聯網車如何抵擋惡意攻擊？汽車供應鏈安全最新趨勢

分享：

車聯網已改變汽車行業，車輛配備高級駕駛輔助系統(ADAS)、自駕車、電動車如雨後春筍般出現，在提升機動性和便利性的同時，也面臨網路攻擊。聯網汽車遭惡意攻擊的數量從2011年的約6500萬次，增加到2020年的約11億次，全球首發的安全性弱點(CVE)更超過11,000個，攻擊聯網汽車已成駭客的新目標；目前為止，國際汽車大廠已有多起被駭客遠端入侵的網路安全事件，造成嚴重的安全危機。

根據市場研究報告指出，2021年全球汽車網路安全市值為72.3億美元，預計到2030年市值將達324.1億美元，複合年增長率為16.6%；汽車網路安全解決方案的需求不斷加增，許多聯網車都有相同的安全性漏洞，汽車產業的處理方式多為修補個別漏洞，卻忽略了從設計開始考慮潛在威脅，也因此供應鏈潛藏著網路安全風險。舉例來說，汽車內重要的組件-黑盒子(EDR)，駭客能在其中植入病毒，進而消除與車禍相關的證據，因此汽車製造商需要清楚黑盒子所使用的軟體來源，採用潛藏漏洞的開源軟體是造成網路安全風險的主要原因之一。

聯網車常見的網路安全威脅與攻擊手法包括：透過手機或Wi-Fi連線，對車輛發動中間人攻擊、直接入侵車輛控制系統、攻擊車內顯示器的流覽器核心、駭入後針對車用作業系統的漏洞發動攻擊，例如提升許可權或執行任意程式碼，以及車用軟體或韌體升級過程中發動供應鏈攻擊等。汽車行業該如何面對供應鏈攻擊？應從遵循國際法規與標準開始，聯合國歐洲經濟委員會(UNECE)明訂，2024年全球所有新車皆需遵守汽車網路安全法規(R155)的新規定；而在去年正式發佈的汽車網路安全標準ISO/SAE 21434則提供一個嚴格的架構，以確保整個汽車供應鏈的網路安全。

如果發現車載軟體供應商產品，含有惡意程式的開源軟體該怎麼辦？可以建立協力廠商軟體管理機制，設備開發商為其設備中的軟體建立軟體物料清單(SBOM)，明列所有使用的開源軟體和每個套件的已知漏洞、主力開發者及其所屬公司組織；並透過韌體掃描進行軟體溯源、分析軟體供應鏈組成。

安華聯網SecDevice車聯網漏洞檢測工具，符合車聯網基礎應用、資訊安全、聯網功能等相關已知和未知漏洞測試要求；包括車載系統OS弱點掃描、通訊網路模糊測試，及連接外部Wi-Fi環境通訊協定的模糊測試。SecSAM開源軟體風險管理系統，則透過軟體物料清單(SBOM)的概念，管理車載產品的韌體、軟體元件資訊，能提高軟體供應鏈透明度，建立軟體風險清單(CBOM)，管理產品所使用之元件、弱點(CVE)等資訊，當汽車網路攻擊事件發生時，能即時瞭解自家產品中是否有相應的漏洞，提早在危害進一步擴大前進行回應與處理。