2015年,隨著汽車智能化、網(wǎng)聯(lián)化進(jìn)程加速,車輛信息安全問題從理論探討走向現(xiàn)實(shí)威脅。360公司基于其長(zhǎng)期的安全研究與實(shí)踐,正式發(fā)布了《2015年度汽車信息安全報(bào)告》(以下簡(jiǎn)稱《報(bào)告》),并同步推出了專業(yè)的汽車安全咨詢服務(wù),旨在為行業(yè)敲響警鐘,并提供切實(shí)可行的防護(hù)方案。
《報(bào)告》指出,現(xiàn)代汽車已從傳統(tǒng)的機(jī)械產(chǎn)品演變?yōu)閺?fù)雜的“輪式聯(lián)網(wǎng)計(jì)算機(jī)”。通過車載通信系統(tǒng)(如藍(lán)牙、Wi-Fi)、車載診斷接口(OBD)、信息娛樂系統(tǒng)以及日益普及的Telematics(遠(yuǎn)程信息處理)服務(wù),汽車與外部網(wǎng)絡(luò)的連接點(diǎn)顯著增多。這些便利的互聯(lián)功能在提升駕駛體驗(yàn)的也引入了新的攻擊面。報(bào)告列舉了多類潛在風(fēng)險(xiǎn),包括但不限于:通過遠(yuǎn)程無線連接(如蜂窩網(wǎng)絡(luò))入侵車載系統(tǒng),實(shí)現(xiàn)非授權(quán)控制;通過物理接觸OBD端口植入惡意軟件;以及利用移動(dòng)應(yīng)用、云服務(wù)平臺(tái)與車輛通信過程中的漏洞進(jìn)行攻擊。
值得注意的是,《報(bào)告》詳細(xì)分析了數(shù)起公開披露的研究性攻擊案例。例如,安全研究人員演示了如何通過汽車的遠(yuǎn)程信息處理單元,遠(yuǎn)程解鎖車門、啟動(dòng)引擎甚至干預(yù)剎車系統(tǒng)。這些案例并非危言聳聽,它們清晰地表明,針對(duì)汽車的網(wǎng)絡(luò)攻擊已具備技術(shù)可行性,其后果可能直接威脅人身安全與公共安全。
除了風(fēng)險(xiǎn)剖析,《報(bào)告》還從技術(shù)、管理和標(biāo)準(zhǔn)三個(gè)層面探討了防護(hù)思路。技術(shù)上,建議采用深度防御策略,對(duì)車內(nèi)網(wǎng)絡(luò)(如CAN總線)進(jìn)行安全加固,引入入侵檢測(cè)與防御系統(tǒng),并對(duì)關(guān)鍵電子控制單元(ECU)的軟件進(jìn)行安全審計(jì)。管理上,呼吁汽車制造商、供應(yīng)商、服務(wù)商建立貫穿產(chǎn)品全生命周期的安全管理體系。標(biāo)準(zhǔn)上,則期待國內(nèi)外相關(guān)安全標(biāo)準(zhǔn)與法規(guī)的盡快完善與落地。
與《報(bào)告》相呼應(yīng),360宣布推出全面的汽車安全咨詢服務(wù)。該服務(wù)旨在幫助汽車產(chǎn)業(yè)鏈上的企業(yè)系統(tǒng)性提升產(chǎn)品安全水平,具體內(nèi)容包括:
- 安全評(píng)估與滲透測(cè)試:對(duì)整車或特定車載組件(如T-Box、IVI系統(tǒng))進(jìn)行模擬黑客攻擊,發(fā)現(xiàn)潛在漏洞。
- 架構(gòu)安全咨詢:在車輛電子電氣架構(gòu)設(shè)計(jì)階段,融入安全設(shè)計(jì)理念,提供安全架構(gòu)方案。
- 開發(fā)安全支持:指導(dǎo)企業(yè)建立安全開發(fā)流程(如SDL),對(duì)代碼進(jìn)行安全審計(jì)。
- 應(yīng)急響應(yīng)服務(wù):在發(fā)生安全事件時(shí),提供專業(yè)的技術(shù)支持與溯源分析。
- 安全培訓(xùn):針對(duì)研發(fā)、測(cè)試及管理人員,提供定制化的汽車網(wǎng)絡(luò)安全知識(shí)培訓(xùn)。
360此次發(fā)布《報(bào)告》并推出服務(wù),標(biāo)志著其將互聯(lián)網(wǎng)安全領(lǐng)域的深厚積累正式延伸至汽車產(chǎn)業(yè)。這不僅是商業(yè)布局,更是對(duì)產(chǎn)業(yè)健康發(fā)展的責(zé)任體現(xiàn)。對(duì)于整個(gè)汽車行業(yè)而言,2015年這份報(bào)告的發(fā)布,無疑是一劑清醒劑,它提醒所有參與者:在享受智能網(wǎng)聯(lián)汽車帶來的革命性便利時(shí),必須將信息安全置于與功能安全同等重要的戰(zhàn)略高度,未雨綢繆,共建防線。
(注:此為基于事件描述的模擬文章,2015年360確已關(guān)注并發(fā)布汽車安全相關(guān)研究。)
