车联网安全
11.Aug.2022
联网车如何抵挡恶意攻击?汽车供应链安全最新趋势
车联网已改变汽车行业,车辆配备高级驾驶辅助系统(ADAS)、自驾车、电动车如雨后春笋般出现,在提升机动性和便利性的同时,也面临网络攻击。联网汽车遭恶意攻击的数量从2011年的约6500万次,增加到2020年的约11亿次,全球首发的安全漏洞(CVE)更超过11,000个,攻击联网汽车已成黑客的新目标;目前为止,国际汽车大厂已有多起被黑客远程入侵的网络安全事件,造成严重的安全危机。
根据市场研究报告指出,去年全球汽车网络安全市值为72.3亿美元,预计到2030年市值将达324.1亿美元,复合年增长率为16.6%;汽车网络安全解决方案的需求不断加增,许多联网车都有相同的安全漏洞,汽车行业的处理方式多为修补个别漏洞,却忽略了从设计开始考虑潜在威胁,也因此供应链潜藏着网络安全风险。举例来说,汽车内重要的组件-黑盒子(EDR),黑客能在其中植入病毒,进而消除与车祸相关的证据,因此汽车制造商需要清楚黑盒子所使用的软件来源,采用潜藏漏洞的开源软件是造成网络安全风险的主要原因之一。
联网车常见的网络安全威胁与攻击手法包括:透过手机或Wi-Fi连线,对车辆发动中间人攻击、直接入侵车辆控制系统、攻击车内显示器的浏览器核心、骇入后针对车用操作系统的漏洞发动攻击,例如提升权限或执行任意程序代码,以及车用软件或韧件升级过程中发动供应链攻击等。汽車行業該如何面对供应链攻击?应从遵循国际法规与标准开始,联合国欧洲经济委员会(UNECE)明订,2024年全球所有新车皆需遵守汽车网络安全法规(R155)的新规定;而在去年正式发布的汽车网络安全标准ISO/SAE 21434则提供一个严格的架构,以确保整个汽车供应链的网络安全。
如果发现车载软件供货商产品,含有恶意程式的开源软件该怎么办?可以建立第三方软件管理机制,设备开发商为其设备中的软件建立软件物料清单(SBOM),明列所有使用的开源软件和每个套件的已知漏洞、主力开发者及其所属公司组织;并透过韧件扫描进行软件溯源、分析软件供应链组成。
仲至信息SecDevice车联网漏洞检测工具,符合车联网基础应用、网络安全、联网功能等相关已知和未知漏洞测试要求;包括车载系统OS漏洞扫描、通信网络模糊测试,及连接外部Wi-Fi环境通信协议的模糊测试。SecSAM开源软件风险管理系统,则透过软件物料清单(SBOM)的概念,管理车载产品的韧件、软件组件信息,能提高软件供应链透明度,建立软件安全列表(CBOM),管理产品所使用之组件、漏洞(CVE)等信息,当汽车网络攻击事件发生时,能实时了解自家产品中是否有相应的漏洞,提早在危害进一步扩大前进行响应与处理。
根据市场研究报告指出,去年全球汽车网络安全市值为72.3亿美元,预计到2030年市值将达324.1亿美元,复合年增长率为16.6%;汽车网络安全解决方案的需求不断加增,许多联网车都有相同的安全漏洞,汽车行业的处理方式多为修补个别漏洞,却忽略了从设计开始考虑潜在威胁,也因此供应链潜藏着网络安全风险。举例来说,汽车内重要的组件-黑盒子(EDR),黑客能在其中植入病毒,进而消除与车祸相关的证据,因此汽车制造商需要清楚黑盒子所使用的软件来源,采用潜藏漏洞的开源软件是造成网络安全风险的主要原因之一。
联网车常见的网络安全威胁与攻击手法包括:透过手机或Wi-Fi连线,对车辆发动中间人攻击、直接入侵车辆控制系统、攻击车内显示器的浏览器核心、骇入后针对车用操作系统的漏洞发动攻击,例如提升权限或执行任意程序代码,以及车用软件或韧件升级过程中发动供应链攻击等。汽車行業該如何面对供应链攻击?应从遵循国际法规与标准开始,联合国欧洲经济委员会(UNECE)明订,2024年全球所有新车皆需遵守汽车网络安全法规(R155)的新规定;而在去年正式发布的汽车网络安全标准ISO/SAE 21434则提供一个严格的架构,以确保整个汽车供应链的网络安全。
如果发现车载软件供货商产品,含有恶意程式的开源软件该怎么办?可以建立第三方软件管理机制,设备开发商为其设备中的软件建立软件物料清单(SBOM),明列所有使用的开源软件和每个套件的已知漏洞、主力开发者及其所属公司组织;并透过韧件扫描进行软件溯源、分析软件供应链组成。
仲至信息SecDevice车联网漏洞检测工具,符合车联网基础应用、网络安全、联网功能等相关已知和未知漏洞测试要求;包括车载系统OS漏洞扫描、通信网络模糊测试,及连接外部Wi-Fi环境通信协议的模糊测试。SecSAM开源软件风险管理系统,则透过软件物料清单(SBOM)的概念,管理车载产品的韧件、软件组件信息,能提高软件供应链透明度,建立软件安全列表(CBOM),管理产品所使用之组件、漏洞(CVE)等信息,当汽车网络攻击事件发生时,能实时了解自家产品中是否有相应的漏洞,提早在危害进一步扩大前进行响应与处理。
