文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

网络安全是电动汽车的第一产品力

2024-11-30 02:00

关注

电动汽车的主要特征是智能化和网络化,支持空中更新(OTA)、远程管理、高级驾驶辅助系统(ADAS)和人工智能,这意味着网络攻击者可利用的攻击途径也大幅增加。

随着电动汽车全球市场规模的快速增长,供应链的全球化延伸,以及勒索软件、地缘政治有关的APT和黑客活动主义的流行,跨国新能源车企们面临的网络安全威胁态势日趋复杂和凶险,根据卡巴斯基最新发布的勒索软件攻击预测报告,2024年对物流和运输公司的攻击不再仅针对运营IT基础设施,还会针对车辆本身,给车主造成直接的隐私、财务甚至生命威胁。此类攻击无疑将给电动汽车企业带来无法承受的品牌、市场和财务损失。

近日,REEAutomotive首席信息安全官YaronEdan接受了helpnetsecurity的采访,就电动汽车行业面临的网络安全挑战和战略发表了看法,整理如下:

问:您如何看待汽车行业,特别是电动和互联汽车的网络安全现状?

答:汽车行业正在经历数字化突破,主要由电动和自动驾驶汽车的引入和普及驱动。科技进步贯穿于整个车辆生命周期,为我们日常驾驶的汽车带来诸多益处,但也带来了新的、迫切的网络安全挑战。

现在,我们的车辆越来越离不开互联网,可以通过空中更新进行升级,使用远程管理,搭载高级驾驶辅助系统和人工智能。这意味着网络攻击者可利用的潜在途径大幅增加,威胁显著增大。

问:汽车制造商采取了哪些措施来应对最新车型中的网络安全挑战?

答:今天,汽车中的软件越来越多,软件正在“吃掉”汽车。汽车制造商面临的首要挑战在于供应链,不仅是软件供应商本身,而是涉及到每个环节。汽车制造商需要从风险管理的角度审视这个问题,找出每一个具体风险的源头和位置。供应商必须参与这一过程,并遵循汽车制造商制定的安全指南。

第二个挑战是软件更新。随着技术不断发展,更多功能被添加,网络犯罪分子会找到利用系统漏洞和缺陷的新方法,这些漏洞和缺陷可能是由于技术新颖而我们尚未意识到的。需定期为产品提供软件更新,以修补系统漏洞,改善现有漏洞并提高产品性能。

为了应对这些挑战,汽车制造商需要进行初始风险评估,了解汽车行业产品和供应链各个层面的威胁类型和威胁行为者类型。根据初始风险评估获得的经验,必须制定一项程序,确保公司内部和外部员工以及供应商都清楚自己在公司安全维护中的角色。

该程序确定了汽车行业活跃的威胁行为者类型、他们的位置以及每个威胁的严重程度。这很复杂,因为威胁行为者遍布全球,数量庞大,每个组织都使用不同形式的攻击,程度也有所不同。汽车制造商利用每天收集的信息来保护他们的资产。此外,还必须定期进行审计,评估每个供应商和员工,以验证程序是否正确执行,是否需要更新等等。

问:您可以解释一下车辆制造商如何将网络安全整合到设计和开发过程中吗?

答:一旦生产线启动,将网络安全整合到制造过程中的第一步是确保运营技术(OT)政策的安全,这意味着要了解风险以及如何弥补漏洞。制造商必须处理OT威胁,而不是像计算机系统那样处理威胁。这些威胁涉及数千种独特的威胁,来自生产线、传感器和其他参与制造过程的设备。

忽略这些威胁是非常危险的,因为所使用的设备非常简单。假设你是一个黑客,想要入侵一家汽车制造商,你会发现攻击云端或员工要远比攻击生产线困难得多,因为生产线使用的设备更容易被攻破,而且行动更容易被忽视。

问:您推荐汽车厂商采取哪些关键策略来保护互联和电动汽车免受网络威胁?

答:汽车企业必须采取积极的主动安全方法来应对网络安全威胁,而不是被动应对。这可以让安全团队在威胁造成损害之前就避免威胁,而不是事后被动应对。我推荐以下一些积极主动的策略:

问:监管机构在推动电动和互联汽车网络安全标准方面发挥什么作用?

答:监管机构在推动网络安全标准方面发挥着重要作用,但他们不会直接帮助车企保护其产品——这取决于汽车供应链中的每个参与者。监管机构的目标是向汽车制造商提供最佳实践,包括在发生网络攻击时采取哪些步骤、与哪些参与者沟通以及根据威胁的严重程度进行多深入的调查。

一旦汽车制造商符合某些监管规则,他们会要求监管机构进行现场访问,进行长达数月的审计,尝试攻击他们所能攻击的每个环节,寻找任何薄弱环节,并确定需要修补的地方。这个过程需要一直重复,直到汽车制造商完全合规。

问:消费者应该了解哪些最佳实践来确保其电动或互联汽车的网络安全?

答:消费者需要确保车辆采集的隐私数据得到充分的保护。例如,很多电动汽车用户会选择区公共充电站充电,但许多人并不知道,在公共充电站,车辆数据很容易被黑客攻击,因为用户不仅在传输电量,还在传输数据。

为了防止这种情况发生,车主需要在购买车辆前充分了解产品的(网络)安全性能,例如车企是否有完善的网络安全程序,是否符合监管机构的要求等等。确保所有软件都定期更新也非常重要。电动汽车用户必须使用安全网络从可信品牌官网或者官方应用商店下载官方软件。

除了汽车制造商之外,消费者也要对自己的(隐私)安全负责,更多了解电动汽车网络安全知识,降低遭受攻击的风险。

来源:GoUpSec内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯