360发布报告 构建主动纵深防御方案应对智能网联汽车安全问题

2020-03-25来源: EEWORLD关键字:360  智能网联汽车安全。网络安全

3月24日,360发布了《2019年智能网联汽车信息安全年度报告》(下称《报告》),这是360连续第五年发布智能网联汽车信息安全年度报告。报告梳理了智能网联汽车网络安全方面的进展,同时建议针对2019年新出现的安全问题构建主动纵深防御策略,为智能网联汽车“新四化”保驾护航。


智能网联



智能网联

智能网联汽车“新四化”


新攻击手段来袭  360安全通信模组将解决大多数车厂难题


通信模组是导致批量控车发生的根源。2019年8月,百度公司在BlackHat世界黑客大会上,公布了黑客可以通过APN直接访问车厂后台核心网内的资源,从而进行控制车辆的攻击方法。2019年12月,360智能网联汽车安全实验室在与梅赛德斯奔驰的研究中也是利用了此类的漏洞,使用新型攻击手段,实现批量远程开闭车门,启动关闭引擎等控车操作,影响200余万辆奔驰汽车。


360智能网联汽车安全实验室在发现此类新型攻击方法以后,就投入了对安全通信模组的研发。通过对传统通信模组进行了升级改造,在原有模组的基础架构之上,增加了安全芯片建立安全存储机制。集成了TEE环境保护关键应用服务在安全环境中运行,并嵌入了入侵检测与防护模块,提供在TCU端侧上的安全监控,检测异常行为,跟攻击者进行动态的攻防对抗。通过主动防御的方式,抵御新型车联网攻击。


经过大量的研究分析,大部分车厂均存在类似的安全漏洞,且无法感知到此类新型攻击的发生,360智能网联汽车安全实验室的安全通信模组则显得尤为必要。


汽车攻击花样频出  360打造黑客视角渗透测试服务


《报告》分析了2019年发生的多起汽车安全事件,涵盖了针对通信模组,PKES车钥匙,TSP服务器,手机APP等漏洞的利用,黑客不仅发掘了更多的智能网联汽车攻击面,同时对各个攻击面的研究程度也愈发深入。


智能网联


英国博勒姆伍德地区,两个小偷在30 秒内使用中继攻击设备,在没有钥匙的情况下成功实现盗窃特斯拉 Model S。


以数字车钥匙系统的攻击事件为例,有通过中继攻击的方式,将钥匙的信号进行放大,使钥匙收到并响应汽车短距离内的射频信号,从而完成一个完整的挑战应答通讯过程,最终盗取车辆。也有通过研究PKES加密算法,破解车钥匙密钥的方式,利用算法漏洞,复制车钥匙的密钥,实现解锁车辆。


智能网联

Model S 钥匙 FOB 破解设备 


从攻击成本来看,黑客和安全研究人员制作的PKES车钥匙攻击设备并不昂贵且易于携带,研究者声称复制车钥匙的破解工具只需要Raspberry Pi 3 Model B+,一个负责RFID嗅探及克隆的Proxmark3,Yard Stick One天线及一个用来供电的USB充电宝,总价不超过600美元,可轻易放置于背包中。而中继攻击方式的车钥匙盗窃设备和教程,甚至可以在互联网上购买到。


针对花样百出的黑客攻击,智能网联汽车需要全新的安全测试模式。360智能网联汽车安全实验室结合安全威胁情报,采用黑盒测试方式,完全模拟黑客攻击的手段,根据车联网“云”、“管”、“端”的三大面结构,结合各个零部件/系统的安全问题,进行整车级安全测试,综合判断安全问题危害及影响范围,合理提出安全建议,从黑客的视角提供全面的渗透测试服务。


汽车网络安全标准将全面铺开  360建议还需主动纵深防御策略


2020年是汽车网络安全标准全面铺开的一年,ISO/SAE 21434将提供方法论指导汽车产业链建设系统化的网络安全体系,ITU-T(国际电信联盟电信标准分局)、SAC/TC114/SC34(全国汽车标准化技术委员会的智能网联汽车分技术委员会)、SAC/TC260(信息技术安全标准化技术委员会)、CCSA(中国通信标准化协会)等组织和联盟的一系列汽车网络安全技术标准,给安全技术落地提供了参考。


智能网联


《报告》为汽车厂商、供应商、服务提供商提出了五点建议


但是目前安全标准大多提供的是基线的安全要求,在动态变化的网络安全环境下,仅遵循标准,使用密码应用等被动防御机制还远远不够。新兴攻击方式层出不穷,需要构建多维安全防护体系,增强安全监控等主动防御能力。《报告》为汽车厂商、供应商、服务提供商提出了五点建议:


1、供应链车企厂商应将定期的网络安全渗透测试应作为一项至关重要的评判标准,从质量体系,技术能力和管理水平等方面综合评估供应商。


2、遵循汽车网络安全标准,建立企业的网络安全体系,培养网络安全文化,建立监管机制,在全生命周期开展网络安全活动。


3、被动防御方案无法应对新兴网络安全攻击手段,因此需要部署安全通信模组、安全汽车网关等新型安全防护产品,对异常流量、IP地址、系统行为等进行实时监控,主动发现攻击行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。


4、网络安全环境瞬息万变,安全运营平台可通过监测车联网端、管、云数据,结合精准的安全威胁情报对安全事件进行溯源、分析,及时发现并修复已知漏洞。在安全大数据的支撑下,安全运营平台不断迭代检测策略,优化安全事件处置机制,并将车联网海量数据进行可视化呈现,实时掌握车辆的网络安全态势。


5、良好的汽车安全生态建设依赖精诚合作,术业有专攻,互联网企业和安全公司依托在传统IT领域的技术沉淀和积累,紧跟汽车网络安全快速发展的脚步,对相关汽车电子电气产品和解决方案有独到的钻研和见解。汽车产业的这场“软件定义车辆”的大变革,只有产业链条上下游企业各司其职,各取所长,形成合力,才能共同将汽车网络安全提升到层次化的“主动纵深防御”新高度。


关键字:360  智能网联汽车安全。网络安全 编辑:鲁迪 引用地址:http://news.eeworld.com.cn/qcdz/ic492580.html 本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:利用有安全保障的闪存存储来构建安全汽车系统
下一篇:面向全球 现代摩比斯研发后座警示系统

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

技术文章—360度全景环视和自动泊车系统
环视系统使用多个摄像头输入为驾驶员提供汽 车周围区域的 360 度全景视图。摄像头输入拼接 到以汽车为中心的俯视图中。该图像以可视化的形 式提供给驾驶员,以提供手动泊车辅助。显示汽车 与物体、路缘或停车线相对位置的多个图层的叠加 增强了环视图像的可用性。下一个类型的泊车辅助系统是半自动泊车系统。这 类系统综合了摄像头、超声和位置信息,能够生成 更详尽的汽车周围环境图片,从而在某种程度上实 现了自动泊车。借助上述信息,汽车将完成基本的 泊车操作,即通过控制转向、制动、加速和换档, 自动停在(或驶离)可用的水平或垂直
发表于 2020-03-17
技术文章—360度全景环视和自动泊车系统
360度全景环视和自动泊车系统解决方案
TDA4VM 处理器芯片和软件平台的技术要求,并介绍如何引入实现安全、舒适的全自动泊车所需的技术。 自动泊车和泊车辅助系统根据泊车辅助系统的不同功能,该系统可分为三个基本类型。表 1 对这三种类型进行了详细的介绍。基础环视系统使用多个摄像头输入为驾驶员提供汽车周围区域的 360 度全景视图。摄像头输入拼接到以汽车为中心的俯视图中。该图像以可视化的形式提供给驾驶员,以提供手动泊车辅助。显示汽车与物体、路缘或停车线相对位置的多个图层的叠加增强了环视图像的可用性。 表 1. 环视和自动泊车应用和要求。下一个类型的泊车辅助系统是半自动泊车系统。这类系统综合了摄像头、超声和位置信息,能够生成更详尽的汽车周围环境图片,从而在
发表于 2020-03-17
360度全景环视和自动泊车系统解决方案
荣耀20S VS 9X ,360°无死角对比谁是最强中端_原创_新浪众测
   购买荣耀20S or 9X?相信是大多数给家中长辈或者上学晚辈购买手机的时候都会面临的艰难抉择,这两款手机价格高度重叠,配置上也都搭载了目前最强的中端手机Soc--麒麟810,乍看之下这俩怎么说都是在手足相残,但是在我真正体验过这两款产品之后发现这两款产品的受众也许完全不同,接下来就请看安仔给大家带来的荣耀20S和9X的360°无死角对比评测!首先丢出一张本次对比评测手机的详细硬件配置表,通过对比手机硬件参数到底该买谁估计你心里也会有了一个初步抉择。荣耀20S VS 9X ,360°无死角对比谁是最强中端_新浪众测价格为京东当前售价首先要说明的是20S只有6+128和8+128两种配置可选,而9X则拥有
发表于 2020-03-15
荣耀20S VS 9X ,360°无死角对比谁是最强中端_原创_新浪众测
接管低速停车任务——360度全景环视和自动泊车系统
)对 Jacinto TD A4VM 处理器芯片和软件平台的技术要求,并介绍如何引入实现安全、舒适的全自动泊车所需的技术。自动泊车和泊车辅助系统根据泊车辅助系统的不同功能,该系统可分为三个基本类型。环视和自动泊车应用和要求(点击可放大)基础环视系统使用多个摄像头输入为驾驶员提供汽车周围区域的 360 度全景视图。摄像头输入拼接到以汽车为中心的俯视图中。该图像以可视化的形式提供给驾驶员,以提供手动泊车辅助。显示汽车与物体、路缘或停车线相对位置的多个图层的叠加增强了环视图像的可用性。下一个类型的泊车辅助系统是半自动泊车系统。这类系统综合了摄像头、超声和位置信息,能够生成更详尽的汽车周围环境图片,从而在某种程度上实现了自动泊车。借助上述信息,汽车
发表于 2020-02-11
接管低速停车任务——360度全景环视和自动泊车系统
环球仪器IQ360TM智能智造工厂软件系统亮相2020 IPC APEX
环球仪器在2月4至6日,于美国圣地亚哥会议中心举行的2020 IPC APEX展会上,演示IQ360TM智能智造工厂软件系统卓越的性能,通过机器对机器的连接,与及基于人工智能算法的闭环工艺控制,可持续改进车间运作。 这个由环球仪器先进工艺实验室开发的IQ360软件,给厂家提供实时及可视的关键绩效指标,与及数据趋势分析,找出生产问题的根源所在,并加以纠正。 在APEX展的1837展位上,环球仪器同时向厂家演示FuzionXC2-37™贴片机的特大生产能力,FuzionOF™异型组装机的速度,与及Uflex™自动化平台的高度灵活性。 FuzionXC2-37贴片机的送料站位数量全行称冠,一台设备就可以应对
发表于 2020-01-31
Moto 360智能手表真机图曝光:骁龙Wear 3100圆形屏
      早在2019年10月份,eBuyNow的公司决定重新推出第三代Moto 360智能手表,近日这款产品也正式开售。目前9to5google带来了这款产品的真机实拍图。  据了解,新款Moto360手表具有灰色、黑色和玫瑰金三种颜色可以选择,包装盒中配有硅胶和皮革表带。采用了1.2英寸的AMOLED圆形显示屏,分辨率为390×390。硬件方面,内置了一个Snapdragon Wear 3100芯片组,配有1GB的内存和8GB的存储空间。  此外,这款手表还具有心率监控、GPS和NFC等功能。续航方面,电池容量为355mAh,具有快速充电功能,官方称一个小时左右可以充满电。  新款
发表于 2020-01-20
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2020 EEWORLD.com.cn, Inc. All rights reserved