车联网时代降临,“黑客”请就位

来源:盖世汽车时间:2022-02-25 16:08:51

大数据时代的到来,让更多用户开始关注自身信息安全的保护。因此,多数用户在使用电脑,手机时都会将信息安全性能考虑在内。他们认为这已经足够了,可是其中的大多数人都忽略了一个至关重要的生活场景——汽车。

当前汽车产业正向智能网联发展,物联网时代万物互联。从智慧生态、云端的集群、数据链路、万物终端,这些无一例外都采集了大量驾乘人员的信息数据。而在未来,车与车之间互联,实现全生态的智能驾驶,控制逻辑和系统也将越来越复杂,对于用户数据的收集也将越发频繁。

危险:20倍、280余万次

今年1月,工信部组织召开部际联席会议2022年度工作会议强调,2022年是我国新能源汽车乘势而上、加快发展的关键一年,明确进一步强化安全监管,完善数据安全、网络安全等相关标准,加快构建系统、科学、规范的安全监管体系,提升新能源汽车本质安全水平。

近年来,智能网联汽车频遭黑客攻击,网络信息安全问题不容乐观。数据显示,在过去5年时间里,智能汽车被黑客攻击的次数增长了20倍,其中有27.6%的攻击涉及车辆控制。

据技术移动公司Upstream数据,2010年到2018年针对智能汽车的攻击数量激增了6倍。工信部车联网动态监测情况显示,2020年整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击已达到280余万次

伴随着汽车电动化、网联化、智能化和共享化,车内功能大幅增加。由此,更多的信息安全接入点和风险点被暴露。如今,网络信息安全已成为智能网联汽车面临的最重大的安全风险之一。目前智能网联汽车很多技术方兴未艾,只有多方共同推进测试,才能推动中国方案的落地。

在智能网联汽车很多技术方兴未艾的当下,通过不断地渗透测试,或许成为了维护车企、供应商与用户网络信息安全的一个重要途径。

黑客,图片来源:techxplore.com

途径:渗透测试,有道德的“黑客”

早在2016年,美国国家公路交通安全管理局(NHTSA)就意识到了网络信息安全问题将会成为掣肘汽车产业发展的一个重要因素,因此在当年发布了汽车网络安全指导文件,为车企如何网络安全问题提供了指南。

NHTSA认为网络安全问题应当是汽车厂商和供应商关注的重中之重,新车产品研发的过程中就该妥善处理。该机构指出车企和供应商应当进行“渗透测试”找到潜在的问题,测试结果报告要指出易受入侵的问题是如何解决的或解释测试漏洞无法解决的原因。

何为渗透测试?其是指安全专业人员在系统所有者的许可下,模拟对网络或计算机系统的攻击以评估其安全性的过程。不过,尽管是“模拟”攻击,但渗透测试员同样会把现实世界中攻击者的所有工具和技术都用到目标系统上,只是他们并不以发现的漏洞或获取的信息用来牟利,而是将结果上报给所有者,以帮助其提高系统安全性。

由于渗透测试人员遵循与恶意黑客相同的攻击策略,所以他们有时候被称为“道德黑客”或“白帽黑客”。渗透测试可以由团队或独立黑客进行,他们可能是目标公司的内部员工,也可能独立工作或为提供专业渗透测试服务的安全公司工作。

某种程度而言,智能网联汽车通过渗透测试,除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求之外,更重要的是可以最大限度地减小业务风险,将风险保持在可控范围之内,保障车企、供应商与用户三方的信息安全。

图片来源:FUSA

方案:车联网大局下,供应商纷纷献策

渗透测试作为一种有效检测与维护汽车网络信息安全的方式,我国也有许多科技公司涉足该领域。

腾讯旗下的科恩实验室在PC 安全、移动终端安全等研究领域有十多年的积累,技术实力和研究成果达到了国际领先水平;近几年来,更是在智能网联汽车信息安全渗透测试中取得丰硕的成果。同样作为国内软件巨头的360在智能网联汽车安全方面打造了以360汽车安全大脑为核心,包括360车机管家、360汽车防火墙、车联网安全运营平台等为支撑的整套实时防护体系,同时360还长期跟踪国内外汽车信息安全标准,推动车联网安全标准化,参与讨论国际标准国内落地。

除了软件巨头,也有专门致力于解决车辆日益智能化发展所面临的网络安全问题的公司。为辰信安推出了系列化解决方案,覆盖IVI、TBOX覆盖IVI、TBOX、智能座舱、中央网关、自动驾驶、控制类型ECU等关键零部件,CAN/CANFD、Ethernet等通信协议,以及FOTA、蓝牙钥匙、远程控制等关键业务,拥有支持国际/国内密码算法的密码模块、IDPS、安全通信、可信执行环境等方面的基础产品,并提供网络安全方面的系列化测试工具,以及渗透测试和咨询等方面的安全服务。针对传统安全测试中漏洞检测低效且不完整。维克多则带来了一种使用更少测试案例的增强型灰盒渗透测试,能够在提高覆盖率的同时降低误报。

这些企业都致力于打造内容完备、成熟可靠,得到大量实际应用的智能网联汽车信息安全系统,并能够提供系统性的解决方案。

图片来源:360

展望:方兴未艾,企盼人才

渗透测试作为维护信息安全的一个重要途径,其对人才的需求量很大,而且这些工作不仅仅是在独立的安全公司,像微软这样的大型科技公司也都有完整的内部渗透测试团队。

北卡罗来纳州立大学的IT职业部门调查发现,仅2020年就有16,000个职位缺口。不过,需要注意的是,渗透测试和漏洞分析师的职业轨迹虽然有许多共同的技能,但漏洞分析师专注于应用程序和系统在开发中或部署之前发现安全性漏洞,而渗透测试人员则是探测活跃系统。与许多需求旺盛的技术安全岗位一样,渗透测试员可以获得可观的薪水。Infosec Institute 对美国各区域的薪酬和职位做出了很好的概述:总体而言,大多数渗透测试人员的预期工资都比较高。这显然是一份非常有潜力、也很有趣的工作。

维护信息安全被不断提及,但是据智联招聘调查,我国近年高校教育培养的信息安全专业人才仅5万余人,而信息安全相关人才总需求则超过100万人,缺口高达95%,并且这一需求每年都在成倍增长,人才短缺的问题也成为了掣肘产业发展的一个重要因素。

随着渗透测试被不断提及,智能网联汽车信息安全的重要性开始凸显,渗透测试也将促进汽车信息安全系统更快速地完善和落地。在完善与落地前夜,盖世汽车将于2022年3月17-18日举办2022中国汽车信息安全与功能安全大会,了解产业趋势,明确发展方向。

关键词: 渗透测试 信息安全

相关阅读

推荐阅读

信贷创新高 金融数据表现亮眼

信贷创新高 金融数据表现亮眼

2022年开年,金融数据表现亮眼。2月10日,央行发布2022年1月金融统计数据报告。数据显示,1月人民币贷款增加3 98万亿元,创下单月增量历史更多

2022-02-11 10:29:13
循环水高密度养鱼  味美价高省土地

循环水高密度养鱼 味美价高省土地

近日,记者来到位于河池市金城江区九圩镇大村村的陆基圆池循环水养殖基地走访。这里是养鱼基地,但却不见一方鱼塘,放眼望去,只见一个个由更多

2022-02-09 13:53:21
个股逆势上涨  破净股为何成为抗跌的避风港

个股逆势上涨 破净股为何成为抗跌的避风港

市场持续调整,以银行股为代表的破净股出现明显抗跌的情形,甚至有部分个股逆势上涨,其中最大的原因在于这些个股的安全边际较高。一直以来更多

2022-02-09 13:46:11
海目星发布公告:进入未经核实名单无不利影响

海目星发布公告:进入未经核实名单无不利影响

2月8日晚间,海目星(688559)发布公告称,公司关注到美国商务部工业与安全局(BIS)于近日发布了更新的未经核实名单(Unverified List,简称UV更多

2022-02-09 13:44:52
老股东红杉中国持续加码 太极图形完成5000万美元A轮融资

老股东红杉中国持续加码 太极图形完成5000万美元

2月8日,据开源图形基础设施与数字内容创作云平台太极图形官方消息,该公司完成了A轮5000万美元融资。本轮融资由源码资本、GGV纪源资本、BA更多

2022-02-09 13:43:43
*ST新亿连续两个跌停  投资者应提高警惕

*ST新亿连续两个跌停 投资者应提高警惕

公司及实控人被公安立案侦查的消息披露后,*ST新亿(600145)连吃两个跌停,并于1月18日股价跌破1元 股,收于0 97元 股。这也意味着,*ST新亿更多

2022-01-19 12:27:21
资本加速涌入 自动驾驶真的“香”吗

资本加速涌入 自动驾驶真的“香”吗

作为公认的汽车行业的未来,对自动驾驶虎视眈眈的入局者越来越多,资本也在加速涌入。Wayve,一家依靠机器学习为核心科技的英国自动驾驶初更多

2022-01-19 12:26:04
东方锆业披露2021年度业绩预告  现归属净利润约为1.4亿元

东方锆业披露2021年度业绩预告 现归属净利润约

1月18日晚间,东方锆业(002167)披露2021年度业绩预告显示,公司预计报告期内实现归属净利润约为1 4亿元-1 8亿元,同比扭亏。东方锆业表示,更多

2022-01-19 12:25:08
+ 点击查看更多精彩
东北华北黄淮等地有小到中雨 南方局地伴有短时强降水
      中新网4月22日电 据中央气象台网站消息,22日白天,东北地区...
壹图|所谓“保护地球”,其实在拯救人类自己
多地推出义务教育阶段课后延时服务 家长有何期待?
      92 9%受访家长期待落实好学生课后延时服务  对于课后服务...
人脸识别频现雷区 超六成受访者吁健全相关法律法规
      过半受访者对人脸识别技术使用心存疑虑  66 1%受访者呼吁...
    资讯播报