近日,CCIA中國網路安全産業聯盟“2024年網路安全優秀創新成果大賽”評選結果正式公佈。“瑞數車聯網應用數據安全監測方案”憑藉在網路安全領域的創新能力和産品成熟度,從眾多參賽方案和産品中脫穎而出,榮獲優勝獎!
“2024年網路安全優秀創新成果大賽”由中央網信辦網路安全協調局指導,中國網路安全産業聯盟(CCIA)牽頭主辦,旨在推選我國網路安全産業優秀創新成果,激發網路安全企業加強自主創新能力。大賽已經成為國內網路安全行業的一項重要標桿賽事,深受各地網信部門、政企單位以及網路安全企業的矚目與認可。
作為大賽的重要分支賽事,“汽車網路安全專題賽”分為解決方案和創新産品兩大類型,其中解決方案重點面向自動駕駛數據與網路安全等領域。本次比賽評審專家組由來自網路安全及汽車安全相關行業部門、高校、科研機構、CCIA專家委專家共同組成。
車聯網數據安全落地難點
近年來,車聯網作為汽車行業與資訊技術深度融合的産物,正以前所未有的速度發展。車路雲一體化、5G-A車聯網技術、通感算一體化技術等新興技術的應用,為人們的出行帶來了極大的便利和智慧化體驗。然而,伴隨著這些新技術的廣泛應用,車聯網的數據安全問題日益凸顯。
“YDT3751-2020車聯網資訊服務數據安全技術要求”和“YDT3746-2020車聯網資訊服務用戶個人資訊保護要求”的出臺,為車聯網行業的數據安全提供了規範性的指導和約束。但現實中,汽車行業的數據洩露事件仍時有發生,給用戶和企業帶來了不可估量的損失。車路雲一體化使得車輛、道路和雲端之間的數據交互頻繁且複雜,大量的敏感資訊在其間傳輸,若安全防護不到位,極易被竊取或篡改。5G-A車聯網技術的高速率和低延遲雖提升了服務品質,但也帶來了數據量的暴增和處理速度的挑戰,對數據的加密、存儲和訪問控制提出了更高要求。通感算一體化技術的融合,則進一步增加了數據的多樣性和複雜性,使得數據管理和保護的難度加大。
瑞數資訊認為,車聯網行業數據安全落地存在以下主要難點:
●影子API管理
車聯網系統中存在大量影子API,並因其隱蔽性吸引攻擊者目光。難點在於如何全面、準確地發現和識別這些影子API,並對其進行有效的管理和監控,以防止數據洩露或系統被篡改。
●API敏感數據保護
車聯網系統中的API介面涉及大量的敏感數據,如車輛位置、用戶資訊、駕駛習慣等。難點在於如何確保API介面在數據傳輸、存儲和處理過程中的安全性,防止數據被非法獲取或濫用。
●API訪問許可權控制
在車聯網系統中,如何制定有效的許可權控制策略,合理設置和管理不同API介面的不同許可權,確保只有經過授權的用戶或系統能夠訪問和操作這些API介面,是一個需要解決的問題。
●API安全審計和監控
由於車聯網系統的複雜性和多樣性,如何建立完善的API介面安全審計和監控機制,及時發現和處理潛在的安全風險是一個挑戰。
●API漏洞發現和修復
API介面可能存在的安全漏洞是車聯網系統面臨的重要安全風險之一。難點在於如何建立完善的漏洞發現和修復機制,並確保這些機制能夠在實際應用中得到有效執行。
●資産識別難度大
車聯網數據量大、業務類型複雜、涉及的應用系統較多,各應用系統的命名規範、語言、框架均有所差異,因此對於資産的有效梳理和識別是項巨大的挑戰。
●法律法規尚在完善階段
由於行業發展比較快,相關法規和標準還在不斷發展和完善中,企業在數據安全實踐中缺乏明確的指導和規範。落地實施的方向的尺度難以把控。
前掃描、中防護、後審計,構築車聯網安全“防火牆”
在此背景下,針對車聯網面臨的各種安全威脅,瑞數“車聯網應用數據安全監測方案”應運而生。該方案以“前掃描、中防護、後審計”為防護理念,是應對車聯網安全的一項整體解決方案——車聯網安全掃描器讓車聯網資産發現方式由被動轉為主動,積極探測車聯網安全漏洞與缺陷;WAAP方案全面增強車聯網在Web/H5、APP和小程式等全渠道的安全防護;車聯網安全審計則提供事後溯源以及業務深入分析等功能。
●事前掃描
方案採用資産庫猜測、模糊測試、主動漏洞測試等多种先進手段,對車聯網系統中的API資産進行全面測繪。通過深度分析API的介面資訊、功能特性以及與其他組件的交互方式,能夠精確識別出系統中的API資産,並構建出完整的API資産庫。
在API資産測繪的基礎上,結合內置的缺陷模型和漏洞庫,對API介面進行安全風險評估。這些缺陷模型和漏洞庫包含了各類已知的安全風險和漏洞類型,通過自動化檢測和人工驗證相結合的方式,能夠發現車聯網API介面中存在的各種安全風險問題,如敏感數據的傳輸檢測、越權訪問、注入漏洞等。
針對檢測出的安全風險問題,瑞數資訊提供專業詳細的評估報告。報告中詳細列出了每個安全風險的具體資訊,包括問題描述、影響範圍、解決方案等,幫助客戶全面了解API介面的安全狀況,並提供針對性的改進建議。
●事中防護
解決方案中,瑞數資訊創新型地將WAAP防護策略應用至車聯網行業,以全面保護API介面的安全。這一策略覆蓋了API介面的所有訪問渠道,包括但不限于車載系統、移動APP、小程式等,確保在各種應用場景下,車輛與後臺服務之間的通信都受到嚴密保護。
瑞數車聯網安全解決方案還整合了多種關鍵安全能力,包括WAF、Bot防護、DDoS防護以及API管控能力。這些能力共同構建起一道堅實的防線,有效抵禦各類安全威脅。構建更加安全的車聯網環境。
在車聯網環境中,API介面面臨著來自多方面的攻擊,其中Bots攻擊尤為常見。這類攻擊可能包括漏洞探測、參數遍歷、數據爬取等,嚴重威脅著車輛數據的安全和隱私。通過WAAP防護策略中的主動防禦和動態防禦技術,瑞數資訊能夠實時監測並阻斷這些惡意流量,有效保護API介面的安全。
●事後審計
瑞數資訊採用了API安全審計功能,以確保車聯網系統中API介面的安全性。該功能通過流量鏡像技術,能夠自動識別車聯網系統中的API介面,並對其進行全面的安全檢測。
在審計過程中,API安全審計功能會深入分析車聯網API介面的流量數據,檢測其中是否存在安全風險、應用缺陷等問題。同時,它還會特別關注敏感數據和敏感文件的傳輸情況,確保這些重要資訊在傳輸過程中不被竊取或篡改,從而有效保障數據的安全。
除對API介面本身的安全性進行檢測外,API安全審計功能還會對API訪問行為進行行為分析。通過分析訪問行為的模式、頻率等特徵,及時發現潛在的惡意訪問和未經授權的訪問行為,並採取相應的防禦措施,確保車聯網API介面的安全穩定運作。
綜上所述,瑞數車聯網應用數據安全解決方案通過開發階段的安全風險評估、上線階段的全渠道防護以及API審計能力,為用戶構建了一個完整的API安全防護體系。這一解決方案能夠有效保護車聯網系統中API介面的安全,確保車輛數據的安全和用戶的隱私,為車聯網的健康發展提供堅實的安全保障。
目前,“瑞數車聯網應用數據安全監測”已廣泛應用於多個場景。無論是智慧交通系統,還是汽車製造商的生産研發,都能依靠它確保數據安全。在車載娛樂、遠端控制、車輛診斷維修等方面,它能有效防範數據風險。對於共用汽車、自動駕駛、智慧停車等領域,它更是不可或缺的保障。
在某造車新勢力廠商的實際應用之中,瑞數資訊方案上線一週後,該方案在掃描階段檢測出24個影子API,經業務確認是老舊未下線API介面,同時檢測出超過10個嚴重的業務漏洞,包含未鑒權訪問、過度數據暴露等。在防護階段,該方案有效攔截針對車聯網應用的攻擊事件超過100次,依次是API濫用、SQL注入攻擊、XSS攻擊,併發現車聯網應用未授權訪問並攔截超過30次,限制客戶端訪問超過100次。在之後的審計階段,該方案審計了超過2個車聯網應用共67個未在臺賬中的API,審計1個車聯網應用系統超過50個缺陷API線上上提供服務。
展望未來,瑞數資訊將繼續致力於為客戶提供卓越的車聯網數據安全解決方案,攜手共創一個更安全、更智慧的駕駛新時代。(推廣)