尽管汽车行业为创建和部署广泛的解决方案付出了很多努力,但汽车网络安全仍将是最困难的问题。新型网络安全攻击似乎会攻击新型软件定义汽车和扩展通信技术中暴露出的新漏洞。这就需要不断改进网络安全技术、产品和服务。

尽管汽车行业为创建和部署广泛的解决方案付出了很多努力,但汽车网络安全仍将是最困难的问题。新型网络安全攻击似乎会攻击新型软件定义汽车(SDV)和扩展通信技术中暴露出的新漏洞。这就需要不断改进网络安全技术、产品和服务。

Upstream Security公司发布的“2024 Upstream Global Automotive Cybersecurity Report”(2024年全球汽车网络安全报告),是了解汽车网络安全趋势和活动的最佳来源。本文是该报告的摘要,点击此处可下载其英文版内容。

网络安全概述

该2024年报告是其第六个年度版本,数据超过130页。自2010年以来,Upstream已跟踪了1,468起与汽车相关的事件。2023年,Upstream分析了295起新的公开网络安全事件,占2010年以来总数的20%。

本文重点讨论Upstream报告中的以下关键主题:

  • 公共漏洞和暴露(CVE)的增长
  • 网络安全事件趋势
  • 来自社交媒体的网络攻击信息日益增多
  • 网络攻击媒介日益多样化
  • 网络攻击成本上升
  • GenAI对网络攻击的新影响

CVE增长

CVE是对容易被网络攻击者成功利用的弱点的衡量标准。公共漏洞评分系统(CVSS)旨在为CVE的评级提供一种开放且标准化的方法。CVSS可帮助各组织根据漏洞的严重性、引入时间和环境特性确定优先级并协调联合响应。根据CVSS评分,漏洞分为严重、高、中到低或无。

下表显示了过去五年中与汽车相关的CVE的增长情况——从2019年的24个新CVE到2023年的378个新CVE。累计CVE从2019年的24个跃升至2023年的725个。2023年新增的CVE占CVE总数的52%以上。

Upstream仅关注直接影响汽车和智能移动生态系统的CVE,例如共享移动、移动物联网设备和车队,排除了与可能在整个供应链中使用的通用IT硬件或开源软件相关的CVE,并将跟踪每个漏洞的来源和严重程度。

下图显示了2019年至2023年新漏洞的来源以及2023年发现的378个新CVE的严重性。左侧饼图显示了从2019年至2023年引入725个网络安全漏洞的三类公司,包括汽车原始设备制造商、零部件系统制造商(包括一级供应商)和硬软件芯片组售后市场供应商。

右侧饼图总结了2023年新漏洞的CVE严重程度,包括四个级别。2023年,严重和高危漏洞占CVE总数的近80%,而2022年这一比例为71%。这一趋势凸显了监控汽车CVE、及早发现网络攻击并优先考虑快速缓解的重要性。

网络安全事件趋势

汽车网络安全事件持续增长。一个更大的问题是,网络攻击的严重程度增长得更快。Upstream根据对移动资产的潜在影响规模对2021年至2023年公开披露的汽车网络安全事件进行了分析。影响范围包括车辆、用户、移动设备等。Upstream根据四个影响级别对事件进行了分类:

  • 低级,包括可能影响10个以下资产的事件。
  • 中级,涵盖影响多达1,000个车辆或移动资产的事件。
  • 高级,包括影响数千个车辆或移动资产的事件。
  • 大规模,涵盖可能影响数百万移动资产的事件。

下表是Upstream根据四个影响级别对过去三年趋势的分析总结。最上面一行列出了每年发生的事件数量。

2021年和2022年期间,高级或大规模事件约占网络安全攻击总数的20%。2023年,具有高影响或大规模影响的事件比例翻了一番,达到近50%。这种向大规模攻击的转变对遭受网络攻击的车辆和移动资产的数量产生了重大影响。

下图显示了最突出的汽车相关网络事件类型的细分。图中显示的是2023年网络事件总数的百分比。

服务和业务中断持续上升,占2023年事件的42%,高于2022年的40%。

数据和隐私泄露是第二大类,占事件总数的22%。由于车辆和移动系统中存储的信用卡和相关数据的可用性越来越高,这些数据变得越来越有用。

Upstream的数据显示,与欺诈相关的事件急剧增加,占2023年事件的20%,高于2022年的4%。深网上最流行的欺诈信息之一是里程修复,正式名称为里程表欺诈。根据美国国家公路交通安全管理局(NHTSA)的数据,每年有超过450,000辆汽车以虚假的里程表读数出售,使美国买家损失超过10亿美元。

来自社交媒体的网络攻击信息越来越多

随着社交媒体成为消费者和专业人士的主要平台,威胁行为者正在使用社交媒体交换知识,并有可能在几分钟到几小时内接触到世界各地数百万人。

社交媒体对网络安全的影响怎么强调都不为过。社交媒体的广泛影响力已成为网络活动的滋生地。深网和暗网中隐藏的网络内容现在很容易暴露出来,并被广大受众获取。基于其病毒式传播的潜力,社交媒体已成为恶意活动(犯罪和欺诈事件)的主要传播渠道。

将有关如何通过社交媒体入侵车辆的讨论从深网和暗网转移到开放互联网是一个令人不安的趋势。汽车爱好者和黑客现在可以轻松地与全球受众分享他们的汽车黑客发现。近年来,Facebook、TikTok、YouTube和Instagram已成为分享汽车黑客工具、手册、越狱和黑客演示的重要平台。

一个典型的例子是2022年10月病毒式传播的所谓“TikTok挑战”,导致现代和起亚制造的数万辆汽车在美国全国范围内被盗。在2023年2月的一份新闻稿中,NHTSA点名批评TikTok,称TikTok社交媒体挑战在美国全国范围内蔓延,导致至少14起车祸和8人死亡。

要应对网络活动对社交媒体的影响,需要汽车行业、监管机构和社交媒体平台共同努力,提高公众意识并确保汽车技术的安全可靠。

网络攻击媒介日益多样化

2023年,网络攻击变得更加复杂和频繁。它们针对多个车辆系统和组件,以及智能移动平台、物联网设备和应用。新的攻击方法表明,任何连接点都容易受到网络攻击。

2023年,远程信息处理和应用服务器等后端服务器的网络事件大幅增加。服务器相关事件从2022年的35%增长到2023年的43%。通过利用后端服务器的漏洞,黑帽行为者可以在车辆行驶过程中对其进行攻击。信息娱乐相关事件几乎翻了一番——从2022年的8%增加到2023年的15%。

网联汽车和智能移动服务使用大量外部和内部API,每月产生数十亿笔交易。OTA和远程信息处理服务器、移动应用程序、信息娱乐系统、移动物联网设备、电动汽车充电管理和计费应用程序都严重依赖于API。

API也是重要的全车队大规模攻击媒介,可导致各种网络攻击,包括个人信息盗窃、后端系统操纵和远程车辆控制。

API黑客攻击成本效益高,具有实施大规模攻击的能力。它所需的专业技术知识相对较少,使用标准技术,无需特殊硬件即可远程执行。这是未来快速增长的一种方式。

电子控制单元(ECU)负责发动机、转向、制动、无钥匙进入和其他关键系统。黑客试图操纵ECU,通过同时运行多个复杂系统来控制其功能。

黑帽行为者利用无线钥匙扣来实施攻击。无线钥匙扣配有短程无线电发射器,可向接收器发送编码无线电信号。钥匙和车辆之间的通信可通过可拦截、中继、重放或干扰无线电信号的设备来操纵。公开的黑客教程和无需注册即可在线销售的设备使这些攻击变得流行且易于实现。

安全的充电基础设施对于电动汽车的采用至关重要。目前,许多充电器、充电基础设施系统和相关应用程序容易受到物理和远程操纵,使电动汽车用户面临欺诈和勒索攻击。这也影响了充电网络的可靠性。

V2X攻击尚处于起步阶段,还未出现在网络攻击中。然而,随着C-V2X系统在许多国家的兴起,预计V2X网络攻击在未来将变得更加频繁。

预计C-V2X车辆将与周围的整个环境进行交互,包括行人和骑自行车的人、来自十字路口交通灯和控制系统的数据,以及与其他C-V2X用户基于CDA的合作。

网络攻击成本上升

汽车和智能移动网络攻击会在多个层面造成严重的财务影响。它们可能导致召回或OTA更新、停产、勒索软件赎金支付和车辆失窃。其他影响还包括数据和隐私泄露,这会损害品牌声誉和客户信任,最终导致巨额监管罚款和收入减少。随着大规模网络安全事件的发生,预计未来的成本将迅速增加。

Upstream列出了汽车网络威胁造成的主要财务影响,并列举了几个成本范围的例子。本文中的一个例子涉及电动汽车充电网络数据泄露的财务影响,下表对此进行了总结。

2023年6月,一名安全研究人员发现了一个在线数据库,其中包含30多个国家数十万个电动汽车充电站组成的全球网络的数百万条日志(接近1TB)。

内部数据库托管在最流行的公共云平台上,无需密码即可访问,其中包含使用电动汽车充电网络的客户的敏感数据。数据包括车队客户的姓名、电子邮件地址、电话号码、使用网络充电的车队运营商名称、车辆识别号以及电动汽车公共和私人住宅充电点的位置。

生成式人工智能(GenAI)在网络攻击中的新兴影响

GenAI时代正在汽车行业兴起,许多OEM厂商采用GenAI功能来增强产品功能,并实现内部生产力和效率。GenAI在网络攻击方面的新兴影响和潜在未来影响是一把双刃剑,既有消极因素,也有积极因素。

GenAI预计将成为黑帽行为者的重要工具,协助他们完成大规模攻击并降低进入壁垒。黑帽可以应用大型语言模型(LLM)来快速识别漏洞,并了解如何利用这些漏洞。这将为黑帽提供攻击CVE的标准策略、方法和流程。

GenAI可用于映射CVE、目标API并识别潜在漏洞,并提供漏洞利用的分步指导。LLM可通过吸收公共漏洞数据库和网络安全研究中的信息,用于生成恶意代码或脚本。API特别容易受到影响,因为攻击者可以使用GenAI来探索API文档,这些文档可能是公开的、意外自我披露的或在暗网上泄露的。

从利用GenAI模拟攻击环境来看,汽车网络安全行业面临着额外的挑战,因为这将导致更加不可预测和复杂的攻击。GenAI还将增加检测这些攻击的难度。

好消息是,GenAI也有可能改变汽车网络安全解决方案和运营。GenAI将支持一系列用例——从敏捷调查和车辆安全运营中心(vSOC)工作流程自动化,到基于深网和暗网数据以及深入的威胁分析和风险评估(TARA)生成复杂的见解。Upstream是在vSOC及其他网络安全产品和服务中实施GenAI的领先企业。

GenAI使网络安全团队能够快速分析多个来源的海量联网车辆和移动数据,从而大大提高了效率。GenAI可以检测模式、过滤事件警报并自动进行调查。汽车网络安全行业必须接受GenAI的变革能力,利用自身的GenAI技术防范来自黑帽的高级威胁。

总结

从漏洞、攻击者数量和攻击复杂性到汽车网络安全行业参与者的响应活动,汽车网络安全在多个层面都是一个增长型业务。

有几种技术趋势正在产生重大影响,其中SDV增加了大量软件代码,而这些代码都会存在漏洞。人工智能技术注定会成为网络安全攻击以及发现、分析和防御大量复杂攻击媒介的主要因素。

社交媒体越来越多地被用作恶意网络安全信息的滋生地和传播渠道,这是一个令人担忧的趋势,需要引起许多参与者的关注。

网络安全攻击媒介的多样性不断增加。用于远程信息处理、网联汽车应用程序和移动应用程序的众多后端服务器已成为最大的攻击媒介,2023年占所有网络攻击的43%。由于越来越多的系统和设备使用越来越多的内容和应用程序,信息娱乐系统仍然是常见的攻击目标。

一个重要的漏洞增长因素是用于在不同软件平台和应用程序以及与软件相关的各种内容之间进行通信的API。基于API的通信每月被使用数十亿次,极小的漏洞比例也很快就会造成重大问题。

修复和恢复成功汽车网络攻击的成本正在迅速增加。Upstream列举的例子从1700万美元到近5000万美元不等。随着被攻击车辆数量的增加,未来的成本也会增加。

原文标题:

(原文刊登于EE Times美国版,参考链接:Automotive Cybersecurity: A Review of 2023,由Franklin Zhao编译。)

本文为《电子工程专辑》2024年7月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里

责编:Franklin
本文为EET电子工程专辑原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
阅读全文,请先
您可能感兴趣
汽车以太网正越来越多地用于车载电子设备,在互连设备和组件之间传输高速串行数据。由于数据传输速率相对较快,而且联网设备复杂多变,因此经常会出现信号完整性问题。本文概述了几个实际挑战,并深入介绍了如何使用示波器识别和调试汽车以太网物理层信号完整性问题。
雷达在新型汽车设计中随处可见。现在,高清雷达可以在所有天气条件下发挥作用,可以作为AI物体检测的前端,与其他传感器通道相辅相成,进一步提高准确性和安全性。高价值嵌入式雷达系统的制造商有着巨大的潜力。然而,如何在竞争中发掘这种潜力可能是一项挑战。
百度旗下自动驾驶出行服务平台“萝卜快跑”在武汉投入运营,订单量大涨,股市一片叫好,引起高度关注和热议。与此同时,萝卜快跑引起了武汉出租车司机的强烈抗议,百万漕工衣食所系,但抗议的背后,是一场难以扭转的新能源汽车之战
对零排放(ZE)基础设施的追求仍在继续,尤其是在加利福尼亚州。去年4月,加州空气资源委员会批准了一项法规,要求铁路公司用ZE机车取代柴油电力机车。零排放货运机车可能是个宏伟的目标,但实现起来却令人望而生畏。
现代车辆不仅仅是一种交通工具,更是车轮上的先进计算平台。与所有计算系统一样,有效传输数据的能力对于这类系统的平稳运行和安全操作至关重要。
电动汽车的核心部件是为车轮提供机械动力和转矩的电机。
为了不断追求更好的视觉效果,显示技术行业在增强对比度、亮度和能效方面都面临着挑战。其中一个重要障碍是实现有效的"局部调光",即屏幕特定区域可独立变暗或变亮的技术。
AONZ66412 XSPairFET™ 占地面积紧凑,可简化 PCB板内设计,有助于提高功率密度,同时满足高效Type C应用性能需求。
国内领先的存算一体AI芯片创新企业后摩智能完成数亿元人民币的战略融资,由中国移动旗下北京中移数字新经济产业基金、上海中移数字转型产业基金共同对公司进行投资。
7月10日,备受瞩目的慕尼黑电子展在上海圆满落幕。作为全球电力电子行业的专业展览,慕尼黑电子展不仅展示了最新的产品与技术,更推动了行业的持续创新与发展。此次盛会汇集了1600多家企业参展,三天展览共吸引了超过15万的专业观众,英诺赛科以其创新的氮化镓产品和解决方案,成为展会焦点。
来源:《中国半导体大硅片年度报告2024》2016 年至 2023 年间,全球半导体硅片(不含 SOI)销售额从 72.09 亿美元上升至121.29 亿美元,年均复合增长率达 7.72%。2016
英国豪华汽车制造品牌捷豹决定大幅精简旗下车型,被砍掉的车型包括XE轿车、XF轿车及旅行版、F-Type跑车、E-Pace SUV,以及捷豹旗下首款纯电动车型I-Pace。据称,原因主要有两方面,一是因
现货促销让采购/更简单/更高效为了更好地帮助大家采购芯片,实现供需资源的无缝对接。AMEYA360决定开启【现货促销】专栏,通过AMEYA360微信公众号,每天推送原厂现货促销物料,助力广大用户制定更
近日,又有京东方、厦门信达、万润科技、大族激光等4家LED显示相关企业发布了业绩预告。插播:8月28日,MLED商业化2.0峰会,即日起至本月底可享199早鸟价优惠▋ 京东方:净利同比预增185% ~
RS3112系列、RS50xx系列和RS34xx-Q1系列高精密串联基准源成功量产推向市场以来,在工业现场采集、汽车电子和仪器仪表等应用领域赢得了大量设计并大批量出货。基于深厚的技术经验和创造性的设计
近日,在美国密歇根大学研究团队的主导下,氮化镓极化理论从传统的极化概念更新为现代极化理论(MTP),为氮化镓的电子性能优化提供了新的理论基础。具体来看,美国密歇根大学的研究人员通过更新模型,重新审视了
7月15日,市场研究机构IDC发布的数据显示,2024年第二季度,全球智能手机出货量同比增长6.5%至2.854亿部,意味着全球智能手机市场连续四个季度出货增长。           从厂商出货排名来
监管文件显示,中国智能设备制造商小米科技 2022-23 财年在印度的利润同比暴跌 77% 至 20 亿卢比左右。该公司上一财年的利润为 105.77 亿卢比。此外,小米的营业收入从 2022 财年的
XR市场目前正经历低迷,但领先品牌正齐心协力促进销售。美通社消息,Omdia的最新研究表明,虽然包括AR、VR和MR在内的XR市场目前正经历低迷,但领先品牌正齐心协力促进销售。XR市场的低迷表现已导致
AI司机 发自 副驾寺智能车参考 | 公众号 AI4Auto喝咖啡,看News,各种出差体验最新的车,见各种有意思的人获取最酷的认知。这大概就是智能车参考编辑部的日常,现在这样的工作和生活方式,正式向