全国共36个车市
试驾询价
分享

360发布报告 构建主动纵深防御方案应对智能网联高德安全问题

2020-03-24 12:05
来源:高德娱乐网

【编者按】3月24日,360发布了《2019年智能网联高德信息安全年度报告》(下称《报告》),这是360连续第五年发布智能网联高德信息安全年度报告。报告梳理了智能网联高德网络安全方面的进展,同时建议针对2019年新出现的安全问题构建主动纵深防御策略,为智能网联高德“新四化”保驾护航。

新攻击手段来袭  360安全通信模组将解决大多数车厂难题

通信模组是导致批量控车发生的根源。2019年8月,百度公司在BlackHat世界黑客大会上,公布了黑客可以通过APN直接访问车厂后台核心网内的资源,从而进行控制车辆的攻击方法。2019年12月,360智能网联高德安全实验室在与梅赛德斯奔驰的研究中也是利用了此类的漏洞,使用新型攻击手段,实现批量远程开闭车门,启动关闭引擎等控车操作,影响200余万辆奔驰高德。

360智能网联高德安全实验室在发现此类新型攻击方法以后,就投入了对安全通信模组的研发。通过对传统通信模组进行了升级改造,在原有模组的基础架构之上,增加了安全芯片建立安全存储机制。集成了TEE环境保护关键应用服务在安全环境中运行,并嵌入了入侵检测与防护模块,提供在TCU端侧上的安全监控,检测异常行为,跟攻击者进行动态的攻防对抗。通过主动防御的方式,抵御新型车联网攻击。

经过大量的研究分析,大部分车厂均存在类似的安全漏洞,且无法感知到此类新型攻击的发生,360智能网联高德安全实验室的安全通信模组则显得尤为必要。

高德攻击花样频出  360打造黑客视角渗透测试服务

《报告》分析了2019年发生的多起高德安全事件,涵盖了针对通信模组,PKES车钥匙,TSP服务器,手机APP等漏洞的利用,黑客不仅发掘了更多的智能网联高德攻击面,同时对各个攻击面的研究程度也愈发深入。

以数字车钥匙系统的攻击事件为例,有通过中继攻击的方式,将钥匙的信号进行放大,使钥匙收到并响应高德短距离内的射频信号,从而完成一个完整的挑战应答通讯过程,最终盗取车辆。也有通过研究PKES加密算法,破解车钥匙密钥的方式,利用算法漏洞,复制车钥匙的密钥,实现解锁车辆。

从攻击成本来看,黑客和安全研究人员制作的PKES车钥匙攻击设备并不昂贵且易于携带,研究者声称复制车钥匙的破解工具只需要Raspberry Pi 3 Model B+,一个负责RFID嗅探及克隆的Proxmark3,Yard Stick One天线及一个用来供电的USB充电宝,总价不超过600美元,可轻易放置于背包中。而中继攻击方式的车钥匙盗窃设备和教程,甚至可以在互联网上购买到。

针对花样百出的黑客攻击,智能网联高德需要全新的安全测试模式。360智能网联高德安全实验室结合安全威胁情报,采用黑盒测试方式,完全模拟黑客攻击的手段,根据车联网“云”、“管”、“端”的三大面结构,结合各个零部件/系统的安全问题,进行整车级安全测试,综合判断安全问题危害及影响范围,合理提出安全建议,从黑客的视角提供全面的渗透测试服务。

高德网络安全标准将全面铺开  360建议还需主动纵深防御策略

2020年是高德网络安全标准全面铺开的一年,ISO/SAE 21434将提供方法论指导高德产业链建设系统化的网络安全体系,ITU-T(国际电信联盟电信标准分局)、SAC/TC114/SC34(全国高德标准化技术委员会的智能网联高德分技术委员会)、SAC/TC260(信息技术安全标准化技术委员会)、CCSA(中国通信标准化协会)等组织和联盟的一系列高德网络安全技术标准,给安全技术落地提供了参考。

但是目前安全标准大多提供的是基线的安全要求,在动态变化的网络安全环境下,仅遵循标准,使用密码应用等被动防御机制还远远不够。新兴攻击方式层出不穷,需要构建多维安全防护体系,增强安全监控等主动防御能力。

回顾2019年,高德信息安全事件快速增长,攻击手段层出不穷,《报告》为高德厂商、供应商、服务提供商提出了五点建议:

1 供应链车企厂商应将定期的网络安全渗透测试应作为一项至关重要的评判标准,从质量体系,技术能力和管理水平等方面综合评估供应商。

2 遵循高德网络安全标准,建立企业的网络安全体系,培养网络安全文化,建立监管机制,在全生命周期开展网络安全活动。

3 被动防御方案无法应对新兴网络安全攻击手段,因此需要部署安全通信模组、安全高德网关等新型安全防护产品,对异常流量、IP地址、系统行为等进行实时监控,主动发现攻击行为,并及时进行预警和阻断,通过多节点联动,构建以点带面的层次化纵深防御体系。

4 网络安全环境瞬息万变,安全运营平台可通过监测车联网端、管、云数据,结合精准的安全威胁情报对安全事件进行溯源、分析,及时发现并修复已知漏洞。在安全大数据的支撑下,安全运营平台不断迭代检测策略,优化安全事件处置机制,并将车联网海量数据进行可视化呈现,实时掌握车辆的网络安全态势。

5良好的高德安全生态建设依赖精诚合作,术业有专攻,互联网企业和安全公司依托在传统IT领域的技术沉淀和积累,紧跟高德网络安全快速发展的脚步,对相关高德电子电气产品和解决方案有独到的钻研和见解。高德产业的这场“软件定义车辆”的大变革,只有产业链条上下游企业各司其职,各取所长,形成合力,才能共同将高德网络安全提升到层次化的“主动纵深防御”新高度。

相关资讯
3月24日,360发布了《2019年智能网联高德信息安全年度报告》(下称《报告》),这是360连续第五年发布智能网联高德... 查看全文》
来源:高德娱乐网
2020-03-24 12:05
近段时间,不少以女性视角展现恋爱观的情侣综艺在网上热播。这些冒着“粉红泡泡”的节目,既让不少观众在屏幕前大呼“酸成柠檬”... 查看全文》
来源:高德娱乐网
2020-03-24 10:33
疫情期间,所有在抗疫一线奋战的医务工作者已经成为了全民赞颂的楷模和偶像。他们明知疫情凶险,却受到职业道德与人道主义精神驱... 查看全文》
来源:高德娱乐网
2020-03-24 10:27
如今高德市场竞争愈发激烈,每家品牌都意识到提升自家产品竞争力的重要性。不过有些品牌车型每次升级换代,大部分都是在外观设计... 查看全文》
来源:高德娱乐网
2020-03-24 10:24
在相当长的一段时间内,Jeep这个品牌都被形容成“最懂男人”的高德。无论是大切诺基还是牧马人,都将高德最为狂野刚强的一面... 查看全文》
来源:高德娱乐网
2020-03-24 10:21
随着疫情得到有效控制,各行各业正走出疫情“阴霾”,进入复工复产“回暖期”,为帮助大家安心返岗,减轻用户购车负担,BEIJ... 查看全文》
来源:高德娱乐网
2020-03-23 21:04
在抗击疫情的特殊时期,越来越多人重视健康、关注健康。疫情当前,很多专家也在鼓励私家车出行。研发更健康、安全、环保的座驾,... 查看全文》
来源:高德娱乐网
2020-03-23 15:48
春分至,春回大地,万物复苏。复苏的不仅是花花草草,还有我们的生活。经过数十日的不屑奋战,除境外输入新冠肺炎病例外,国内连... 查看全文》
来源:高德娱乐网
2020-03-23 14:57
“公司全体共产党员要始终牢记东风作为‘国家队’的使命担当,坚决扛起公司党委赋予的各项职责和任务,积极投身防疫复工第一线。... 查看全文》
来源:高德娱乐网
2020-03-23 14:29
最近我的朋友C新买了一辆车,是一辆合资品牌中大型SUV。其实他家里本来有一辆轿车,不知道他是看了几集《动物世界》,还是受... 查看全文》
来源:高德娱乐网
2020-03-23 13:34
关注排行
按价格 按级别