智能汽车安全新媒体
随着汽车联网率的飞速提升,智能汽车遭遇网络攻击的风险也越来越大。早期,对于汽车的攻击行为主要是破解其防盗系统,对汽车或车内财产进行盗窃,但车辆的网联化使得黑客远程批量攻击目标车辆成为可能,进而对车主的财产乃至人身安全造成巨大威胁。
如2016年,科恩实验室就可以通过无物理接触攻击,实现对特斯拉汽车的车身控制和行车功能控制;而在2017年,荷兰网络安全公司Computest通过远程利用大众和奥迪的多款车型的网络漏洞,实现了对其车载信息娱乐系统的控制……
诸如此类的汽车网络安全事件,在近两年更是层出不穷,引发了汽车厂商及国家层面对这一领域的重视与投入,对该领域人才的市场需求由此滋生。看准风口,大量网络安全领域的杰出人才涌入,成为推动我国车联网产业高质量发展的重要引擎。
而在这个传统被认为由“男性主导”的汽车网络安全领域中,女性力量越来越受重视。凭借着丰富的经验、特有的视角、不逊色男性的能力,这些“科技女性”正在为汽车网络信息安全行业带来创造更多新的可能。
上海伊世智能科技有限公司的CEO刘虹博士,就是这样一位杰出的汽车网络安全从业者。作为业内屈指可数、乃至唯一的女性创业者,回首和汽车网络安全这一领域的结缘,刘虹笑道:“和你们谈思渊源颇深。”
伊世智能创始人 刘虹博士
围绕刘虹博士在筑牢车联网安全防线这一路的观察与洞见,「谈思汽车」独家专访了刘虹博士,以呈现“她”视角下的汽车信息安全行业的“昨天、今天与明天”。
您是由于什么契机,开始接触并专注于汽车网络安全领域?
在2008年的时候,我的研究领域是物联网信息安全,首次接触汽车网络安全,还要追溯到读博期间研究的课题“电动汽车到充电桩(又叫V2G)”,它相当于汽车网络安全中非常细分的一个领域。
真正意义上深入到汽车网络安全领域是在2017年,这个说起来和谈思实验室有着很深的渊源。
当时,我在CNCERT王永建博士的推荐下,参加了由谈思实验室组织的中国汽车网络安全周大会,这场大会的所闻所得也成为我后来聚焦汽车网络安全领域做产品研发的契机。
后来经过很长一段时间对市场以及团队优势的摸索,直到2019年,我们才开始开发相关产品,并在2021年9月,正式创立了伊世智能。
作为汽车网络安全领域成功的女性创业者,创业期间遇到了哪些挑战?对其他创业者有哪些建议?
刚开始进入这个领域的时候,我一直在思考:到底什么样的产品能够在本质上解决车端的信息安全问题? 这对我们团队来说是挺大的一个挑战。
当时,国内厂商投入比较多的是IDPS、VSOC,但通过对海外的信息安全头部企业的产品体系做了研究后,发现他们在做的是基于密码学来解决控制器本体安全,这一调研结果促使我们选定了嵌入式安全这条赛道。
会切入这条赛道,是因为它在建立自身技术门槛的同时,又能解决信息安全的本质问题,如安全启动、安全刷写、安全诊断、安全调试等等。
如今来看,我们当初的产品定位还是比较准确的。目前在这个细分领域中,伊世智能是国内本土企业为数不多有量产经验的厂商,主要是对标海外的头部企业进行国产化产品的替代,并服务了近10家主机厂,如吉利、比亚迪、长安新能源,以及海外的本田等标杆车型。
所以在我看来,对于创业团队来说,选对赛道至关重要,这里具体到两方面,其一是赛道选择要结合技术门槛。
像我们在做的汽车控制器安全领域,具有一定的技术壁垒,也为将来拓展到轨道交通、船舶工程等大交通领域奠定了基础,保证了企业发展的可持续性。
其二是赛道选择要结合团队基因。
虽然说我们也很看好云上赛道,因为这条赛道不仅是用户感受得到,主机厂也很关注,但由于我们团队没有那部分的研发基因,所以它并不适合我们。我们要做的是聚焦并放大自己的优势,而不是去补自己的短板,因为短板是补不完的。
从女性从业者的角度来看,您觉得汽车网络安全行业近些年有哪些变化?
不难看出,近几年行业里信息安全的女性从业者越来越多,像我接触到的一汽、上汽以及其他主机厂里,女性领导者在每一个细分领域里发挥的作用越来越大。
刘虹博士出席谈思AutoSec2022女性论坛现场照片
(第一排右一)
不过,从创业团队的角度来说,女性作为创始人的,目前可能只有伊世智能。像为辰信安的李允老师、木卫四的云朋,以及信长城、擎天信安等,他们的创始人都是男性。
就我个人来看,在创业的过程中,女性可能相对会更加有韧性,但是在高瞻远瞩的战略层面,我还有所不足,需要向行业内的伙伴们去学习的。
如今,国内外在电动化、智能化领域呈现出“三十年河东三十年河西”的竞争格局,那具体到车联网安全领域方面呢?
智能化、网联化就不说了,中国肯定是发展最快的。但在信息安全领域,目前数得上来的国际化信息安全团队其实并不多,大部分还是来自德国、美国和以色列。
从整个技术脉络的选型上来看,国外以德系为例,可能更偏向于从车内(芯片层面)往外做信息安全,而国内更偏向于从车外往内做信息安全,如云安全、车联网、娱乐系统安全等。
不过在我看来,无论是从车内往外还是从车外往内,最后都是殊途同归,形成一套组合的最佳实践。
相比较国外,国内最有竞争力的技术优势还是在云上,这主要得益于国内大量用户带来的海量数据。在这些数据的助力下,以云端的安全管理中心为代表的产品,能够通过融入更多的智能算法,来帮助主机厂和客户发现业务上的异常。
随着车联网安全的发展,信息安全、数据安全、芯片安全等安全子领域越来越受关注,在您看来,这些子领域各自的特征以及发展方向是怎样的?
目前,随着国内外准入标准及法规的落地,行业尚处于补齐短板的阶段。但在未来,无论是信息安全、还是数据安全、亦或是芯片安全,合规需求都会变成及格分,也就是最低门槛。
届时,数据安全包括隐私安全可能会更加重要,因为这部分是和消费者息息相关的,一旦发生数据泄漏问题,是会严重影响到业务服务水平。
目前消费端对于汽车数据安全的感知还是比较滞后,这是由于我们尚处于合规阶段。等行业把安全合规能力变成基本标配后,才有可能使得汽车数据安全的重要性传递到消费端,这一点大概需要两、三年。
如今,汽车行业对于联网安全的需求递增,伊世智能作为安全服务商,是如何助力车企筑起安全防线的?
伊世智能目前推出了两款产品来助力我们主机厂以及零部件厂商筑起安全防线。
其中一款是基于MCU/SOC芯片开发的HSM信息安全的固件。这部分属于国产化替代的产品,通过利用芯片自带的安全模块,来保证控制器在安全启动、安全刷写、安全通信、安全诊断等场景下,防止数据被篡改、敏感数据被泄露、保证数据来源真实,防止被伪造等。
总之就是围绕黑客可能的攻击入口,来帮助零部件满足信息安全的防护能力。
我们也和国内外知名的芯片厂商都建立了稳定的合作,国外厂商包括英飞凌、瑞萨、TI等,国内厂商如芯驰、兆易、杰发、国芯、地平线等。
另一款产品是信息安全的合规测试工具。它属于自动化的渗透测度工具,将黑客的经验变成产品,来降低主机厂、检测机构、零部件厂商的技术使用门槛。
前不久,伊世智能刚完成千万元级天使轮融资,通过本次融资,我们将持续推进车载控制器信息安全产品的研发投入和产品线扩充。
本届谈思AutoSec中国汽车网络安全周大会上,伊世智能将推出哪些新产品/技术?
在今年的谈思AutoSec大会上,伊世智能聚焦“控制器最核心”安全产品研发,将主要推出2个产品系列:车载控制器HSM国密算法安全模块“SecIC系列”以及整车及零部件级信息安全工具链“SecCT系列”。
SecIC系列
该系列产品对标德国博世、ETAS、Vector、EB,由伊世智能自主研发支持国密算法的HSM安全堆栈,是国内首例支持国际主流域控制器芯片的HSM安全固件产品。
产品的主要功能包括:面向软件可售和动态使能的可信接入、基于硬件信任根的敏感密钥存储模块、以及可定制化ECU数据安全分级防护能力。
实现了面向车载域控制器FOTA场景时,保障“软件可售+用户订阅”的可信赖性;面向用户和整车数据安全场景时,保障“用户+车辆”敏感数据的可信赖性;面向远程诊断可信接入场景时,保障“故障诊断+ECU访问”的可信赖性。
SecCT系列
整车及零部件级信息安全工具链,是面向整车/零部件合规认证的自动化渗透测试工具平台,实现信息安全渗透的“平民化”、信息安全测试的“标准化+流程化”;极大降低信息安全测试人员技术门槛,提高测试效率,增强测试规范性。
产品面向智能网联汽车国内外政策法规及准入强标要求,构建了体系化、一站式信息安全测试验证平台化工具链、体系化测试用例和流程规范,提供了多层级的安全测试能力,可实现标准合规基础上的定制化测试。
依据WP.29 R155、R156法案、《汽车整车信息安全技术要求及试验方法》、《汽车软件升级通用技术要求》等国家强制标准,SecCT系列支持全部7大类所有车辆威胁场景和合规检测。
- THE END -
因文章部分文字及图片涉及到引用,如有侵权,请及时联系17316577586,我们将删除内容以保证您的权益。
