RSAC2018接近尾聲,位于萬豪酒店會(huì)議中心的RSAC Sandbox依然熱情高漲,在這里活躍著許多富有創(chuàng)造力和執(zhí)行力的創(chuàng)業(yè)公司,大家積極宣傳著自己的安全理念以及DEMO。作為近兩年關(guān)注的重點(diǎn),RSAC Sandbox在今年首次引入Car Hacking Village,通過Workshop的形式向參會(huì)者宣傳汽車信息安全知識(shí)。
智能汽車技術(shù)快速發(fā)展,在美國(guó),智能網(wǎng)聯(lián)汽車因漏洞引起的安全問題已經(jīng)引起了國(guó)家高速公路交通安全管理局、美國(guó)國(guó)會(huì)、國(guó)土安全部和消費(fèi)者的關(guān)注,這次RSAC通過Car Hacking Village的體驗(yàn)環(huán)境,向與會(huì)的安全人員介紹了車輛系統(tǒng)架構(gòu)、功能,以及可能會(huì)對(duì)司機(jī)和乘客安全產(chǎn)生重大影響的漏洞。借著本次大會(huì)主題“Now Matters”,來自汽車安全行業(yè)的大咖也分享了對(duì)于汽車信息安全行業(yè)的理解。
RSAC2018 Sandbox汽車信息安全相關(guān)演講
Is Car Hacking Over? AUTOSAR Secure Onboard Communication
一位擁有15年汽車工具開發(fā)經(jīng)驗(yàn)工程師對(duì)AUTOSAR SecOS如何防范黑客攻擊進(jìn)行簡(jiǎn)單介紹,并評(píng)估了AUTOSAR SecOS在各種威脅模型下的有效性。
Securing the Future of Mobility: Is Your Connected Car Unhackable?
How Secure is the Hyper-Connected Car
兩位演講者均通過淺顯易懂的方式展示了智能汽車未來所面臨的安全挑戰(zhàn),以及汽車信息安全漏洞會(huì)帶來的人身及財(cái)產(chǎn)危害,另外,他們還針對(duì)關(guān)于不過分改變汽車行業(yè)發(fā)展的情況下,如何解決這些風(fēng)險(xiǎn),發(fā)表了自己的看法。有意思的是,Dionis Teshler(GuardKnox Cyber Technologies CTO)的Keynote中還引用了360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室2016年特斯拉自動(dòng)駕駛研究成果視頻,這也說明國(guó)內(nèi)的汽車信息安全水平已經(jīng)達(dá)到國(guó)際領(lǐng)先水平,被國(guó)外安全研究者認(rèn)可。
Identity's Role in Securing the IoT Connected Car
演講者從身份認(rèn)證的角度對(duì)汽車聯(lián)網(wǎng)提出了要求,并對(duì)智能汽車關(guān)鍵技術(shù)——數(shù)字身份和訪問管理的應(yīng)用進(jìn)行介紹。
Make Your Car Self-Driving Using Open-Source Software
comma.ai的CEO George Hotz利用手機(jī)的攝像頭作為傳感器,利用開源軟件,通過hack將一輛本田車增加了輔助駕駛功能,吸引了觀眾的眼球。
本次RSA大會(huì)雖然引入了汽車信息安全的討論,但是因?yàn)榭紤]到參會(huì)人員大多數(shù)來自于傳統(tǒng)IT行業(yè),所以從演講到現(xiàn)場(chǎng)演示都比較科普,旨在向參會(huì)者宣傳汽車信息安全的風(fēng)險(xiǎn)。但在筆者看來,汽車信息安全已經(jīng)進(jìn)入了“當(dāng)務(wù)之急”的階段,如今汽車制造商給消費(fèi)者提供更好的駕乘體驗(yàn)的同時(shí),也給汽車引入了不同程度的安全風(fēng)險(xiǎn)甚至漏洞,輕則造成財(cái)產(chǎn)損失,重則造成群死群傷事故。
2018年4月,360發(fā)布的《2017智能網(wǎng)聯(lián)汽車信息安全年度報(bào)告》中指出,“刷漏洞”已經(jīng)成為攻擊智能汽車的最新手段,智能汽車安全漏洞開始受到車廠界和安全界的普遍關(guān)注。目前,國(guó)內(nèi)外汽車信息安全標(biāo)準(zhǔn)的工作也在積極制定中,筆者也呼吁汽車制造商和安全人員積極關(guān)注并參與到汽車信息安全的建設(shè)中來。
360智能網(wǎng)聯(lián)汽車安全實(shí)驗(yàn)室根據(jù)過去一年與諸多廠商的安全實(shí)踐,提出智能網(wǎng)聯(lián)汽車信息安全建設(shè)建議。
四大建議保護(hù)汽車信息安全
一、汽車制造廠應(yīng)做好信息安全工作,培養(yǎng)專職人員牽頭信息安全工作,將后臺(tái)和前端放到一起共同協(xié)作解決信息安全問題,為全面防護(hù)打下良好的基礎(chǔ)。
二、在沒有安全標(biāo)準(zhǔn)及規(guī)范的環(huán)境下,最重要的關(guān)鍵環(huán)節(jié)是把控上線前的安全驗(yàn)收,將危害最嚴(yán)重、影響范圍最廣的漏洞解決,可以達(dá)到一種相對(duì)安全的狀態(tài)。后續(xù)依靠持續(xù)的漏洞監(jiān)測(cè),保障不會(huì)因?yàn)樾碌穆┒丛斐扇肭质录?/p>
三、同時(shí),安全人員認(rèn)為安全漏洞始終存在,建立動(dòng)態(tài)防護(hù)體系,針對(duì)攻擊能夠進(jìn)行動(dòng)態(tài)調(diào)整,才能夠做到攻防平衡。
四、建議各大汽車廠商、供應(yīng)商、安全公司貢獻(xiàn)自己智慧和能力,在國(guó)內(nèi)汽車智能科技領(lǐng)先的條件下,引領(lǐng)國(guó)際標(biāo)準(zhǔn)。
