2014年開始,360集團布局汽車網絡安全,已發現網絡漏洞數百個,覆蓋多家車企、多款車型。360集團憑借多年的網絡安全經驗,不僅發布了車載網絡安全評估工具,還參與了相關國家標準和行業標準的制定,為降低汽車網絡安全風險做出了貢獻。
360政企安全車聯網安全研究院院長閆敏瑞發表“智能網聯車聯網安全攻防實踐”主題演講,分網絡安全現狀、紅隊(攻擊者)視角、攻防實踐三部分展開。以下是發言摘要:
360政企安全車聯網安全研究院院長閆敏瑞
網絡安全現狀
大家好,我們將從攻擊者的角度和紅隊的角度來看汽車網絡安全的現狀,以及如何做一些攻防練習。“四化”“四跨越”讓汽車與萬物互聯,軟件定義汽車成為不可逆轉的趨勢。目前智能網聯汽車在全球市場的滲透率約為45%,預計2025年將接近60%。與此同時,中國智能網聯汽車市場將繼續增長。預計2025年智能網聯汽車新增2000萬輛,合計超過1億輛,市場滲透率超過75%,高于全球市場水平。
在智能網聯的趨勢下,車載T-BOX、IVI系統、OBU車載設備等外部端口的增加,也給汽車帶來了更多的網絡安全隱患。目前網絡安全事件逐年增多,我們能了解到的只是冰山一角。與互聯網相比,車聯網打破了虛擬世界和物理世界的界限,會更多地影響人身安全和社會安全,造成經濟損失,甚至影響國家安全。
圖片來源:360政企安全集團顏敏瑞
紅隊(攻擊者)視角
接下來,我們從紅隊的角度來談談安全:攻擊者首先會針對車聯網的整個架構,分析具體的攻擊面,建立更好的攻擊路徑。接下來他將主要從云、車、路三個方面進攻。云一般指TSP(遠程信息服務提供商),包括CP(內容提供商)/SP(服務提供商)。黑客從云端入手,主要攻擊遠程控制,比如通過OTA功能發出自己的病或木馬,實現對車輛的遠程控制,這也是網絡攻擊的傳統方案。
第二個是汽車端功能,這是一個新興的網絡安全領域,但許多IOT攻擊也可以應用于汽車端。360團隊正逐漸從IOT的網絡安全轉向汽車的網絡安全領域。比如充電,車載智能ECU,車載娛樂系統,遠程通信模塊。大多數車載娛樂系統基于Android和Linux系統,黑客可以利用傳統安全的經驗攻擊無線通信。此外,黑客還會對汽車充電口、汽車OBU等功能發起攻擊。第三塊是路邊,也是很多黑客會關注的內容。
圖片來源:360政企安全集團顏敏瑞
從攻擊者的角度構建攻擊鏈接,需要考慮哪些端口可以入侵系統。為了達到遠程控制汽車或者遠程竊聽的目的,需要構建一個攻擊鏈路,從wifi、藍牙入侵到車載娛樂系統,再到車載網絡,最后到一個執行器。值得注意的是,黑客還可以從充電樁等外部接口切入。
除了車、云和路,我們還需要關注后端網絡。目前,國內大部分車企走APN網絡。很多車企使用后忽視內部網絡安全……PN專線,并且從車端的sim卡直接連接到車公司的內網,沒有任何接入限制,甚至可以直接接入辦公網絡。國外車企和國內車企對這一塊的理解不同。國外大部分專車服務都會在公網上部署雙向證書認證。
接下來分享黑客最喜歡攻擊的兩點。一個是云平臺。我們看到很多云平臺都有問題:采用非常簡單的訪問密碼。所以,云平臺是黑客方便的入口。還有一點就是VPN。很多公司的VPN沒有經過兩個因素的認證,很多密碼非常簡單。有些內部員工直接把VPN的描述文件發到圖書館,甚至可以查到網絡上默認密碼是什么。
圖片來源:360政企安全集團顏敏瑞
作為企業,要做好所有的安全邊界。而黑客只需要找一個點來攻擊,這就是水桶效應。攻守雙方的投入和收益是非常不對等的。對于傳統黑客來說,他們已經熟悉了基本的內核系統,比如wifi、藍牙和蜂窩網絡。傳統黑客研究的比較深,每年在國際信息安全會議上都能看到各種漏洞的分享。
下圖是360團隊之前統計的車聯網安全漏洞,占比最大的是弱認證和無認證。因為傳統汽車一開始沒有外接功能,沒有考慮網絡安全認證,密碼復雜度低。但是隨著汽車外部接口的增加,尤其是連接車載以太網后,這些必要的安全認證就需要考慮了。
圖片來源:360政企安全集團顏敏瑞
其次,調試接口沒有保護,使用了不安全的組件。黑客可以通過一些組件的漏洞獲得權限,進行進一步的攻擊。此外,敏感信息的泄露也需要注意,更多體現在配置文件的泄露,可能是后端URL、IP、認證證書、ECU間通信證書的泄露。還有升級進程劫持。傳統的方式是通過app store把APK包換成自己的,植入病。還有蜂窩網絡劫持。一些汽車公司的汽車控制功能是通過蜂窩網絡傳輸的。然后,聯合基站和黑客,就可以發短信劫持,直接控制車門開關,甚至啟動引擎。
圖片來源:360政企安全集團顏敏瑞
現在來說說紅隊,這是惡意攻擊者的目的。與傳統網絡安全領域相比,汽車網絡安全領域的攻擊者具有更高的啟動成本。然后我們需要考慮攻擊者為什么愿意攻擊汽車。其實在車聯網安全領域,敲詐錢財的價值不大。相比之下,利用隱私可以撬動更大的價值。通過攻擊知名品牌汽車,結合汽車上的錄音設備,獲取商業秘密,并在二級市場變現。
站在藍隊的角度,也就是防守方,首先預算投入肯定有限。因為現在網絡安全只是車企滿足合規需求,幫助車型上市,這是底線需求。其次,一些企業可能有更好的想法,或者豪華品牌汽車可能會投入更多的資金來提高網絡安全能力。
相比較而言,紅隊有組織,有背景,能量大,能做的事情更多。輸出大小也主要基于不同的用途。高杠桿,面臨高風險,但也能產生高回報。藍隊的基本需求是合規,這本身會增加成本,但不一定會增加銷量。對于藍隊來說,進攻者是看不見的敵人。他可能來自云、汽車或供應鏈。一般來說,子公司、汽車網絡和生態網絡……車企涉及的ks可能成為攻擊者的入侵面。
目前,車企的主要安全措施是將傳統的IT防御搬到車上。還有一個時間窗問題。假設我們發現一個漏洞,事后追溯響應,協調供應商,測試修復方案能否實現,這樣修復后會有一個3-7天的時間窗口,留給黑客更多的攻擊時間。
就行業而言,很多企業提出了滲透測試的服務要求,但實際上連合規的基本要求都沒有達到。這里簡單介紹一下符合性測試和滲透測試,它們的目的是相似的。第一,測試系統強調覆蓋,作為藍隊要覆蓋整個區域。但是作為進攻方和紅隊,他們做的是滲透,不需要全覆蓋。所以滲透測試并不那么適合網絡安全還處于初級階段的企業。
圖片來源:360政企安全集團顏敏瑞
車企大多使用VSOC,其數據輸入來源是基于已有知識的輸入,可能是黑IP和域名的輸入,都屬于已有知識。但是,在汽車網絡攻擊的實踐中,攻擊者會做一個離線,使這個包無法傳輸。簡單來說,黑客的攻擊手段不一定是基于現有的知識,也不會使用公共工具進行攻擊。事實上,要防御這些攻擊,必須在黑客試圖攻擊時及早發現。
進攻和防守練習
360團隊從2014年開始做車聯網安全。當時發現了600多個安全漏洞,覆蓋了已經上路的2000多萬輛車。現在360集團已經提供了差不多210萬次訪問的網絡安全運營平臺。基于大量的研究成果,360會申請一些專利,參與汽車信息安全標準的制定,參加頂級的國際信息安全會議,甚至參與一些國家項目,每年都會發布一些技術報告和白皮書。
基于特征的攻擊檢測,其實并沒有太大的意義。360做的更多的是基于整體業務和上下文關聯的模型檢測,可以幫助企業更早的發現一些攻擊企圖,為應急響應留下足夠的時間窗口。
因為360主要是安全公司,這一塊也有很多安全大數據。基于這些數據,我們可以找到一些固定的攻擊模式,比如初始管理,橫向移動進入內網,然后找到最終目標。整個攻擊的鏈接模式非常固定,所以我們可以基于360集團提供的安全數據庫,發現黑客在車/云平臺上的潛在攻擊行為。
圖片來源:360政企安全集團顏敏瑞
360安全大腦可以為車企提供整體解決方案:包括車端、云端、路側安全、OTA升級安全等等。雖然大多數人認為數據安全更多的體現在管理制度和技術手段上,但是需要注意的是,網絡安全是一個水桶效應。只要有一點出了問題,整個防御體系就功虧一簣。
比如這次網絡安全演練,有的企業甚至不知道自己的資產在哪里,不知道自己經營了什么業務,但是不知道服務器在哪里,所有權和經營權在哪里。這是一個非常明顯的問題。第二是一些安全人員的缺乏,檢測和防御手段的缺乏。其他的是業務系統的安全設計和對內部和外部威脅的感知。比如有些企業會更注重邊界安全,缺乏對內部數據流的觀察。
總的來說,汽車的整體安全設計是對網絡安全人員能力的極大考驗,尤其是在起步階段,所有的安全邊界都要考慮:從整車到結構到零部件,再到零部件中的每一項資產,整個業務邏輯會涉及哪些點都要考慮,這就需要有經驗的團隊深入到具體的技術細節中去。這就是我的分享,謝謝。
(以上內容來自主題演講《智能網聯車聯網……360政企安全車聯網安全研究院院長閆敏瑞在2022年8月25日由Gaspar主辦的2022中國汽車信息安全與功能安全大會上發表的《安全攻防實踐》。)2014年開始,360集團布局汽車網絡安全,已發現網絡漏洞數百個,覆蓋多家車企和各種車型。360集團憑借多年的網絡安全經驗,不僅發布了車載網絡安全評估工具,還參與了相關國家標準和行業標準的制定,為降低汽車網絡安全風險做出了貢獻。
360政企安全車聯網安全研究院院長閆敏瑞發表“智能網聯車聯網安全攻防實踐”主題演講,分網絡安全現狀、紅隊(攻擊者)視角、攻防實踐三部分展開。以下是發言摘要:
360政企安全車聯網安全研究院院長閆敏瑞
網絡安全現狀
大家好,我們將從攻擊者的角度和紅隊的角度來看汽車網絡安全的現狀,以及如何做一些攻防練習。“四化”“四跨越”讓汽車與萬物互聯,軟件定義汽車成為不可逆轉的趨勢。目前智能網聯汽車在全球市場的滲透率約為45%,預計2025年將接近60%。與此同時,中國智能網聯汽車市場將繼續增長。預計2025年智能網聯汽車新增2000萬輛,合計超過1億輛,市場滲透率超過75%,高于全球市場水平。
在智能網聯的趨勢下,車載T-BOX、IVI系統、OBU車載設備等外部端口的增加,也給汽車帶來了更多的網絡安全隱患。目前網絡安全事件逐年增多,我們能了解到的只是冰山一角。與互聯網相比,車聯網打破了虛擬世界和物理世界的界限,會更多地影響人身安全和社會安全,造成經濟損失,甚至影響國家安全。
圖片來源:360政企安全集團顏敏瑞
紅隊(攻擊者)視角
接下來,我們從紅隊的角度來談談安全:攻擊者首先會針對車聯網的整個架構,分析具體的攻擊面,建立更好的攻擊路徑。接下來他將主要從云、車、路三個方面進攻。云一般指TSP(遠程信息服務提供商),包括CP(內容提供商)/SP(服務提供商)。黑客從云端入手,主要攻擊遠程控制,比如通過OTA功能發出自己的病或木馬,實現對車輛的遠程控制,這也是網絡攻擊的傳統方案。
第二個是汽車端功能,這是一個新興的網絡安全領域,但許多IOT攻擊也可以應用于汽車端。360團隊正逐漸從IOT的網絡安全轉向汽車的網絡安全領域。比如充電,車載智能ECU,車載娛樂系統,遠程通信模塊。大多數車載娛樂系統基于Android和Linux系統,黑客可以利用傳統安全的經驗攻擊無線通信。此外,黑客還會對汽車充電口、汽車OBU等功能發起攻擊。第三塊是路邊,也是很多黑客會關注的內容。
圖片來源:360政企安全集團顏敏瑞
從攻擊者的角度構建攻擊鏈接,需要考慮哪些端口可以入侵系統。為了達到遠程控制汽車或者遠程竊聽的目的,需要構建一個攻擊鏈路,從wifi、藍牙入侵到車載娛樂系統,再到車載網絡,最后到一個執行器。值得注意的是,黑客也可以砍……n來自充電樁等外部接口。
除了車、云和路,我們還需要關注后端網絡。目前,國內大部分車企走APN網絡。很多車企在使用APN專線后忽略了內部網絡安全,從車端的sim卡直接連接到車企內網,沒有任何接入限制,甚至可以直接接入辦公網絡。國外車企和國內車企對這一塊的理解不同。國外大部分專車服務都會在公網上部署雙向證書認證。
接下來分享黑客最喜歡攻擊的兩點。一個是云平臺。我們看到很多云平臺都有問題:采用非常簡單的訪問密碼。所以,云平臺是黑客方便的入口。還有一點就是VPN。很多公司的VPN沒有經過兩個因素的認證,很多密碼非常簡單。有些內部員工直接把VPN的描述文件發到圖書館,甚至可以查到網絡上默認密碼是什么。
圖片來源:360政企安全集團顏敏瑞
作為企業,要做好所有的安全邊界。而黑客只需要找一個點來攻擊,這就是水桶效應。攻守雙方的投入和收益是非常不對等的。對于傳統黑客來說,他們已經熟悉了基本的內核系統,比如wifi、藍牙和蜂窩網絡。傳統黑客研究的比較深,每年在國際信息安全會議上都能看到各種漏洞的分享。
下圖是360團隊之前統計的車聯網安全漏洞,占比最大的是弱認證和無認證。因為傳統汽車一開始沒有外接功能,沒有考慮網絡安全認證,密碼復雜度低。但是隨著汽車外部接口的增加,尤其是連接車載以太網后,這些必要的安全認證就需要考慮了。
圖片來源:360政企安全集團顏敏瑞
其次,調試接口沒有保護,使用了不安全的組件。黑客可以通過一些組件的漏洞獲得權限,進行進一步的攻擊。此外,敏感信息的泄露也需要注意,更多體現在配置文件的泄露,可能是后端URL、IP、認證證書、ECU間通信證書的泄露。還有升級進程劫持。傳統的方式是通過app store把APK包換成自己的,植入病。還有蜂窩網絡劫持。一些汽車公司的汽車控制功能是通過蜂窩網絡傳輸的。然后,聯合基站和黑客,就可以發短信劫持,直接控制車門開關,甚至啟動引擎。
圖片來源:360政企安全集團顏敏瑞
現在來說說紅隊,這是惡意攻擊者的目的。與傳統網絡安全領域相比,汽車網絡安全領域的攻擊者具有更高的啟動成本。然后我們需要考慮攻擊者為什么愿意攻擊汽車。其實在車聯網安全領域,敲詐錢財的價值不大。相比之下,利用隱私可以撬動更大的價值。通過攻擊知名品牌汽車,結合汽車上的錄音設備,獲取商業秘密,并在二級市場變現。
站在藍隊的角度,也就是防守方,首先預算投入肯定有限。因為現在網絡安全只是車企滿足合規需求,幫助車型上市,這是底線需求。其次,一些企業可能有更好的想法,或者豪華品牌汽車可能會投入更多的資金來提高網絡安全能力。
相比較而言,紅隊有組織,有背景,能量大,能做的事情更多。輸出大小也主要基于不同的用途。高杠桿,面臨高風險,但也能產生高回報。藍隊的基本要求是……mpliance,這本身會增加成本,但不一定會增加銷量。對于藍隊來說,進攻者是看不見的敵人。他可能來自云、汽車或供應鏈。一般來說,車企涉及的子公司、車聯網、生態網都有可能成為攻擊者的入侵面。
目前,車企的主要安全措施是將傳統的IT防御搬到車上。還有一個時間窗問題。假設我們發現一個漏洞,事后追溯響應,協調供應商,測試修復方案能否實現,這樣修復后會有一個3-7天的時間窗口,留給黑客更多的攻擊時間。
就行業而言,很多企業提出了滲透測試的服務要求,但實際上連合規的基本要求都沒有達到。這里簡單介紹一下符合性測試和滲透測試,它們的目的是相似的。第一,測試系統強調覆蓋,作為藍隊要覆蓋整個區域。但是作為進攻方和紅隊,他們做的是滲透,不需要全覆蓋。所以滲透測試并不那么適合網絡安全還處于初級階段的企業。
圖片來源:360政企安全集團顏敏瑞
車企大多使用VSOC,其數據輸入來源是基于已有知識的輸入,可能是黑IP和域名的輸入,都屬于已有知識。但是,在汽車網絡攻擊的實踐中,攻擊者會做一個離線,使這個包無法傳輸。簡單來說,黑客的攻擊手段不一定是基于現有的知識,也不會使用公共工具進行攻擊。事實上,要防御這些攻擊,必須在黑客試圖攻擊時及早發現。
進攻和防守練習
360團隊從2014年開始做車聯網安全。當時發現了600多個安全漏洞,覆蓋了已經上路的2000多萬輛車。現在360集團已經提供了差不多210萬次訪問的網絡安全運營平臺。基于大量的研究成果,360會申請一些專利,參與汽車信息安全標準的制定,參加頂級的國際信息安全會議,甚至參與一些國家項目,每年都會發布一些技術報告和白皮書。
基于特征的攻擊檢測,其實并沒有太大的意義。360做的更多的是基于整體業務和上下文關聯的模型檢測,可以幫助企業更早的發現一些攻擊企圖,為應急響應留下足夠的時間窗口。
因為360主要是安全公司,這一塊也有很多安全大數據。基于這些數據,我們可以找到一些固定的攻擊模式,比如初始管理,橫向移動進入內網,然后找到最終目標。整個攻擊的鏈接模式非常固定,所以我們可以基于360集團提供的安全數據庫,發現黑客在車/云平臺上的潛在攻擊行為。
圖片來源:360政企安全集團顏敏瑞
360安全大腦可以為車企提供整體解決方案:包括車端、云端、路側安全、OTA升級安全等等。雖然大多數人認為數據安全更多的體現在管理制度和技術手段上,但是需要注意的是,網絡安全是一個水桶效應。只要有一點出了問題,整個防御體系就功虧一簣。
比如這次網絡安全演練,有的企業甚至不知道自己的資產在哪里,不知道自己經營了什么業務,但是不知道服務器在哪里,所有權和經營權在哪里。這是一個非常明顯的問題。第二是一些安全人員的缺乏,檢測和防御手段的缺乏。其他的是業務系統的安全設計和對內部和外部威脅的感知。比如有些企業會更注重邊界安全,缺乏對內部數據流的觀察。
總的來說,汽車的整體安全設計是對網絡安全人員能力的極大考驗,尤其是在起步階段,要考慮所有的安全邊界:從整車到結構到零部件,再到零部件中的每一項資產,以及wh……點會涉及到整個業務邏輯都要考慮,這就需要一個有經驗的團隊深入到具體的技術細節中去。這就是我的分享,謝謝。
(以上內容來自360政企安全車聯網安全研究院院長閆敏瑞在2022年8月25日由Gaspar主辦的2022中國汽車信息安全與功能安全大會上發表的《智能網聯汽車網絡安全攻防實踐》主題演講。)
日前,據國內媒體報道,動力電池制造商中創新航在通過港交所聆訊后,已經開始就其20億美元(約合人民幣13853億元)IPO計劃評估投資者需求,時間為9月12日至9月22日。
1900/1/1 0:00:009月13日,嵐圖汽車增資項目信息在上海聯合產權交易所正式對外披露,本次增資為嵐圖汽車成立以來首次外部股權融資,將進一步優化嵐圖汽車股權結構,激發企業市場活力,加速國有企業體制機制改革進程。
1900/1/1 0:00:00據theverge9月13日消息,通用汽車旗下自動駕駛技術公司Cruise首席執行官凱爾沃格特(KyleVogt)表示,
1900/1/1 0:00:009月10日,中國汽車動力電池產業創新聯盟(簡稱電池聯盟)發布2022年8月份動力電池月度數據。8月,我國動力電池裝車量278GWh,同比增長121,環比增長147,再創新高。
1900/1/1 0:00:00蓋世汽車訊據外媒報道,在重組和尋找戰略投資者的同時,汽車內飾供應商施耐德博士集團申請了破產,約有1400名在德國巴伐利亞州的員工受到了影響。
1900/1/1 0:00:00日前,特斯拉CEO埃隆馬斯克在推特上發文炮轟燃油車稱:“今天購買的燃油車的殘值將比人們想象的低得多”。他認為:“不久之后,我們將以看待蒸汽機的方式看待燃油車。
1900/1/1 0:00:00
汽車導航