未来几年,智能网联为汽车制造商提供大量机会,为他们的汽车注入智能,但它也带来了一个重大挑战——与任何联网设备一样,汽车容易受到黑客攻击。
随着未来几年全球联网汽车数量的快速上升,这种威胁将变得更加严重。这也带动了全球汽车行业对于汽车网络安全公司的投资加码。
Upstream Security,一个基于云端联网汽车的网络安全平台,近日宣布B轮融资3000万美元。沃尔沃集团、现代汽车、雷诺-日产-三菱联盟等OEM参与了此轮投资。
几个月前,总部位于洛杉矶的消费者监督机构发布了一份报告,指出联网汽车可能对国家安全构成威胁,尤其是如果在一个集中区域同时有多辆联网汽车行驶。
一、安全漏洞无处不在
和众多联网汽车安全方案商一样,Upstream Security成立的时间并不长,这家成立于2017年的网联安全初创公司采用一种“多层”方法来保护联网汽车和底层网络基础设施。
一个名为C4平台集成了汽车数据流,并保证实时检测事故,根据感知到的影响和严重程度分配等级。
与其他行业的网络攻击一样,联网汽车面临着已知的威胁和迄今未知的威胁,C4平台会分析每辆车的活动,然后使用机器学习技术来识别异常情况。
这些异常会随着时间和“跨多辆车”进行评分和汇总,从而帮助汽车制造商确定真正的威胁,并将误报最小化。
潜在的网联安全需求,也推动了过去一年时间在这个领域的投资活跃度。以色列公司GuardKnox最近刚刚结束一轮2100万美元的融资。
而Upstream Security此轮融资的最大亮点则是几家全球最大的汽车制造商进行的战略投资,这证明了该行业正在解决的潜在安全问题的严重性。
自从四年前研究人员通过远程控制劫持了一辆Jeep切诺基以来,尽管行业内暂时还没有发生过第二起引人注目的汽车黑客事件,但这并不意味着威胁减少了。
相反,针对车辆攻击相关的潜在风险正在快速上升(尤其是汽车制造商为了迎合市场需求加快联网设备的前装量产,而这其中大部分项目并没有严格的网联安全机制),接下来的问题就是如何解决潜在的漏洞。
Upstream Security今年发布的一份威胁情报报告显示,服务器安全风险占比21.40%,其次是无钥匙进入(18.70%),OBD(10.50%)、移动应用(7.4%)和信息娱乐(7.4%)。
该公司负责人表示,如果你关注更多的小事故,就会发现事故数量在不断上升。你可以看看无钥匙进入、密钥信号的盗取、侵入移动应用程序、GPS欺骗,诸如此类的事情正在发生,而且数量还在不断增加。
二、汽车行业已经开始行动
与消费类电子产品不同,汽车的使用寿命可以长达数十年,即使操作系统和组件软件现在可以通过在线更新来修补漏洞,但行业仍在努力应对的更多的未知挑战。
而在具体的项目开发上,一个明显的变化是,汽车网络安全开发要求文档从五年前的仅仅只有一页增加到现在的数百页。
例如,宝马正在开发的汽车安全系统,要求供应商保证与驾驶系统相关的控制单元不可以直接与座舱、车联系统进行互联。
在宝马,超过70%的汽车零部件是由供应商制造的。“因此,我们必须期待我们的合作伙伴在各自的交付中承担实施网络安全的责任,”宝马在一份声明中表示。
一些汽车制造商则通过内部来解决这个问题,通用汽车此前在一份声明中表示,该公司处理了与安全和测试相关的“大量工作”,而没有将成本转嫁给其供应链合作伙伴。
此外,更多的车载芯片的搭载,也意味着未来的安全漏洞无处不在。这些处理器正朝着高性能、低功耗和智能化方向发展,往往会出现处理器硬件安全等问题。
日前,媒体报道清华大学计算机系教授汪东升团队发现了ARM和Intel等处理器电源管理机制存在严重安全漏洞。
团队成员介绍,与其他漏洞需要借助外部链接或者其他软件,才能够对电子设备进行攻击不同,此次发现的漏洞,从本质上讲,黑客不需要借助任何外部程序或者链接,就可以直接获取用户的安全密钥。
而对于终端的车队客户(比如网约车、商业车队)来说,也必须提前对未来互联车队的系统安全“足够重视”。
比如,车辆远程诊断和预测是一个日益增长的需求,也同时带来了更多的风险。已有20多年历史的ODB II标准也可能带来黑客攻击的风险。
此外,正在成为汽车行业新热点的5G、V2X、IoT等等,也带来了新的漏洞。众所周知的巨大的好处之外,也带来了可能更为严重、更多的隐藏攻击点。
同时,仅仅检测入侵是不够的,尽管这很重要,比如可能会出现许多误报。在这一点上,商用车会落后于乘用车。
未来,车辆将需要更强大的网络安全措施,包括入侵预防和检测,以及硬件安全模块等解决方案,以确保域控制器的安全。(来自 高工智能汽车)
閱讀更多 樂談車市 的文章
