2020年10月20日-22日,由国家市场监督管理总局缺陷产品管理中心、浙江清华长三角研究院、中国汽车工程研究院股份有限公司、重庆市合川区人民政府联合主办的第三届中国汽车安全与召回技术论坛在重庆隆重召开。本届论坛以“智能新能源汽车全产业链安全与技术创新”为主题,汇聚120家政府机构、事业单位、科研院所以及整车和零部件企业等行业翘楚权威论道。其中,在10月21日举办的“智能汽车产业链安全与技术创新”专题论坛上,360 政企安全集团汽车安全实验室主任严敏睿发表了核心为《智能网联汽车信息安全风险与解决之道》的精彩演讲。以下内容为现场演讲实录:
360 政企安全集团汽车安全实验室主任严敏睿
大家好,很高兴在这里和大家分享。
我今天从三个角度来讲:第一,是汽车网络安全挑战,从传统汽车到现在智能网联汽车发生了什么样的变化;第二,汽车网络安全风险;第三,360汽车安全解决之道。
第一,汽车网络安全挑战。
“新四化”带给汽车行业的变革,包括网联化、智能化、共享化、电动化。在网联化上,今年销售的45%车辆已经具备网联功能。智能化短期目标是减少交通事故,长期来看实现智能交通系统,即ITS。2020年我们看到45%销售的车具有AR或者自主驾驶的能力,预计在2030年可以达到79%。共享化是为了减少交通拥堵的情况,现在全球销售1%的车利用共享进行盈利,我们这里提到共享不仅是共享汽车,还有私人在自己不用车的时候把自己的车租出去给别人用,预计2030年这个数量会达到26%。最后是电动化,这个是为了减少化石燃料依赖,据统计,全球销售3%的数量是电动车,这个数量将在2030年达到24%。
“新四化”背景下,汽车产业链正在加速深度合作。未来,车路协同、V2X会导致非常多车和路、人和人、车和网络的连接,这样也会暴露车的联通性。其次是应用,不管是车厂提供的应用还是第三方提供的应用,都会暴露信息安全接入点和风险点,所以在“新四化”会碰到很多新东西并导致安全风险。举一个例子,网联化会带来外部连接接口,在接口有很多数据交互,服务商的安全也是非常重要的。再其次是智能化,智能化这一块我们之前做特斯拉自动驾驶测试,针对传感器,传感器接受物理信号是没有办法进行加密的,所以我们可以对它进行欺骗。在2016年我们做了一个案例,通过对它传感器进行干扰导致它在自动驾驶情况下无法识别到前方车辆或者在没有车辆的情况下,让它误识别前方出现车辆,使它在高速路上紧急停下来。在共享化这一块,汽车安全是成本比较高的研究领域,但是共享化让普通研究者也可以直接租车,租到你想研究的车,通过租来的车进行安全测试能减少研究成本。你一辆车可能可以租四十次,你也有可能没有办法知道上一个使用者或者上上一个使用者他们对车的操作。在电动化上,之前车的架构主要是分布式架构,电动化会从分布式变成集中式架构,这样的话各个阈会进行合并。汽车安全门槛在于技术门槛,普通的研究者没有办法拿到研发的资料,但是成为一个集中式架构,并且用了非常先进的处理器,研究者就可以很容易地拿到这些资料,研究它的服务机制,以达到远程控制机器的效果。电动化大部分车都具有远程升级功能,所以利用远程升级功能可以控制车厂云端,控制OTA功能,直接下发到终端进行书写,达到远程控制的目的。你做一个硬件安全做到极致了,但是你云端安全没有做好,也可以通过云端进行网络控制,所以网络安全是整体最薄弱的环节。
第二,汽车网络安全风险。
“新四化”带来的网络风险,就像云端安全之前也是没有的。现在大部分做网络安全的这块人员主要还是集中于传统的IT安全,所以云端安全是现在安全工作者比较关注的一点。其次是无线安全,网络化带来更多接口,安全研究者可以从这些接口上面找到接入点。其次,作为一个研究者,你要控制汽车你肯定要通过总线控制,所以现在大部分工作是看总线逆向和总线数据分析。再者是系统,车上车载娱乐系统大部分会用安卓,这些系统安全也是重中之重,而且他们本身也具备升级功能。另外是硬件,车和云端通讯和路测通讯要进行证书存储,但这些证书存储存在哪里是重要的问题,我们研究的对象都是没有安全存储的,所以我们可以通过硬件找到非常多漏洞,控制证书对车进行控制。自动驾驶也是刚才提到的外界信号的不可靠性。
这个是我们2017年做的案例,通过Wifi对某车企进行进程控制,虽然现在大部分车Wifi名字是随机生成,但是密码生成是一个非随机数,通过Wifi接入进入车载娱乐系统。现在大部分车载娱乐系统都可以对车身进行控制,可能包括开车或者开车窗,这一块肯定会连接到总线,再利用车载娱乐系统的总线权力,发射总线数据进行车门开关和对发动机进行起停。
国外某车企漏洞曾影响国内200万辆车,他们安全其实做得比较好,但他们就是在证书的使用上出现了问题,也就是刚刚提到的,网络安全肯定是从最短板进行。在拿到它的证书后,直接可以利用传统的安全技术可以进入到它的企业内网。很多企业内网的内部服务是互相信任的,所以就缺乏一个信任机制,我们可以通过连接它的内网获取到进一步权限。现在所有车都可以进入连网模块,连接到车企的云端,只需要控制云端通过指令发一些代码或者病毒就可以实现远程控制汽车的目的。
从2010年开始到现在,汽车信息安全事件逐年上升,从2个到5个,再到8个,再到10个,再到20个,汽车信息安全逐渐成为安全领域大家比较关注的重点。同时,大众也十分关注智能层面,因为具备网联化功能以后,这些就代表着你车会存储一些个人数据,所以这些也会涉及到中国的网络安全法、隐私以及欧盟GDPR。刚刚华为的高总也提到WP29,WP29所有出口欧盟的车都必须进行信息安全认证,这个里面包括管理和信息两块东西。
360比较关注国内外法律法规,像刚才提到的WP29标准,事实参考了SAE、ISO和ITU。在网联汽车测评准则上,我们也牵头制订了一个标准,标准是X.1376,明年会发布,我们会参考国标,像道路汽车和网络安全这个就是ISO21434转国标的一个项目,还有CCSA,包括了针对车载总线、APP、云端的详细技术要求,我们甚至还参考了TC260的标准。
第三,360汽车安全的解决之道。
这一块我们分成四个部分,有一个是汽车网络安全体系。其中第一是网络风险管理,设计、监测、响应、安全升级,我们是希望把这几块落到汽车研发到全周期去,我们要对它进行风险评估,推导出一些安全需求,再推导安全功能,放到研发流程当中,再对研发功能进行验证,包括组件级别、系统级别和整车级别。同时,在研发及后生产阶段进行一个网络安全的风险管理,因为网络安全是在实时更新的,漏洞也在实时更新,所以必须得有平台同时采纳内部的数据和外部的数据做整体监管。内部数据包括测试数据和研究数据,外部数据可能是漏洞情报数据和外部研究人员数据。通过利用这些数据来评估车上功能造成新的威胁,存在什么风险,我们再去评判之后的研发车辆中我们怎么去解决这些风险,同时在后生产阶段即运营阶段我们怎么去缓解这些风险。
我们怎么去解决这些风险?还是要通过平台的安全升级,车已经上路了,可能大部分问题会通过升级去解决。首先是建立一个风险管理的体系,最开始是针对功能,还有业务场景进行风险分析,保持你脆弱性库的更新。脆弱性更新你需要外部和内部的情报数据,保持数据更新,持续进行风险评估,保持网络安全风险有效更新。其次是把这些内容形成一个整车安全目标,推导出各个零部件和功能的安全需求,最终成为形成一个安全要求,放到研发中期里面去。同时,我们要对这些安全功能进行测试验证,在车研发之后对安全功能和场景进行一个安全测试,评判它的安全风险是否得到了足够的缓解,如果没有的话我们该如何进行后续处置。其次是建立一个安全事件监控能力,你可以把车端、云端还有相关的生态、第三方生态或者APP数据搜集上来进行分析。我们刚才提到,ITOT建立了一个标准,通过采集数据进行异常行为分析,如果你只是根据告警信息评判攻击的话已经太晚了。黑客在测试过程当中会暴露一些马脚,举一个例子,就像你控制汽车你可能需要通过手机,整个数据链通过手机到车端、云端等等,如果你手机出现异常行为可以及时发现攻击者意图。同时,建立网络安全的事件响应机制,就像刚才提到的,当我们检测到异常行为,可能它会匹配某些内置规则,通过这些内置规则就可以自动化下发一些缓解措施或者策略。如果一些比较复杂的利用场景可能需要专家进行介入,了解它是否在进行攻击,并对相应存在漏洞的组件进行升级。最重要的是,车企内部需要建立汽车网络安全实验室,对整个流程进行管理,现在没有一个管理部门可以整体统筹所有信息相关内容,所以我们现在也在和车企合作,协助他们从概念设计开始到最后云端能力共建实验室。
这是我们做的车辆运营平台,比亚迪、吉利、沃尔沃已经在上面运行了。这是我们360对于汽车网络安全做的解决之道和整体方法布局。
谢谢大家!这就是我的分享。
(注:本文根据现场速记整理,未经演讲嘉宾审阅,请勿转载)