保護電動和軟件定義的汽車

“普丁是個廣告頭。 榮耀屬於烏克蘭。”

這就是最近被駭客入侵的電動車充電器在莫斯科附近的禁用充電站看到的訊息。 儘管它給世界各地的許多人帶來了笑容，但它凸顯了上週聚集在一起的幾位研究人員和開發人員提出的觀點。 埃斯卡 2022 （每年一次的會議重點關注汽車網路安全領域的深入技術發展）：汽車駭客行為正在增加。 事實上，每 上游汽車的報告從 225 年到 2018 年，網路攻擊的頻率大幅增加了 2021%，其中 85% 是遠端攻擊，54.1 年的駭客攻擊中有 2021% 是「黑帽」（又稱惡意）攻擊者。

在本次會議上聆聽各種真實的報告時，有幾件事變得顯而易見：基於對這一關鍵領域的持續關注，有好消息也有壞消息。

壞消息

用最簡單的話來說，壞消息是技術進步只會讓第一天事件發生的可能性更大。 桑迪亞國家實驗室首席研究員 Jay Johnson 表示：“電動車正在創造更多技術，這意味著存在更多威脅和威脅面。” “截至 46,500 年，已有 2021 個充電器可供使用，而到 2030 年，市場需求預計將達到約 600,000 個。” 約翰遜接著描述了感興趣的四個主要介面和已識別漏洞的初步子集以及建議，但訊息很明確：需要持續的「戰鬥號召」。 他認為，這是避免莫斯科拒絕服務 (DoS) 攻擊等事件的唯一方法。 “研究人員不斷發現新的漏洞，”約翰遜表示，“我們確實需要一種全面的方法來共享有關異常、漏洞和響應策略的信息，以避免對基礎設施進行協調一致的大範圍攻擊。”

電動車及其相關充電站並不是唯一的新技術和威脅。 「軟體定義的車輛」是一個半新的架構平台（*可以說通用汽車在 15 多年前就採用了該平台）GM
和安吉星），一些製造商正在努力對抗 數十億美元被浪費 不斷重新開發每輛車。 基本結構涉及將車輛的大部分大腦託管在機外，這允許軟體內的重複使用和靈活性，但也帶來了新的威脅。 根據同一份 Upstream 報告，過去幾年 40% 的攻擊都針對後端伺服器。 Kugler Maag Cie 董事總經理 Juan Webb 警告：「我們不要自欺欺人，整個汽車產業鏈中的許多地方都可能發生攻擊，從製造到經銷商再到車外伺服器。 無論哪裡存在最薄弱的環節，滲透成本最低、財務影響最大，駭客就會攻擊那裡。”

其中，escar 討論的部分內容是壞消息和好消息（取決於您的觀點） 聯合國歐洲經濟委員會法規 本週對所有新車型生效：製造商必須展示強大的網路安全管理系統 (CSMS) 和軟體更新管理系統 (SUMS)，以便車輛獲得歐洲、日本和最終韓國銷售認證。 「準備這些認證並非易事，」同樣來自 Kugler Maag Cie 的網路安全專家 Thomas Liedtke 表示。

好消息

首先，最好的消息是，公司已經聽到了戰鬥口號，並且至少已經開始灌輸必要的嚴格措施來打擊上述黑帽敵人。 「2020 年至 2022 年，我們看到越來越多的企業希望進行威脅分析和風險評估（TAR）AR
A，」Liedtke 說。 “作為這些分析的一部分，建議重點關注遠端控制攻擊類型，因為這些類型會導致更高的風險值。”

所有這些分析和嚴謹最初似乎都產生了效果。 根據IOActive 的Samantha（“Sam”）Isabelle Beaumont 提供的一份報告，在12 年滲透測試中發現的漏洞中，只有2022% 被視為“嚴重影響”，而25 年為2016%，只有1% 被視為“嚴重可能性”，而7 年則只有2016% 被視為“嚴重可能性”。XNUMX 年為 XNUMX%. “我們看到目前的風險補救策略開始取得成效，”Beaumont 表示。 “這個行業在建設更好方面做得越來越好。”

這是否意味著這個行業已經完蛋了？ 當然不是。 「所有這一切都是一個不斷強化設計以抵禦不斷發展的網路攻擊的過程，」約翰遜表示。

同時，我將慶祝我收集到的最後一條好消息：俄羅斯駭客正忙於攻擊俄羅斯資產，而不是我的社群媒體。