360發布2019智能網聯汽車信息安全報告 車聯網安全要攻防平衡

3月24日，360發布了《2019年智能網聯汽車信息安全年度報告》（下稱《報告》），這是360連續第五年發布智能網聯汽車信息安全年度報告。報告梳理了智能網聯汽車網絡安全方面的進展，同時建議針對2019年新出現的安全問題構建主動縱深防御策略，為智能網聯汽車“新四化”保駕護航。

新攻擊手段來襲  360安全通信模組將解決大多數車廠難題

通信模組是導致批量控車發生的根源。2019年8月，百度公司在BlackHat世界黑客大會上，公布了黑客可以通過APN直接訪問車廠后臺核心網內的資源，從而進行控制車輛的攻擊方法。2019年12月，360智能網聯汽車安全實驗室在與梅賽德斯奔馳的研究中也是利用了此類的漏洞，使用新型攻擊手段，實現批量遠程開閉車門，啟動關閉引擎等控車操作，影響200余萬輛奔馳汽車。

360智能網聯汽車安全實驗室在發現此類新型攻擊方法以后，就投入了對安全通信模組的研發。通過對傳統通信模組進行了升級改造，在原有模組的基礎架構之上，增加了安全芯片建立安全存儲機制。集成了TEE環境保護關鍵應用服務在安全環境中運行，并嵌入了入侵檢測與防護模塊，提供在TCU端側上的安全監控，檢測異常行為，跟攻擊者進行動態的攻防對抗。通過主動防御的方式，抵御新型車聯網攻擊。

經過大量的研究分析，大部分車廠均存在類似的安全漏洞，且無法感知到此類新型攻擊的發生，360智能網聯汽車安全實驗室的安全通信模組則顯得尤為必要。

汽車攻擊花樣頻出  360打造黑客視角滲透測試服務

《報告》分析了2019年發生的多起汽車安全事件，涵蓋了針對通信模組，PKES車鑰匙，TSP服務器，手機APP等漏洞的利用，黑客不僅發掘了更多的智能網聯汽車攻擊面，同時對各個攻擊面的研究程度也愈發深入。

以數字車鑰匙系統的攻擊事件為例，有通過中繼攻擊的方式，將鑰匙的信號進行放大，使鑰匙收到并響應汽車短距離內的射頻信號，從而完成一個完整的挑戰應答通訊過程，最終盜取車輛。也有通過研究PKES加密算法，破解車鑰匙密鑰的方式，利用算法漏洞，復制車鑰匙的密鑰，實現解鎖車輛。

從攻擊成本來看，黑客和安全研究人員制作的PKES車鑰匙攻擊設備并不昂貴且易于攜帶，研究者聲稱復制車鑰匙的破解工具只需要Raspberry Pi 3 Model B+，一個負責RFID嗅探及克隆的Proxmark3，Yard Stick One天線及一個用來供電的USB充電寶，總價不超過600美元，可輕易放置于背包中。而中繼攻擊方式的車鑰匙盜竊設備和教程，甚至可以在互聯網上購買到。

針對花樣百出的黑客攻擊，智能網聯汽車需要全新的安全測試模式。360智能網聯汽車安全實驗室結合安全威脅情報，采用黑盒測試方式，完全模擬黑客攻擊的手段，根據車聯網“云”、“管”、“端”的三大面結構，結合各個零部件/系統的安全問題，進行整車級安全測試，綜合判斷安全問題危害及影響范圍，合理提出安全建議，從黑客的視角提供全面的滲透測試服務。

汽車網絡安全標準將全面鋪開  360建議還需主動縱深防御策略

2020年是汽車網絡安全標準全面鋪開的一年，ISO/SAE 21434將提供方法論指導汽車產業鏈建設系統化的網絡安全體系，ITU-T（國際電信聯盟電信標準分局）、SAC/TC114/SC34（全國汽車標準化技術委員會的智能網聯汽車分技術委員會）、SAC/TC260（信息技術安全標準化技術委員會）、CCSA（中國通信標準化協會）等組織和聯盟的一系列汽車網絡安全技術標準，給安全技術落地提供了參考。

但是目前安全標準大多提供的是基線的安全要求，在動態變化的網絡安全環境下，僅遵循標準，使用密碼應用等被動防御機制還遠遠不夠。新興攻擊方式層出不窮，需要構建多維安全防護體系，增強安全監控等主動防御能力。

回顧2019年，汽車信息安全事件快速增長，攻擊手段層出不窮，《報告》為汽車廠商、供應商、服務提供商提出了五點建議：

1、供應鏈車企廠商應將定期的網絡安全滲透測試應作為一項至關重要的評判標準，從質量體系，技術能力和管理水平等方面綜合評估供應商。

2、遵循汽車網絡安全標準，建立企業的網絡安全體系，培養網絡安全文化，建立監管機制，在全生命周期開展網絡安全活動。

3、被動防御方案無法應對新興網絡安全攻擊手段，因此需要部署安全通信模組、安全汽車網關等新型安全防護產品，對異常流量、IP地址、系統行為等進行實時監控，主動發現攻擊行為，并及時進行預警和阻斷，通過多節點聯動，構建以點帶面的層次化縱深防御體系。

4、 網絡安全環境瞬息萬變，安全運營平臺可通過監測車聯網端、管、云數據，結合精準的安全威脅情報對安全事件進行溯源、分析，及時發現并修復已知漏洞。在安全大數據的支撐下，安全運營平臺不斷迭代檢測策略，優化安全事件處置機制，并將車聯網海量數據進行可視化呈現，實時掌握車輛的網絡安全態勢。

5、良好的汽車安全生態建設依賴精誠合作，術業有專攻，互聯網企業和安全公司依托在傳統IT領域的技術沉淀和積累，緊跟汽車網絡安全快速發展的腳步，對相關汽車電子電氣產品和解決方案有獨到的鉆研和見解。汽車產業的這場“軟件定義車輛”的大變革，只有產業鏈條上下游企業各司其職，各取所長，形成合力，才能共同將汽車網絡安全提升到層次化的“主動縱深防御”新高度。

雷鋒網雷鋒網