RSAC2018:汽車資訊安全受到關注
發佈時間:2018-04-28 14:53:22 | 來源:中國資訊産業網 | 作者:佚名 | 責任編輯:肖寒RSAC2018剛剛落幕,位於萬豪酒店會議中心的RSAC Sandbox依然熱情高漲,在這裡活躍著許多富有創造力和執行力的創業公司,大家積極宣傳著自己的安全理念以及DEMO。作為近兩年關注的重點,RSAC Sandbox在今年首次引入Car Hacking Village,通過Workshop的形式向參會者宣傳汽車資訊安全知識。
智慧汽車技術快速發展,在美國,智慧網聯汽車因漏洞引起的安全問題已經引起了國家高速公路交通安全管理局、美國國會、國土安全部和消費者的關注,這次RSAC通過Car Hacking Village的體驗環境,向與會的安全人員介紹了車輛系統架構、功能,以及可能會對司機和乘客安全産生重大影響的漏洞。借著本次大會主題“Now Matters”,來自汽車安全行業的大咖也分享了對於汽車資訊安全行業的理解。
RSAC2018 Sandbox汽車資訊安全相關演講
Is Car Hacking Over? AUTOSAR Secure Onboard Communication
一位擁有15年汽車工具開發經驗工程師對AUTOSAR SecOS如何防範駭客攻擊進行簡單介紹,並評估了AUTOSAR SecOS在各種威脅模型下的有效性。
Securing the Future of Mobility: Is Your Connected Car Unhackable?How Secure is the Hyper-Connected Car
兩位演講者均通過淺顯易懂的方式展示了智慧汽車未來所面臨的安全挑戰,以及汽車資訊安全漏洞會帶來的人身及財産危害,另外,他們還針對關於不過分改變汽車行業發展的情況下,如何解決這些風險,發表了自己的看法。有意思的是,Dionis Teshler(GuardKnox Cyber Technologies CTO)的Keynote中還引用了360智慧網聯汽車安全實驗室2016年特斯拉自動駕駛研究成果視頻,這也説明國內的汽車資訊安全水準已經達到國際領先水準,被國外安全研究者認可。
Identity's Role in Securing the IoT Connected Car
演講者從身份認證的角度對汽車聯網提出了要求,並對智慧汽車關鍵技術——數字身份和訪問管理的應用進行介紹。
Make Your Car Self-Driving Using Open-Source Softwarecomma.ai的CEO George Hotz利用手機的攝像頭作為感測器,利用開源軟體,通過hack將一輛本田車增加了輔助駕駛功能,吸引了觀眾的眼球。
本次RSA大會雖然引入了汽車資訊安全的討論,但是因為考慮到參會人員大多數來自於傳統IT行業,所以從演講到現場演示都比較科普,旨在向參會者宣傳汽車資訊安全的風險。但在筆者看來,汽車資訊安全已經進入了“當務之急”的階段,如今汽車製造商給消費者提供更好的駕乘體驗的同時,也給汽車引入了不同程度的安全風險甚至漏洞,輕則造成財産損失,重則造成群死群傷事故。
2018年4月,360發佈的《2017智慧網聯汽車資訊安全年度報告》中指出,“刷漏洞”已經成為攻擊智慧汽車的最新手段,智慧汽車安全漏洞開始受到車廠界和安全界的普遍關注。目前,國內外汽車資訊安全標準的工作也在積極制定中,筆者也呼籲汽車製造商和安全人員積極關注並參與到汽車資訊安全的建設中來。
360智慧網聯汽車安全實驗室根據過去一年與諸多廠商的安全實踐,提出智慧網聯汽車資訊安全建設建議。
四大建議保護汽車資訊安全
一、汽車製造廠應做好資訊安全工作,培養專職人員牽頭資訊安全工作,將後臺和前端放到一起共同協作解決資訊安全問題,為全面防護打下良好的基礎。
二、在沒有安全標準及規範的環境下,最重要的關鍵環節是把控上線前的安全驗收,將危害最嚴重、影響範圍最廣的漏洞解決,可以達到一種相對安全的狀態。後續依靠持續的漏洞監測,保障不會因為新的漏洞造成入侵事件。
三、同時,安全人員認為安全漏洞始終存在,建立動態防護體系,針對攻擊能夠進行動態調整,才能夠做到攻防平衡。
四、建議各大汽車廠商、供應商、安全公司貢獻自己智慧和能力,在國內汽車智慧科技領先的條件下,引領國際標準。