尽管汽车行业为创建和部署广泛的解决方案付出了很多努力,但汽车网络安全仍将是最困难的问题。新型网络安全攻击似乎会攻击新型软件定义汽车和扩展通信技术中暴露出的新漏洞。这就需要不断改进网络安全技术、产品和服务。
尽管汽车行业为创建和部署广泛的解决方案付出了很多努力,但汽车网络安全仍将是最困难的问题。新型网络安全攻击似乎会攻击新型软件定义汽车(SDV)和扩展通信技术中暴露出的新漏洞。这就需要不断改进网络安全技术、产品和服务。
Upstream Security公司发布的“2024 Upstream Global Automotive Cybersecurity Report”(2024年全球汽车网络安全报告),是了解汽车网络安全趋势和活动的最佳来源。本文是该报告的摘要,点击此处可下载其英文版内容。
网络安全概述
该2024年报告是其第六个年度版本,数据超过130页。自2010年以来,Upstream已跟踪了1,468起与汽车相关的事件。2023年,Upstream分析了295起新的公开网络安全事件,占2010年以来总数的20%。
本文重点讨论Upstream报告中的以下关键主题:
- 公共漏洞和暴露(CVE)的增长
- 网络安全事件趋势
- 来自社交媒体的网络攻击信息日益增多
- 网络攻击媒介日益多样化
- 网络攻击成本上升
- GenAI对网络攻击的新影响
CVE增长
CVE是对容易被网络攻击者成功利用的弱点的衡量标准。公共漏洞评分系统(CVSS)旨在为CVE的评级提供一种开放且标准化的方法。CVSS可帮助各组织根据漏洞的严重性、引入时间和环境特性确定优先级并协调联合响应。根据CVSS评分,漏洞分为严重、高、中到低或无。
下表显示了过去五年中与汽车相关的CVE的增长情况——从2019年的24个新CVE到2023年的378个新CVE。累计CVE从2019年的24个跃升至2023年的725个。2023年新增的CVE占CVE总数的52%以上。
Upstream仅关注直接影响汽车和智能移动生态系统的CVE,例如共享移动、移动物联网设备和车队,排除了与可能在整个供应链中使用的通用IT硬件或开源软件相关的CVE,并将跟踪每个漏洞的来源和严重程度。
下图显示了2019年至2023年新漏洞的来源以及2023年发现的378个新CVE的严重性。左侧饼图显示了从2019年至2023年引入725个网络安全漏洞的三类公司,包括汽车原始设备制造商、零部件系统制造商(包括一级供应商)和硬软件芯片组售后市场供应商。
右侧饼图总结了2023年新漏洞的CVE严重程度,包括四个级别。2023年,严重和高危漏洞占CVE总数的近80%,而2022年这一比例为71%。这一趋势凸显了监控汽车CVE、及早发现网络攻击并优先考虑快速缓解的重要性。
网络安全事件趋势
汽车网络安全事件持续增长。一个更大的问题是,网络攻击的严重程度增长得更快。Upstream根据对移动资产的潜在影响规模对2021年至2023年公开披露的汽车网络安全事件进行了分析。影响范围包括车辆、用户、移动设备等。Upstream根据四个影响级别对事件进行了分类:
- 低级,包括可能影响10个以下资产的事件。
- 中级,涵盖影响多达1,000个车辆或移动资产的事件。
- 高级,包括影响数千个车辆或移动资产的事件。
- 大规模,涵盖可能影响数百万移动资产的事件。
下表是Upstream根据四个影响级别对过去三年趋势的分析总结。最上面一行列出了每年发生的事件数量。
2021年和2022年期间,高级或大规模事件约占网络安全攻击总数的20%。2023年,具有高影响或大规模影响的事件比例翻了一番,达到近50%。这种向大规模攻击的转变对遭受网络攻击的车辆和移动资产的数量产生了重大影响。
下图显示了最突出的汽车相关网络事件类型的细分。图中显示的是2023年网络事件总数的百分比。
服务和业务中断持续上升,占2023年事件的42%,高于2022年的40%。
数据和隐私泄露是第二大类,占事件总数的22%。由于车辆和移动系统中存储的信用卡和相关数据的可用性越来越高,这些数据变得越来越有用。
Upstream的数据显示,与欺诈相关的事件急剧增加,占2023年事件的20%,高于2022年的4%。深网上最流行的欺诈信息之一是里程修复,正式名称为里程表欺诈。根据美国国家公路交通安全管理局(NHTSA)的数据,每年有超过450,000辆汽车以虚假的里程表读数出售,使美国买家损失超过10亿美元。
来自社交媒体的网络攻击信息越来越多
随着社交媒体成为消费者和专业人士的主要平台,威胁行为者正在使用社交媒体交换知识,并有可能在几分钟到几小时内接触到世界各地数百万人。
社交媒体对网络安全的影响怎么强调都不为过。社交媒体的广泛影响力已成为网络活动的滋生地。深网和暗网中隐藏的网络内容现在很容易暴露出来,并被广大受众获取。基于其病毒式传播的潜力,社交媒体已成为恶意活动(犯罪和欺诈事件)的主要传播渠道。
将有关如何通过社交媒体入侵车辆的讨论从深网和暗网转移到开放互联网是一个令人不安的趋势。汽车爱好者和黑客现在可以轻松地与全球受众分享他们的汽车黑客发现。近年来,Facebook、TikTok、YouTube和Instagram已成为分享汽车黑客工具、手册、越狱和黑客演示的重要平台。
一个典型的例子是2022年10月病毒式传播的所谓“TikTok挑战”,导致现代和起亚制造的数万辆汽车在美国全国范围内被盗。在2023年2月的一份新闻稿中,NHTSA点名批评了TikTok,称TikTok社交媒体挑战在美国全国范围内蔓延,导致至少14起车祸和8人死亡。
要应对网络活动对社交媒体的影响,需要汽车行业、监管机构和社交媒体平台共同努力,提高公众意识并确保汽车技术的安全可靠。
网络攻击媒介日益多样化
2023年,网络攻击变得更加复杂和频繁。它们针对多个车辆系统和组件,以及智能移动平台、物联网设备和应用。新的攻击方法表明,任何连接点都容易受到网络攻击。
2023年,远程信息处理和应用服务器等后端服务器的网络事件大幅增加。服务器相关事件从2022年的35%增长到2023年的43%。通过利用后端服务器的漏洞,黑帽行为者可以在车辆行驶过程中对其进行攻击。信息娱乐相关事件几乎翻了一番——从2022年的8%增加到2023年的15%。
网联汽车和智能移动服务使用大量外部和内部API,每月产生数十亿笔交易。OTA和远程信息处理服务器、移动应用程序、信息娱乐系统、移动物联网设备、电动汽车充电管理和计费应用程序都严重依赖于API。
API也是重要的全车队大规模攻击媒介,可导致各种网络攻击,包括个人信息盗窃、后端系统操纵和远程车辆控制。
API黑客攻击成本效益高,具有实施大规模攻击的能力。它所需的专业技术知识相对较少,使用标准技术,无需特殊硬件即可远程执行。这是未来快速增长的一种方式。
电子控制单元(ECU)负责发动机、转向、制动、无钥匙进入和其他关键系统。黑客试图操纵ECU,通过同时运行多个复杂系统来控制其功能。
黑帽行为者利用无线钥匙扣来实施攻击。无线钥匙扣配有短程无线电发射器,可向接收器发送编码无线电信号。钥匙和车辆之间的通信可通过可拦截、中继、重放或干扰无线电信号的设备来操纵。公开的黑客教程和无需注册即可在线销售的设备使这些攻击变得流行且易于实现。
安全的充电基础设施对于电动汽车的采用至关重要。目前,许多充电器、充电基础设施系统和相关应用程序容易受到物理和远程操纵,使电动汽车用户面临欺诈和勒索攻击。这也影响了充电网络的可靠性。
V2X攻击尚处于起步阶段,还未出现在网络攻击中。然而,随着C-V2X系统在许多国家的兴起,预计V2X网络攻击在未来将变得更加频繁。
预计C-V2X车辆将与周围的整个环境进行交互,包括行人和骑自行车的人、来自十字路口交通灯和控制系统的数据,以及与其他C-V2X用户基于CDA的合作。
网络攻击成本上升
汽车和智能移动网络攻击会在多个层面造成严重的财务影响。它们可能导致召回或OTA更新、停产、勒索软件赎金支付和车辆失窃。其他影响还包括数据和隐私泄露,这会损害品牌声誉和客户信任,最终导致巨额监管罚款和收入减少。随着大规模网络安全事件的发生,预计未来的成本将迅速增加。
Upstream列出了汽车网络威胁造成的主要财务影响,并列举了几个成本范围的例子。本文中的一个例子涉及电动汽车充电网络数据泄露的财务影响,下表对此进行了总结。
2023年6月,一名安全研究人员发现了一个在线数据库,其中包含30多个国家数十万个电动汽车充电站组成的全球网络的数百万条日志(接近1TB)。
内部数据库托管在最流行的公共云平台上,无需密码即可访问,其中包含使用电动汽车充电网络的客户的敏感数据。数据包括车队客户的姓名、电子邮件地址、电话号码、使用网络充电的车队运营商名称、车辆识别号以及电动汽车公共和私人住宅充电点的位置。
生成式人工智能(GenAI)在网络攻击中的新兴影响
GenAI时代正在汽车行业兴起,许多OEM厂商采用GenAI功能来增强产品功能,并实现内部生产力和效率。GenAI在网络攻击方面的新兴影响和潜在未来影响是一把双刃剑,既有消极因素,也有积极因素。
GenAI预计将成为黑帽行为者的重要工具,协助他们完成大规模攻击并降低进入壁垒。黑帽可以应用大型语言模型(LLM)来快速识别漏洞,并了解如何利用这些漏洞。这将为黑帽提供攻击CVE的标准策略、方法和流程。
GenAI可用于映射CVE、目标API并识别潜在漏洞,并提供漏洞利用的分步指导。LLM可通过吸收公共漏洞数据库和网络安全研究中的信息,用于生成恶意代码或脚本。API特别容易受到影响,因为攻击者可以使用GenAI来探索API文档,这些文档可能是公开的、意外自我披露的或在暗网上泄露的。
从利用GenAI模拟攻击环境来看,汽车网络安全行业面临着额外的挑战,因为这将导致更加不可预测和复杂的攻击。GenAI还将增加检测这些攻击的难度。
好消息是,GenAI也有可能改变汽车网络安全解决方案和运营。GenAI将支持一系列用例——从敏捷调查和车辆安全运营中心(vSOC)工作流程自动化,到基于深网和暗网数据以及深入的威胁分析和风险评估(TARA)生成复杂的见解。Upstream是在vSOC及其他网络安全产品和服务中实施GenAI的领先企业。
GenAI使网络安全团队能够快速分析多个来源的海量联网车辆和移动数据,从而大大提高了效率。GenAI可以检测模式、过滤事件警报并自动进行调查。汽车网络安全行业必须接受GenAI的变革能力,利用自身的GenAI技术防范来自黑帽的高级威胁。
总结
从漏洞、攻击者数量和攻击复杂性到汽车网络安全行业参与者的响应活动,汽车网络安全在多个层面都是一个增长型业务。
有几种技术趋势正在产生重大影响,其中SDV增加了大量软件代码,而这些代码都会存在漏洞。人工智能技术注定会成为网络安全攻击以及发现、分析和防御大量复杂攻击媒介的主要因素。
社交媒体越来越多地被用作恶意网络安全信息的滋生地和传播渠道,这是一个令人担忧的趋势,需要引起许多参与者的关注。
网络安全攻击媒介的多样性不断增加。用于远程信息处理、网联汽车应用程序和移动应用程序的众多后端服务器已成为最大的攻击媒介,2023年占所有网络攻击的43%。由于越来越多的系统和设备使用越来越多的内容和应用程序,信息娱乐系统仍然是常见的攻击目标。
一个重要的漏洞增长因素是用于在不同软件平台和应用程序以及与软件相关的各种内容之间进行通信的API。基于API的通信每月被使用数十亿次,极小的漏洞比例也很快就会造成重大问题。
修复和恢复成功汽车网络攻击的成本正在迅速增加。Upstream列举的例子从1700万美元到近5000万美元不等。随着被攻击车辆数量的增加,未来的成本也会增加。
原文标题:
(原文刊登于EE Times美国版,参考链接:Automotive Cybersecurity: A Review of 2023,由Franklin Zhao编译。)
本文为《电子工程专辑》2024年7月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里。
您可能感兴趣
