网络安全是智能汽车下一个要卷的方向?

2024年一季度,中国汽车市场延续了2023年的风格,核心就是「卷」

2023年,我国汽车市场爆发「最强价格战」,燃油车的市场空间不断被挤压,如今只剩下最后一口气。近日乘联会发布4月1-14日最新数据,新能源(智能)汽车渗透率首次突破50%,两者地位不知不觉间已经逆转

与此同时,智能汽车的技术发展可谓一日千里,各种新兴技术快速落地应用。仅一两年的时间,智能驾驶快速从高端走向了普及,AI大模型已经成功落地应用,智能座舱正在成为新车的核心竞争力,智能交互更是行业标配。

随着智能汽车继续朝着智能化、网联化发展,V2X智慧出行已经可以预见,汽车也不再只是一个交通工具,而是集出行、通信、交互、娱乐等于一体的新终端,是「互联网+」时代网络空间的延伸。

随着新能源汽车的上半场——汽车电动化逐渐结束,以「智能」为核心的下半场已经拉开帷幕。但在角逐的过程中,车联网安全问题正在凸显,并且成为横亘在车企与智能化之间的巨大阻碍

因此,我们大胆猜测,「在下半场卷的过程中,安全将会是其中一个重要方向」。未来汽车安全将不仅局限于物理安全,网络安全也将是重中之重。换句话说,也许未来智能汽车不仅仅有各种「安全碰撞」测试,还会有「网络攻击」测试,以便用户更清晰了解汽车整体安全水准。

在4月24日举办的「2024 TIME DAY·腾讯智慧出行技术开放日」活动,听完来自国内外的行业领袖、大咖、知名人物的分享,这一趋势似乎越发清晰起来。

接下来,我们将从用户侧、车企侧和全球法规三个方面进行探讨。

一、用户苦智能汽车隐私泄露久矣

为了更好地提供智能化服务,智能汽车收集的信息数据量和隐私远比传统汽车要多得多,包括车主行驶轨迹、兴趣、面部数据、照片、音频等等。与之对应的是隐私泄露事件屡屡发生,据不完全统计,2023年至今,国内共发生了超过20起与车企相关的数据泄露事件,每一次都在社交平台上引发大量的关注度。

2024年4月,「某车企车内摄像头泄露女车主不雅照」新闻引发用户的大量讨论。虽然该车企在当日凌晨紧急发布声明称,车主群和社交媒体中散播的所谓「车内摄像头拍摄照片泄露」是谣言,并表示会「始终保护好用户隐私及信息安全」。

但是这并没有打消用户的担忧,也没有平息该隐私泄露事件所带来的热度及影响,对于车企品牌和声誉造成了难以挽回的巨大损失

智能汽车代表品牌特斯拉也曾深陷用户隐私泄露的陷阱之中。例如在2021年,一名黑客成功提取到特斯拉车内摄像头的拍摄画面,视频清晰地记录了驾乘人员的动作和姿态,甚至能在夜晚光线不佳的情况下捕捉驾驶员的面部特征。在2023年,有报道指出,特斯拉员工在过去几年中通过内部消息系统私下分享了众多客户车载摄像头记录的高度私密视频和图像,进一步加剧了公众对智能汽车隐私安全的担忧。

统计数据显示,2023年1~9月,我国新车摄像头安装量高达4817.2万辆,同比增长了34.1%;其中用户车内隐私空间的舱内摄像头数量超过200万颗,同比增长超过90%。由于车内是一个比较私密的环境,用户有着强烈的隐私保护诉求,而这些不断增加的车内摄像头,虽然目的是为了提升用户智能化体验,但也如同一双双透视用户隐私的「眼睛」,让车主们苦不堪言。

随着公众隐私保护意识进一步觉醒,隐私安全将成为用户购买智能汽车的决策因素,也将成为车企竞争的焦点之一

二、智能汽车厂商越来越重视网络安全

和传统车企不同的是,智能汽车已经来到软件定义车辆的时代。随着新能源车智能化程度不断提升,软件与硬件之间的界限日渐模糊,网络安全风险正在急剧增长,攻击者的动机转向利益,并将会给生态系统中的各方造成潜在且重大的影响。

根据工信部车联网动态监测情况显示,2020年以来发现的针对整车企业、车联网信息服务提供商等相关企业的恶意攻击达到280余万次。之所以智能汽车产业出现如此严峻的网络威胁态势,是因为近两年来该产业借助政策的东风和市场的催化,发展速度迅速导致。

正因为如此,智能汽车厂商们对于网络安全的重视程度也越来越高。但在产业高速发展的过程中,车企一方面在网络安全尤其是很多基础安全建设出现了明显的滞后性;另一方面面临的威胁态势明显增加,其中既包括车企软件供应链分支不断增加、链路不断拉长;也包括人员、应用、充电桩等快速增长,智能汽车暴露的攻击面飞速增长。一增一减之间,车企迫切需要补足安全这块短板。

1. 黑客攻击、网络攻击的威胁越来越严峻,无接触攻击已经成为现实。

自2015 年,两名安全研究人员披露了针对车联网的攻击,《连线》杂志的一名记者在美国的高速公路上以每小时 70 英里的速度驾驶这辆车时,他们远程控制了一辆吉普切诺基并关停了其引擎。

自此之后,特斯拉 Model S 、 Model X 都曾多次被黑客攻破。2022年,媒体还披露了一种中继攻击的方式,针对无钥匙进入系统使用的蓝牙低功耗(BLE),攻击者只需在车主手机(密钥卡)及车辆附近架上设备,就能伪装成车主打开车门、开走车辆。用到的技术软件和硬件加起来的成本,也就1000块左右,在网上都能买到,主流的Model 3或Model Y都在被攻击之列。

在2024年1月举办的Pwn2Own Automotive大赛,大量参赛选手现场展示如何攻破智能汽车系统。尤其是Synacktiv团队,两次成功攻击特斯拉汽车,获得root权限,并演示了特斯拉信息娱乐系统中的沙箱逃逸,赢得了45万美元现金。

针对现阶段越来越严峻的网络攻击,腾讯云安全高级经理曾杰在访谈中表示,腾讯科恩实验室早在2016年就已经实现了远程破解智能汽车,包括主流汽车品牌特斯拉、宝马、奔驰等。值得一提的是,黑客对智能汽车发起攻击已经从简单的行为进化为系统性攻击链,其危害性与影响范围将远超车企和用户的想象。

为此,腾讯安全打造了以智能网联安全体系建设为基础,覆盖安全治理、防护、监测和运营,端云一体化的网联安全体系,对整车网联架构实施风险评估,识别潜在安全风险,提出相应安全需求以及设计规范,保障智能汽车整体安全。

2、智能汽车收集与产生的数据越来越多,数据安全压力越来越大。

智能汽车从交付给用户的那一刻就开始不断收集各类信息和数据。伴随着下半场竞争的开启,作为「智能」的燃料,汽车作为智能终端所产生的数据成指数级增长态势。

例如爆炸式增长的智能汽车应用会产生大量的数据,而车与车、车与人、车与道路、车与云端等之间交互和通信也涉及数据采集与流转。根据Precedence Research发布的数据,全球汽车数据市场规模将从2022年的21.9亿美元增长到2032年的142.9亿美元,收集的数据类型很多,包括:

自动驾驶:涵盖从L1到L5各级别的数据,包括从安装在车辆上的多个传感器收集的数据。

基础设施:包括远程监控、OTA更新以及由控制中心远程控制的数据,还有V2X和交通模式。

信息娱乐:涉及客户如何使用应用程序的信息,例如语音控制、手势、地图和停车等。

互联信息:包括支付给第三方停车应用程序、事故信息、来自行车记录仪、手持设备、移动应用程序和驾驶员行为监控的数据。

车辆健康:维修和保养记录、保险承保、油耗和远程信息处理等。

据权威机构推测,未来10年,每辆车的存储空间将膨胀到2TB以上,因为有些数据必须保留几个月甚至几年。作为仅次于智能手机的第二大终端,汽车的智能化发展离不开大量数据的支撑,也面临这极高的数据安全风险。

腾讯数据安全产品负责人李滨在访谈中指出,智能汽车数据流转全链路较为复杂,涉及的数据种类多、数据量大、数据处理链条长、数据主体多等特点,导致其数据安全保护工作复杂、难度大。

基于智能汽车时代数据安全的复杂性,腾讯携手合作伙伴打造自动驾驶云平台,引入腾讯自动驾驶云合规服务,在采集、上传、处理与应用等阶段全生命周期保障数据安全,满足对自动驾驶研发过程中的合规要求。

3、复杂的供应链风险与漏洞治理。

智能汽车开发过程中,车辆硬件和软件集成正在脱钩,导致供应链既分散又复杂,而OEM处于系统集成的中心,面临的软件供应链安全风险急剧升高。

尽管OEM可以通过软件物料清单(SBOM)来提高软件供应链的透明度和可追溯性,以便更快解决供应链安全和漏洞治理的问题。但由于智能汽车OTA更新十分频繁,导致SBOM处于动态变化之中,增加了OEM对于风险的管控与响应。

此外,车联网并非仅仅指车辆本身,智能汽车供应链安全还涉及第三方智能出现应用、充电基础设施、云平台等多个方面,进一步增加了软件供应链潜在的安全风险,以及可能暴露在互联网上的安全漏洞。通过利用与SBOM相关的漏洞,攻击者可以获得对整个车辆的关键功能和控制机制进行未经授权的访问,从而对车辆的网络安全态势构成重大威胁。

还需强调的是,作为连接软件供应链的重要角色,API安全也是攻击者发起大规模攻击的突破口。依靠各种各样的API接口,智能汽车能够加载的应用与服务越来越多,从OEM移动应用、娱乐信息系统、经销商系统、售后市场移动物联网设备,到电动车充电管理和计费应用,都严重依赖API来实现核心功能。越来越多且调用频繁的API安全也在这个过程中不断累积。

与之相对应的是,OEM缺乏对智能汽车软件供应链安全和漏洞治理的有效措施,例如:

a.及时、主动识别并解决软件和硬件组件中的漏洞;

b.持续评估和管理软件供应链风险,确保组件的完整性和安全性;

c.快速检测网络安全风险和攻击,并提供有效的响应和缓解措施。

对于复杂的软件供应链管理和漏洞治理问题,腾讯零信任产品负责人刘登峰在访谈中指出,车企在构建安全防护体系时最容易出现问题的点往往是端点侧、云侧和车机侧,通过零信任的理念和框架或许可以解决这些问题。

第一、不论是车企员工还是第三方供应链,在车企内部进行应用访问、接入时需要考虑整体终端安全、通道安全、链路安全、应用安全等;

第二、针对车企接入过程中,需要考虑到软件供应链层面,实现软件开发安全左移的问题。

通过构建端到端的访问控制体系、数据保护以及安全左移,可以将车企面临的常见的安全问题闭环。

三、智能汽车安全测试基础已经具备

综上所述,在面临上述网络攻击威胁、数据安全与合规、复杂的漏洞供应链安全与漏洞治理等多个问题时,OEM似乎并没有做好十足的准备,从而导致相关安全事件屡屡发生。

据Upstream发布的报告,针对OEM及其生态系统的攻击正在迅速增加,不断引入新的攻击向量和方法,即便OEM不断提高网络安全保护等级,却依旧捉襟见肘。在2019年至2023年间,公开网络(媒体)披露的OEM安全事件平均增幅超过50%,2023年达到惊人的数百起。

而据中汽数据,CFID漏洞库截至2022年底共收录了2945个安全漏洞,共涉及车型1000多个,涵盖了车载硬件、软件、网络、服务等多个方面,涉及到车辆控制系统、信息娱乐系统、远程控制系统、车联网平台等多个模块。

由此看来,智能汽车在网络安全领域的卷才刚刚开始。全球不断演变、完善的智能汽车网络安全法规,也在推动产业加快「卷安全」的步伐。事实上,为了更好地应对智能网联汽车所面临的网络安全威胁,我国在《网络安全法》《数据安全法》等上位法的基础上,陆续出台了多个智能网联汽车网络安全政策、法律和法规以及行业标准。

例如2022 年 3 月,工信部发布《车联网网络安全和数据安全标准体系建设指南》,提出到 2023 年底,初步构建起车联网网络安全和数据安全标准体系,到 2025 年,形成较为完善的车联网网络安全和数据安全标准体系。

另外,我国还陆续发布了《汽车数据安全管理若干规定》《信息安全技术汽车数据处理安全要求》《汽车信息安全通用技术要求》《整车信息安全技术要求》等法规和标准,逐渐形成了智能汽车的安全框架。

全球其他国家也不断颁布相应的网络安全法规。例如2023年11月,印度提出了一项名为「CyberShield」的强制性车辆制造商安全框架。该计划得到了道路运输部长的支持,旨在加强车辆系统对网络漏洞的防护,扩展到电动车充电站的保护。

2023年8月,加利福尼亚隐私保护局(CPPA)启动了一个执法倡议,以审查通过内置应用、传感器和摄像头收集的连接车辆的大量数据。CPPA旨在确保原始设备制造商(OEM)的透明度,保护消费者数据权利。

四、给智能汽车打个分?

越来越完善的网络安全政策法规体系给智能汽车产业发展打下了坚实的基础,也让给智能汽车安全打分这件事情有了底层逻辑支撑。那么究竟该如何进行风险评估与安全等级确定呢?

腾讯云安全高级经理曾杰表示,目前腾讯已经具备给智能汽车打分的基础。腾讯安全已经实现,在云端通过不同的产品模块,对全链路进行整体防控,在防控的过程中就可以对智能汽车整体安全进行打分。

例如可通过云端部署Web应用防火墙,对业内常见的威胁情报进行梳理和评分,只要车企启用云安全控制中心,自然也可以对资产进行梳理,同时对现有的安全情况进行评分。在车端也是如此,甚至还可以对开发环境进行评分。

换句话说,仅从技术角度出发,依托腾讯安全庞大的威胁情报体系,像「碰撞测试」那样给智能汽车网络安全打分已经可以实现,缺的无非是更官方的第三方评测机构以及国家出台一些行业法规和标准。

总的来说,从用户侧来看,对于隐私泄露的忍耐度越来越低,如同智能手机一般,隐私保护将成为新的卖点;从车企侧来看,无接触网络攻击控制车辆早已实现,数据合规压力越来越大,暴露在互联网上的攻击面不断扩大,快速提升智能汽车网络安全能力等级已经刻不容缓;从政策法规侧来看,数据安全、车辆网络安全法规不断完善,合规要求朝着更严格的方向发展已经是不可逆的趋势。

新能源车智能化的下半场已经拉开帷幕,「安全将会是其中一个重要方向」。那么在网络安全领域,智能汽车厂商们又该如何「卷」飞同行?完全依靠车企自身显然不合算,找到一家网安行业的「博世」,让专业的人来做专业的事,无疑是一个更好的选择。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/5521.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

安装mmcv

如果conda或者pip不行 conda install mmcv-full1.3.17 直接用mim pip install -U openmim mim install mmcv 同理一些其他的库也可以来安装。 Installation — mmcv 2.2.0 documentation https://mmdetection.readthedocs.io/zh-cn/v2.24.0/get_started.htm

ES集群分布式查询原理

集群分布式查询 elasticsearch的查询分成两个阶段: scatter phase:分散阶段,coordinating node会把请求分发到每一个分片gather phase:聚集阶段,coordinating node汇总data node的搜索结果,并处理为最终结…

解决iview(view ui)中tabs组件中使用图片预览组件ImagePreview,图片不显示问题

同学们可以私信我加入学习群! 正文开始 前言一、问题描述二、原因分析三、解决方案总结 前言 最近在写个人项目的web端和浏览器插件,其中一个功能是base64和图片的转换。因为分成四个小功能,所以使用的iview的tabs来展示不同功能&#xff0c…

无缝对接配电自动化:IEC104转OPC UA网关解决方案

随着水电厂自动化发展的要求,具有一定规模的梯级水电站越来越多,为了实现水电站的无人值班(少人值守),并考虑到节能控制,电厂采用了集中监控。集中监控关注的是整个电网的安全稳定运行及电压、频率和整个电网的电力需求&#xff0…

【嵌入式笔试题】网络编程笔试题

非常经典的笔试题。 2.网络编程(29道) 2.1列举一下OSI协议的各种分层。说说你最熟悉的一层协议的功能。 ( 1 )七层划分为:应用层、表示层、会话层、传输层、网络层、数据链路层、物理 层。 ( 2 )五层划分为:应用层、传输层、网络层、数据链路层、物理层。 ( 3 )…

Mybatis自定义TypeHandler

Mybatis是一个优秀的持久层框架,它提供了丰富的功能来简化数据库操作。在Mybatis中,TypeHandler是用于处理Java对象与数据库字段之间的类型转换的组件。自定义TypeHandler可以帮助我们处理一些特殊的数据类型或者自定义的数据类型。 自定义TypeHandler需…

正则化回归

1. L1正则化 L1正则化是回归参数各个元素绝对值之和。 2. L2正则化 L2正则化是回归参数各个元素平方之和。 3.LOSS回归 线性回归加上L1正则化 4.岭回归 线性回归加上L2正则化 不断增大 L2 约束项参数 α,可以发现岭回归参数优化解不断靠近原点&#xff0c…

开源、轻量、易用的服务器实时监控工具:哪吒探针

本文首发于只抄博客,欢迎点击原文链接了解更多内容。 前言 哪吒探针是一个开源、轻量、易用的服务器监控、运维工具,它有以下几个特点: 一键安装:可以一键安装面板与 Agent,并且支持 Linux、Windows、MacOS、OpenWRT…

Java根据模板动态生成Pdf(添加页码、文件加密、Spire免费版本10页之后无法显示问题、嵌入图片添加公章、转Base64)

Java根据模板动态生成Pdf:添加页码、文件加密、Spire免费版本10页之后无法显示问题、嵌入图片添加公章、转Base64 引言【Java根据模板动态生成Pdf资源地址】示例一:动态生成带页码的PDF报告示例二:加密PDF以保护敏感信息示例三:应…

吴恩达2022机器学习专项课程(一)7.2 逻辑回归的简化成本函数课后实验 Lab5

问题预览/关键词 二分类问题的训练集(多特征)绘制训练集数据的散点图自定义plot_data() Python实现逻辑回归的成本函数自定义sigmoid() 调用成本函数不同的w,b,绘制逻辑回归模型的决策边界验证哪条决策边界效果好总结 二分类问题的…

VMware虚拟机安装Linux(CentOS)【超详细】

参考大佬文章:VMware虚拟机安装Linux教程(超详细)_vmware安装linux虚拟机-CSDN博客 目录 一、获取映射文件 二、新建虚拟机 三、安装操作系统 四、切换系统用户 一、获取映射文件 参考大佬文章获取映射文件,以及对应修改后缀名的方法 二、新建虚拟…

实操——使用uploadify插件(php版和Java版) 与 Dropzone.js插件分别实现附件上传

实操——使用uploadify插件(php版和Java版)与 Dropzone.js插件分别实现附件上传 1. 使用uploadify插件上传1.1 简介1.1.1 简介1.1.2 参考GitHub 1.2 后端PHP版本的uploadify1.2.1 下载项目的目录结构1.2.2 测试看界面效果1.2.3 附页面代码 和 PHP代码 1.…

python学习笔记----数据容器(六)

一、数据容器的入门 python中的数据容器:一种可以容纳多份数据的数据类型,容纳的每一份数据称之为1个元素。每一个元素,可以是任意类型的数据,如字符串、数字、布尔等。 数据容器根据特点的不同,如: 是否…

Content type ‘application/json;charset=UTF-8‘ not supported异常的解决过程

1.首先说明开发场景 *就是对该json格式数据传输到后台 后台实体类 import com.baomidou.mybatisplus.annotation.TableId; import com.baomidou.mybatisplus.annotation.TableName; import com.fasterxml.jackson.annotation.JsonIgnore; import lombok.Data; import org.sp…

【DeepL】菜鸟教程:如何申请DeepL免费API并使用Python的DeepL

前言 在这篇技术博文中,我们将介绍如何利用DeepL的强大功能,通过其免费API在Python项目中实现高质量的文本翻译。我们将从基础开始,解释DeepL是什么,它的用途,如何申请免费API,以及如何在Python中使用DeepL库。 什么是DeepL? DeepL是一个基于人工智能的翻译服务,它以…

【Linux】进程创建

思维导图 学习内容 在这一篇博客的主要内容是学习fork函数,了解fork函数的功能、返回值等。我们需要学会使用fork函数创建子进程。 学习目标 进程的概念fork函数的初始fork函数的返回值写时拷贝fork函数的常规用法fork函数调用失败的原因 零、进程的概念 进程&am…

如何利用仪表构造InfiniBand流量在数据中心测试中的应用

一、什么是Infiniband? 在当今数据爆炸的时代,数据中心作为信息处理的中心枢纽,面临着前所未有的挑战。传统的通信方式已经难以满足日益增长的数据传输需求,而InfiniBand技术的出现,为数据中心带来了全新的通信解决方…

2024洞悉AI人群新范式:AI机会人群社媒研究报告暨人群工厂系列白皮书

来源:蓝色光标 背景:AI生态初步成型,但仍需寻找清晰的商业化场景和机会 • 大模型厂商、核心零部件厂商(NVIDIA、Intel)、装配商(​AIPC、AI手机)、AI应用厂商共存,生态系统已经重构…

Windows如何通过wsl2迅速启动Docker desktop的PHP的Hyperf项目容器?

一、安装WSL 什么是WSL? 官网:什么是WSL? Windows Subsystem for Linux (WSL) 是一个在Windows 10和Windows 11上运行原生Linux二进制可执行文件的兼容性层。 换句话说,WSL让你可以在Windows系统上运行Linux环境,而无需…

【学习vue 3.x】(五)VueRouter路由与Vuex状态管理

文章目录 章节介绍本章学习目标 路由的基本搭建与嵌套路由模式vue路由的搭建嵌套路由模式 动态路由模式与编程式路由模式动态路由模式编程式路由 命名路由与命名视图与路由元信息命名路由命名视图路由元信息 路由传递参数的多种方式及应用场景路由传参 详解route对象与router对…