2022.09.19

【行業新聞】當今汽車網路安全面臨的主要挑戰是什麼?

【行業新聞】當今汽車網路安全面臨的主要挑戰是什麼?

對於汽車行業的網路安全專業人士來說,這一年並不容易。

隨著汽車電氣化發展,越來越多駭客轉而將網站設置在聯網汽車產品上,知名案例像是大衛科倫坡廣為人知的特斯拉道德駭客攻擊、針對本田(Honda)的勒索病毒攻擊,以及疑似對當地豐田(Toyota)供應商的攻擊,這些網路威脅案例證明汽車產品與供應鏈安全風險都在持續上升。聯網汽車高度依賴複雜軟體供應鏈,近日供應鏈短缺和故障促使汽車行業開始找尋新的供應商,這些未經審查的新供應商生產的軟體、聯網產品又為汽車網路增添了許多風險。

SBOM 是解決供應鏈安全問題的方法之一,但許多團隊仍在研究如何生成合規的 SBOM,同時提供完整的系統視圖並涵蓋專有、第三方和開源代碼,且不影響生產與上市速度。Cybellum 發布了最新的《2022 年汽車網路安全狀況報告》,提供有關汽車網路安全現狀的看法和實用資訊,協助汽車產業鏈了解符合 WP.29 的挑戰以及如何實踐網路安全。

 

1. SBOM 協助監控供應鏈安全並降低風險 (Supply Chain Security)

一年多前白宮解決了快速升溫的供應鏈攻擊事件,並發布改善網路安全的行政命令,加速軟體開發人員和供應商生成包含所有軟體組件的最新 SBOM。

SBOM 可幫助團隊監控軟體中是否存在老舊和易受攻擊的組件,並立即降低風險,整個產品生命週期中不斷生成的 SBOM 對於確保產品更新、無漏洞十分重要。軟體與汽車行業將變得無法分割,軟體供應鏈安全直接影響汽車產品安全。研究發現過去一年汽車產品愛用的軟體組件前 10 名都是開源的。

開源組件能幫助開發人員加快流程,但它們會帶來許多安全風險。

 

延伸閱讀: 什麼是SBOM (軟體物料清單) ? - 資訊安全解決方案

 

2. 您是否正在使用易受攻擊的開源組件(Open Source Components)?

根據研究,汽車零部件中最常檢測到的已知漏洞 (CVE) 皆存在於大眾使用的開源組件中,已知漏洞也是最容易受到攻擊的。

以下列表包含 2017、2019 、2020 年揭露的已知漏洞,從數據可以明顯發現,您的開發人員正在使用易受攻擊的軟體版本可能性很高。

 

3. 更新軟體組件以緩解風險

連網設備的網路攻擊已十分常見,因為駭客若想攻擊CVE漏洞是有跡可循的。我們仔細研究了汽車產品中最常見的漏洞,統計正在使用老舊軟體版本的產品數量,結果顯示 24% 的連網汽車產品搭載超過 10 年的軟體版本,證明產品安全團隊仍不夠重視開源軟體風險。

目前已經上路的車輛網路安全是我們最為擔心的,產品安全團隊必須將安全工具和安全開發流程部署到位,以確保盡快緩解此類風險。

 

 

4. 優先排除最有威脅性的漏洞

檢測完軟體是否存在漏洞,安全和開發團隊必須針對關鍵問題儘快緩解。我們查看了不同類型的已知漏洞,了解團隊如何加快和擴展其漏洞管理流程。

隨著汽車軟體生態系統變得越來越複雜,早期和持續的漏洞監控只是第一步。即使產品安全團隊為這一關鍵實踐準備了工具和流程,他們仍需處理越來越長的問題列表來緩解。僅查看 CVSS 分數是不夠的,因為大多數漏洞都會被評估為高分,團隊需對列表進行排序並決定哪些漏洞必須立即關注。根據最近的數據,手動漏洞管理可能需要數月時間,一些研究認為緩解高嚴重性漏洞的時間接近 250 天,這是難以被企業接受的時間範圍,尤其漏洞列表還會不斷增加。為了加快和擴展漏洞管理流程,優先關注對您的組織構成最高風險的漏洞非常重要。

在我們的研究中,我們發現檢測到的漏洞中只有三分之一會影響產品。使用先進技術來分析漏洞,並減少冗長名單,是實現快速緩解的關鍵步驟。

 

5. 面對當前的汽車網路安全挑戰

隨著汽車領域的產品安全團隊繼續努力實現網路安全和合規性,制定成熟的網路安全戰略至關重要。我們需要實施新的流程和政策,從最早的開發階段一直到後期生產營運。Cybellum 的產品安全平臺,可以幫助產品安全的專業人員,在整個產品生命週期中 (包含 SBOM 到漏洞管理和威脅事件回應)加快和擴展網路安全。

 

延伸閱讀:

 

想了解更多關於相關資訊,歡迎與我們聯繫 !

艾索科技股份有限公司 AISOL Technology

  • 電話:02-2500-6210

  • 郵件:info@aisol.com.tw 

 

本文轉載自 Cybellum Technologies LTD.

回前頁