本文来自微信公众号“安全牛”。
近年来,随着数字化、智能化和网络化技术的日趋成型,汽车行业的新一轮产业变革已经到来。然而,这种变革也为网络安全风险打开了大门。近日,研究机构Upstream发布了《2023年全球汽车行业网络安全报告》,报告数据显示:在过去5年中,全球汽车行业因为网络化攻击造成的损失超过5000亿美元,而近70%的汽车安全威胁都是由远距离的网络攻击行为引发。研究人员表示:汽车制造企业需要重新思考未来保障车辆安全的策略,从整体车联网平台安全的角度寻找解决方案,而不是传统以车辆为中心的安全模型。
【过去5年,全球汽车行业因网络攻击损失5050亿美元】
在本次报告中,研究人员探讨了当前汽车行业面临的主要安全威胁态势,以及如何有效应对这些威胁挑战的方法和建议。以下就是本次报告研究中的五个关键发现。
发现1:新的攻击面大量出现
随着汽车行业变得更加智能化和数字化,汽车企业因此拓展出更多的商业服务模式,这给了网络攻击者更多的攻击面和攻击载体。报告数据显示,2022年网络攻击者最常使用的载体分别是远程信息处理和应用服务(35%)、远程无钥匙进入系统(18%)、电子控制单元(14%)、车载智能应用API(12%)、车载信息娱乐系统(8%)、车载移动应用程序(6%)和电动汽车充电系统及设施(4%)。
【针对汽车行业网络攻击的主要载体】
研究人员提醒,一些新兴攻击载体的恶意利用趋势已经形成,相关企业和消费者需要给予足够的重视,具体包括:
1、车辆订阅服务:一些订阅式的车辆服务功能方便了消费者的日常使用,但这些服务通常都会要求司机提供个人身份信息(PII)以实名验证,这无疑为身份窃取和假冒相关的攻击敞开了大门;
2、第三方汽车移动应用程序:这些应用程序旨在增强驾驶员的体验,但是同样会需要驾驶员的PII和车辆行驶数据等信息,这对非法攻击者会很有吸引力;
3、电动汽车充电网络及设备:电动汽车需要定期进行电池充电,这个过程增加了被攻击的可能性,也扩大了汽车行业的风险暴露面。所有电动汽车利益相关者都应该从保障充电网络安全的角度做更多的事情;
4、新的车辆管理和保险模式:随着智能汽车中大量遥测工具的使用,促进了企业管理和相关保险服务的发展,这些遥测数据会涉及司机的驾驶行为和使用情况等,一旦相关的监控设备被侵入,其后果将非常严重;
5、智能移动API:在2022年,汽车API攻击的数量增加了380%,占事件总数的12%。随着这项技术的使用不断增加,与API相关的风险也在增加。
发现2:汽车网络攻击的负面影响巨大
一旦成为汽车网络攻击活动的受害者,汽车制造企业会在多个方面受到严重的负面影响。本次报告数据显示,汽车行业的网络攻击活动,对受害企业造成的危害主要包括:数据/隐私泄露、服务/业务中断、车辆失窃、非法控制车辆、实施欺诈、地址跟踪、政策违规等。
网络攻击活动对受害企业的负面影响
由于车辆销售和服务的需要,汽车制造商可以获取到大量的个人信息和车辆使用数据,以及与汽车服务业务相关的其他敏感信息。一旦丢失这些数据,企业将面临灾难性的法律违规后果,会受到严厉的监管处罚。
同时,汽车制造企业从网络攻击中恢复的成本极其昂贵,不仅需要修补被攻击的区域,还要进行彻底的安全风险审计,以确保没有其他类似的安全漏洞。这也可能会损害客户的对企业信任;
目前,无钥匙启动汽车是一项非常便利的功能,但也让盗窃变得越来越普遍,这让供应商陷入了亟需补救的尴尬境地。此外,很多智能汽车在行驶中,一旦被攻击者非法操控,将会造成严重的安全事故,甚至危害到驾驶者的人身安全。
发现3:汽车网络攻击手法复杂化
随着汽车行业的不断变化和发展,非法攻击者的攻击手法也在随之进化。研究表明,针对汽车行业的网络攻击正变得更加精细,以获得更好的攻击效果。
报告数据显示,几乎所有的汽车攻击威胁(97%)都是远程进行的,而有70%的远程攻击是在远距离实施的。攻击者不需要在车辆附近,只要能够连接到车辆的网络系统,就可以发起攻击。
此外,攻击者也在不断改进他们的攻击方法。例如,当犯罪分子获得某款汽车关键的数字基础设施信息,就会以此向汽车制造商勒索高额赎金,同时还可能非法出售隐私数据。在此过程中,很有可能会出现影响整个供应链的大规模数据泄露、拒绝服务(DoS)攻击和生产中断。这一问题在2022年已经表现的非常突出,而随着汽车数字化程度的进一步提升,Upstream预计针对汽车行业的攻击在未来几年将变得更加普遍。
发现4:保障汽车安全是每个人的责任
如今,汽车行业的网络攻击不仅仅局限于汽车生产商。供应链中的每个组件和环节都可能会受威胁。这些攻击不只是为了经济利益,还会危及公共安全和关键信息基础设施安全。因此,从智能汽车基础设施制造商到智能汽车服务提供商,以及所有汽车制造领域的利益相关者,都需要采取行动来保护汽车使用的安全和消费者利益。只有这样,汽车行业才能继续快速且安全地进行数字化转型。
虽然汽车行业在网络安全方面面临巨大的挑战,但也有各种积极的措施正在制定并实施,以提升车辆系统的安全弹性。各大汽车厂商正在调整策略,以适应威胁并保护用户和数据。报告研究人员也同时指出,在2023年,汽车行业生态系统内的安全合作将会增加,从而加速整个行业的整体保护。
发现5:企业要跟上监管政策的调整和变化
目前,汽车行业的监管机构已经开始意识到,汽车、基础设施和消费者隐私面临的网络安全风险。他们正在开始制定新的法规,以应对这些风险。在此背景下,汽车行业网络安全保护的范围和措施将会不断提升。一些新的行业标准正在陆续颁布并实施,这些新安全标准更加强调了在汽车全生命周期的每个阶段,实施高标准网络安全实践的重要性。除了在行业内实施更好的网络安全实践外,这些新法规和指南还提供了统一的术语、方法、目标和范围,以使整个汽车行业在网络安全防护目标上达成一致。