luò)的久經(jīng)考驗的真實網(wǎng)絡(luò)攻擊,目的是破解憑據(jù)。在汽車行業(yè)中,暴力攻擊可能會產(chǎn)生深遠(yuǎn)的影響。制造商、經(jīng)銷商和所有者都可能成為此類攻擊的受害者。當(dāng)憑據(jù)遭到破壞時,整個系統(tǒng)很容易成為復(fù)雜攻擊的目標(biāo),最終可能導(dǎo)致固件故障、大規(guī)模數(shù)據(jù)泄露和車輛盜竊。

 網(wǎng)絡(luò)釣魚攻擊

 黑客獲取進(jìn)入目標(biāo)網(wǎng)絡(luò)的憑據(jù)的另一種方法是通過網(wǎng)絡(luò)釣魚等社會工程學(xué)攻擊。攻擊者將向汽車公司員工發(fā)送一封電子郵件,他們在其中冒充受信任的發(fā)件人,并附有官方外觀的 HTML 和簽名。有時攻擊者會直接要求提供憑據(jù),但通常情況下,攻擊者會在電子郵件中放置一個帶有惡意代碼的鏈接。

 當(dāng)接收者點擊鏈接時,惡意代碼被執(zhí)行,網(wǎng)絡(luò)犯罪分子可以在目標(biāo)系統(tǒng)中自由漫游,訪問敏感數(shù)據(jù),并從內(nèi)部進(jìn)行進(jìn)一步的攻擊。

 受損的售后市場設(shè)備

 保險加密狗、智能手機(jī)和其他第三方連接設(shè)備也對汽車行業(yè)構(gòu)成網(wǎng)絡(luò)安全威脅。這些售后市場設(shè)備直接連接到車輛系統(tǒng),為黑客提供了另一種發(fā)起攻擊的方式。

 對于那些想購買二手車的人來說,這種威脅也需要考慮很多。許多人選擇通過汽車經(jīng)銷商出售或交易二手車,消費者可以在經(jīng)銷商那里找到二手車的交易。聯(lián)網(wǎng)設(shè)備可能會在汽車系統(tǒng)中留下惡意軟件和后門程序,讓下一位車主也面臨風(fēng)險。

 勒索軟件

 勒索軟件是當(dāng)今科技領(lǐng)域最普遍的威脅之一。不幸的是,汽車行業(yè)也不例外。勒索軟件對汽車行業(yè) 是一個重大威脅,包括原始設(shè)備制造商、消費者和經(jīng)銷商。歷史上汽車行業(yè)遭受了多次勒索軟件攻擊,原始設(shè)備制造商、一級公司和汽車服務(wù)提供商繼續(xù)成為威脅行為者的目標(biāo)。例如 2021 年 2 月針對亞洲原始設(shè)備制造商的攻擊,DoppelPaymer 團(tuán)伙要求用 2000 萬美元換取解密器。此外,在 OEM 能夠解決該問題之前,客戶有好幾天無法購買車輛。另一起事件發(fā)生在 2021 年 2 月,當(dāng)時東歐的一家汽車共享服務(wù)公司遭到勒索軟件攻擊,包括該公司客戶在內(nèi)的 11 萬人的個人數(shù)據(jù)被泄露到一個在線黑客網(wǎng)站,并在一個在線暗網(wǎng)論壇上發(fā)布出售。被盜數(shù)據(jù)包括用戶名、個人識別號碼、電話號碼、電子郵件和家庭地址、駕照號碼和加密密碼。

 勒索軟件攻擊幾乎占了過去一年所有黑帽黑客攻擊的三分之一。這些攻擊通常以公司的 IT 服務(wù)器為目標(biāo),試圖敲詐企業(yè)。盡管如此,有必要承認(rèn),如果他們可以訪問后端 it 服務(wù)器,他們也可以控制系統(tǒng)并促進(jìn)對車輛的攻擊。上述攻擊破壞了美國所有 OEM 經(jīng)銷商的服務(wù),以及 OEM 的鏈接應(yīng)用程序、電話服務(wù)、支付系統(tǒng)和經(jīng)銷商使用的內(nèi)部網(wǎng)站

 威脅行為者可以劫持組織的數(shù)據(jù)作為人質(zhì),以換取大筆贖金。如果沒有合適的信用保護(hù)服務(wù),汽車企業(yè)可能會陷入財務(wù)困境。這些攻擊會影響 IT 系統(tǒng)和運營,并可能導(dǎo)致代價高昂的停機(jī)。

 汽車供應(yīng)鏈攻擊

 汽車行業(yè)利用復(fù)雜的供應(yīng)鏈采購用于制造新車、進(jìn)行維修和提供服務(wù)的組件。這個供應(yīng)鏈給行業(yè)帶來了巨大的風(fēng)險,因為每個連接的端點都是一個等待發(fā)生的漏洞。

 現(xiàn)代汽車每輛車大約有 100 個 ECU。其中許多都是由可信的 Tier-1、Tier-2 和外圍供應(yīng)商生產(chǎn)的。每一個都很重要,但每一個都有可能讓黑客滲透內(nèi)部系統(tǒng),獲取其他車輛的信息,訪問中央服務(wù)器,甚至傷害司機(jī)或乘客。在汽車行業(yè),汽車原始設(shè)備制造商及其供應(yīng)鏈公司和供應(yīng)商可能難以遵循和管理產(chǎn)品的材料清單,無論是信息娛樂系統(tǒng)還是特定的 ECU。因此,聯(lián)網(wǎng)汽車的硬件組件中可能包含軟件漏洞。這些供應(yīng)商制造的部件會在 OEM 無法正確識別漏洞來源的情況下進(jìn)入車輛。即使消費者確實想要車輛部件的詳細(xì)信息,追蹤它們也將是一項艱巨的任務(wù)。

 但供應(yīng)鏈攻擊也會波及消費者。包含惡意代碼的更新補(bǔ)丁可以推送到互聯(lián)汽車,壞人可以破壞固件,惡意軟件可以讓供應(yīng)商的運營完全停止。 在直接關(guān)系到消費者健康和福祉的問題上,消費者別無選擇,只能信任汽車制造商和監(jiān)管機(jī)構(gòu)。通常情況下,原始設(shè)備制造商和聯(lián)邦機(jī)構(gòu)甚至無法獲得深入的部件數(shù)據(jù)和它們構(gòu)成的潛在威脅。例如,2021 年 1 月,一名黑客成功入侵了一家歐洲一級巨頭用于亞洲主要 OEM 汽車的信息娛樂單元。他們發(fā)現(xiàn)了信息娛樂系統(tǒng)的一個漏洞。通過插入 USB 設(shè)備,他們可以獲得系統(tǒng)的 root shell 訪問權(quán)限,并獲得管理員訪問權(quán)限,以安裝未經(jīng)授權(quán)的軟件。黑客發(fā)現(xiàn),歐洲生產(chǎn)的信息娛樂系統(tǒng)漏洞還可能影響到 2015 年以后生產(chǎn)的另外四款車型和商業(yè)車型。

 此外,只在汽車行業(yè)使用的二級供應(yīng)商芯片上發(fā)現(xiàn)了 100 多個漏洞。這些芯片最終被放入一級產(chǎn)品中,而一級產(chǎn)品又被放入車輛中。這些漏洞可能會影響多個 OEM,因為一個一級供應(yīng)商可能向眾多 OEM 提供產(chǎn)品,而一個二級供應(yīng)商可能為多個一級供應(yīng)商提供服務(wù)。此外,在 2021 年 8 月,一份研究報告披露,一家二級供應(yīng)商已確認(rèn)存在一個漏洞,允許攻擊者獲得對北美電動汽車 OEM 自動駕駛系統(tǒng)代碼執(zhí)行的特權(quán)控制。這種攻擊包括解鎖一個引導(dǎo)加載程序,通常對消費者禁用,用于實驗室條件。這種攻擊也適用于歐洲 OEM 的信息娛樂系統(tǒng),因為它也使用了二級供應(yīng)商的硬件。

 行業(yè)該如何確保汽車安全

 網(wǎng)絡(luò)安全應(yīng)該是整個汽車生命周期的中心目標(biāo)。但同樣重要的是,汽車制造商要提高網(wǎng)絡(luò)安全專業(yè)知識,以監(jiān)控道路上的聯(lián)網(wǎng)和自動駕駛車輛。

 美國國家公路交通安全管理局 ( NHTSA ) 最近發(fā)布了其推薦的現(xiàn)代車輛網(wǎng)絡(luò)安全最佳實踐,以幫助加強(qiáng)車輛的底層數(shù)據(jù)架構(gòu)并防止?jié)撛诘墓簟?/p>

 他們表示,汽車行業(yè)應(yīng)遵循美國國家標(biāo)準(zhǔn)與技術(shù)研究院 ( NIST ) 的網(wǎng)絡(luò)安全框架,該框架側(cè)重于五個關(guān)鍵功能:識別、保護(hù)、檢測、響應(yīng)和恢復(fù)。NHTSA 針對車輛的建議是基于了 NIST 框架,但卻是專門針對汽車行業(yè)編寫。

 最后,聯(lián)邦貿(mào)易委員會 ( FTC ) 還制定了針對聯(lián)網(wǎng)和自動駕駛車輛的法規(guī)。根據(jù)新的保障規(guī)則,經(jīng)銷商應(yīng)在 2023 年 6 月之前滿足其組織和車輛的網(wǎng)絡(luò)安全合規(guī)要求。

 最后的想法

 汽車制造商、銷售商、消費者、供應(yīng)商、維修商和業(yè)內(nèi)所有其他人在 2023 年及以后提高聯(lián)網(wǎng)汽車的安全性方面發(fā)揮著關(guān)鍵作用。