本文来自微信公众号“信息化”,作者/九乐。
进入2023年,随着我们踏上边缘计算的旅程,大多数行业都在数字化层面上发展。但汽车行业正在经历另一个层面的技术创新。联网汽车产量的增加、新的自动驾驶功能以及使汽车能够自动停车和自动驾驶的软件的兴起,都是席卷汽车行业的数字化发展的典范。
根据AT&T 2022网络安全洞察(CSI)报告,75%的组织计划实施边缘安全变革,以帮助减轻影响汽车、卡车、车队和其他联网车辆及其制造商的风险。并且有充分的理由。
在网络攻击方面,这些汽车功能和进步为网络犯罪分子提供了一系列新机会。威胁行为者以多种方式瞄准汽车行业,包括久经考验的真实方法和新的攻击媒介。
在本文中,您将了解进入2023年汽车行业面临的8大网络安全威胁,以及该行业可以采取哪些措施来防止威胁。
汽车网络安全威胁
近年来,针对汽车行业的网络攻击数量出现了惊人的激增。这种针对车辆的网络攻击的新流行,是因为与几年前相比,如今道路上联网车辆的数量急剧增加,以及车辆网络黑客知识和工具的激增。通过广泛连接的无线网络,数据收集的增加产生了攻击向量,从OEM后端服务器到车辆电子控制单元(ECU),甚至是信息娱乐单元的蓝牙功能。
随着汽车越来越多地配备连接功能,远程威胁更有可能发生。最近的一份报告显示,82%的针对汽车行业(包括消费车辆、制造商和经销商)的攻击是远程进行的。此外,一半的车辆盗窃涉及无钥匙进入。
汽车制造商、经销商和消费者在汽车网络安全方面发挥着重要作用。但随着行业继续采用互联技术,组织采取积极主动的网络安全方法将变得越来越重要。
说到汽车威胁,黑客使用无数方法来窃取车辆和驾驶员信息并导致车辆功能出现问题。接下来,让我们探讨一下今年汽车行业面临的8大网络安全威胁。
无钥匙偷车
远程无钥匙偷车贼越来越普遍,因为有了新的技术方法来解锁和启动车辆。此外还有用于操纵车辆的工具和技术,这些工具和技术随后在互联网上出售。因此,汽车盗窃和汽车闯入已成为过去10年网络事件的主要影响因素。汽车被盗时,车主除了要承受痛苦之外,汽车保险公司还负责处理损失,并为许多汽车被偷的司机支付费用。这一现象在许多国家已经成为一个严重的问题,因为它也表明,它的影响是当今汽车世界最深刻的问题之一。从数量上看,汽车盗窃和入室盗窃占该行业事故总数的四分之一以上。除了上述盗窃汽车的频率外,2019冠状病毒病还导致了车辆盗窃的增加。2021年前9个月,仅在美国洛杉矶就有17195辆汽车被盗,创下十多年来年度被盗车辆最高纪录。
作为最突出的威胁之一,无钥匙汽车盗窃是汽车行业的主要关注点。今天的钥匙扣使车主能够通过站在车辆附近锁定和解锁车门,甚至无需实体钥匙即可启动汽车。
启用无钥匙启动和无钥匙进入的汽车容易受到中间人攻击,这种攻击可以拦截汽车与遥控钥匙本身之间的数据连接。黑客利用这些系统通过欺骗组件认为它们就在附近来绕过身份验证协议。然后攻击者可以在不触发任何警报的情况下打开车门并启动车辆。
电动汽车充电站攻击
企业文化,或称组织文化,是一个组织由其价值观、信念、仪式、符号、随着全球向环保技术转型,电动汽车正变得越来越流行。充电站允许电动车车主在公共停车场、公园甚至他们自己的车库等便利地点为车辆充电。
当您在充电站为电动汽车充电时,数据会在汽车、充电站和拥有该设备的公司之间传输。该数据链展示了威胁行为者可以利用电动车充电站的多种方式。恶意软件、欺诈、远程操纵,甚至禁用充电站都是黑客利用电动车充电站基础设施的方式的例子。
信息娱乐系统攻击
近年来,针对汽车行业的网络攻击数量出现了惊人的激增。这种针对车辆的网络攻击的新流行,是因为与几年前相比,如今道路上联网车辆的数量急剧增加,以及车辆网络黑客知识和工具的激增。通过广泛连接的无线网络,数据收集的增加产生了攻击向量,从OEM后端服务器到车辆电子控制单元(ecu),甚至是信息娱乐单元的蓝牙功能。
现代汽车需要超过1亿行代码才能运行。大部分代码都进入了车辆的固件和软件,支持导航、USB、CarPlay、SOS功能等。这些信息娱乐系统还为犯罪分子打开了通往汽车ECU的大门,危及生命并危及对车辆的控制。
制造商需要注意许多代码漏洞,并且随着信息娱乐系统继续变得更加复杂和精密,将会发现更多漏洞。
暴力网络攻击
另一种影响汽车行业的常见攻击类型是老式的暴力网络攻击。汽车行业中连接和自动化的车辆和企业面临的许多威胁,与常见的云安全威胁相似,但这并没有降低它们的破坏性。
暴力攻击是针对网络的久经考验的真实网络攻击,目的是破解凭据。在汽车行业中,暴力攻击可能会产生深远的影响。制造商、经销商和所有者都可能成为此类攻击的受害者。当凭据遭到破坏时,整个系统很容易成为复杂攻击的目标,最终可能导致固件故障、大规模数据泄露和车辆盗窃。
网络钓鱼攻击
黑客获取进入目标网络的凭据的另一种方法是通过网络钓鱼等社会工程学攻击。攻击者将向汽车公司员工发送一封电子邮件,他们在其中冒充受信任的发件人,并附有官方外观的HTML和签名。有时攻击者会直接要求提供凭据,但通常情况下,攻击者会在电子邮件中放置一个带有恶意代码的链接。
当接收者点击链接时,恶意代码被执行,网络犯罪分子可以在目标系统中自由漫游,访问敏感数据,并从内部进行进一步的攻击。
受损的售后市场设备
保险加密狗、智能手机和其他第三方连接设备也对汽车行业构成网络安全威胁。这些售后市场设备直接连接到车辆系统,为黑客提供了另一种发起攻击的方式。
对于那些想购买二手车的人来说,这种威胁也需要考虑很多。许多人选择通过汽车经销商出售或交易二手车,消费者可以在经销商那里找到二手车的交易。联网设备可能会在汽车系统中留下恶意软件和后门程序,让下一位车主也面临风险。
勒索软件
勒索软件是当今科技领域最普遍的威胁之一。不幸的是,汽车行业也不例外。勒索软件对汽车行业是一个重大威胁,包括原始设备制造商、消费者和经销商。历史上汽车行业遭受了多次勒索软件攻击,原始设备制造商、一级公司和汽车服务提供商继续成为威胁行为者的目标。例如2021年2月针对亚洲原始设备制造商的攻击,DoppelPaymer团伙要求用2000万美元换取解密器。此外,在OEM能够解决该问题之前,客户有好几天无法购买车辆。另一起事件发生在2021年2月,当时东欧的一家汽车共享服务公司遭到勒索软件攻击,包括该公司客户在内的11万人的个人数据被泄露到一个在线黑客网站,并在一个在线暗网论坛上发布出售。被盗数据包括用户名、个人识别号码、电话号码、电子邮件和家庭地址、驾照号码和加密密码。
勒索软件攻击几乎占了过去一年所有黑帽黑客攻击的三分之一。这些攻击通常以公司的IT服务器为目标,试图敲诈企业。尽管如此,有必要承认,如果他们可以访问后端it服务器,他们也可以控制系统并促进对车辆的攻击。上述攻击破坏了美国所有OEM经销商的服务,以及OEM的链接应用程序、电话服务、支付系统和经销商使用的内部网站。
威胁行为者可以劫持组织的数据作为人质,以换取大笔赎金。如果没有合适的信用保护服务,汽车企业可能会陷入财务困境。这些攻击会影响IT系统和运营,并可能导致代价高昂的停机。
汽车供应链攻击
汽车行业利用复杂的供应链采购用于制造新车、进行维修和提供服务的组件。这个供应链给行业带来了巨大的风险,因为每个连接的端点都是一个等待发生的漏洞。
现代汽车每辆车大约有100个ECU。其中许多都是由可信的Tier-1、Tier-2和外围供应商生产的。每一个都很重要,但每一个都有可能让黑客渗透内部系统,获取其他车辆的信息,访问中央服务器,甚至伤害司机或乘客。在汽车行业,汽车原始设备制造商及其供应链公司和供应商可能难以遵循和管理产品的材料清单,无论是信息娱乐系统还是特定的ECU。因此,联网汽车的硬件组件中可能包含软件漏洞。这些供应商制造的部件会在OEM无法正确识别漏洞来源的情况下进入车辆。即使消费者确实想要车辆部件的详细信息,追踪它们也将是一项艰巨的任务。
但供应链攻击也会波及消费者。包含恶意代码的更新补丁可以推送到互联汽车,坏人可以破坏固件,恶意软件可以让供应商的运营完全停止。在直接关系到消费者健康和福祉的问题上,消费者别无选择,只能信任汽车制造商和监管机构。通常情况下,原始设备制造商和联邦机构甚至无法获得深入的部件数据和它们构成的潜在威胁。例如,2021年1月,一名黑客成功入侵了一家欧洲一级巨头用于亚洲主要OEM汽车的信息娱乐单元。他们发现了信息娱乐系统的一个漏洞。通过插入USB设备,他们可以获得系统的root shell访问权限,并获得管理员访问权限,以安装未经授权的软件。黑客发现,欧洲生产的信息娱乐系统漏洞还可能影响到2015年以后生产的另外四款车型和商业车型。
此外,只在汽车行业使用的二级供应商芯片上发现了100多个漏洞。这些芯片最终被放入一级产品中,而一级产品又被放入车辆中。这些漏洞可能会影响多个OEM,因为一个一级供应商可能向众多OEM提供产品,而一个二级供应商可能为多个一级供应商提供服务。此外,在2021年8月,一份研究报告披露,一家二级供应商已确认存在一个漏洞,允许攻击者获得对北美电动汽车OEM自动驾驶系统代码执行的特权控制。这种攻击包括解锁一个引导加载程序,通常对消费者禁用,用于实验室条件。这种攻击也适用于欧洲OEM的信息娱乐系统,因为它也使用了二级供应商的硬件。
行业该如何确保汽车安全
网络安全应该是整个汽车生命周期的中心目标。但同样重要的是,汽车制造商要提高网络安全专业知识,以监控道路上的联网和自动驾驶车辆。
美国国家公路交通安全管理局(NHTSA)最近发布了其推荐的现代车辆网络安全最佳实践,以帮助加强车辆的底层数据架构并防止潜在的攻击。
他们表示,汽车行业应遵循美国国家标准与技术研究院(NIST)的网络安全框架,该框架侧重于五个关键功能:识别、保护、检测、响应和恢复。NHTSA针对车辆的建议是基于了NIST框架,但却是专门针对汽车行业编写。
最后,联邦贸易委员会(FTC)还制定了针对联网和自动驾驶车辆的法规。根据新的保障规则,经销商应在2023年6月之前满足其组织和车辆的网络安全合规要求。
最后的思考
在2023年及以后,汽车制造商、销售商、消费者、供应商、维修商以及所有业内人士在提高联网汽车的安全性方面发挥着至关重要的作用。
参考及来源:https://cybersecurity.att.com/blogs/security-essentials/the-top-8-cybersecurity-threats-facing-the-automotive-industry-heading-into-2023