从2014年开始,30集团就开始布局汽车的网络安全,目前已经发现了上百个网络漏洞,覆盖多家车企和各种车型。360集团凭借多年的网络安全经验,除发布车载网络安全评估工具外,还参与制定相关国家标准和行业标准,为降低车载网络安全风险贡献力量。
30政企安全车联网安全研究院院长闫敏瑞发表了《智能网联车联网安全攻防实践》主题演讲,重点介绍了网络安全现状、红队视角以及攻防实践。以下是演讲内容:
30政企安全车联网安全研究院院长闫敏瑞
网络安全现状
各位,我们将从攻击者的角度和红队的角度来看汽车网络安全的现状,以及如何做一些攻防练习。“四化”“四跨越”让汽车与万物互联,软件定义汽车成为不可逆转的趋势。目前智能网联汽车在全球市场的渗透率约为45%,预计2025年将接近60%。与此同时,中国的智能网联汽车市场将继续增长。预计2025年,智能网联汽车将新增2000万辆,总量超过1亿辆,市场渗透率超过75%,高于全球市场水平。
在智能网联的趋势下,车载T-BOX、IVI系统、OBU车载设备等外部端口的增加,也给汽车带来了更多的网络安全隐患。目前网络安全事件逐年增多,大家能了解到的只是冰山一角。与互联网相比,车联网(Internet of Vehicles)打破了虚拟世界和物理世界的界限,会更多地影响人身安全和社会安全,造成经济损失,甚至影响国家安全。
红队视角
接下来,我们从红队的角度来谈谈安全的内容:攻击者首先会针对车联网的整个架构,分析具体的攻击面,建立更好的攻击路径。接下来,攻击者将主要从云端、汽车和道路进行攻击。云一般指TSP,包括CP(内容提供商)/sp(服务提供商)。黑客从云端入手,主要针对远程控制。比如他们通过OTA功能发送自己的病毒或木马,实现对车辆的远程控制,这也是网络攻击的传统方案。
第二个是汽车端功能,这是一个新兴的网络安全领域,但许多IOT攻击也可以应用于汽车端。30团队逐渐从IOT网络安全转移到汽车网络安全领域。如充电、车载智能ECU、车载娱乐系统、远程通信模块等。车载娱乐系统大多基于Android和Linux系统,黑客可以利用传统安全的经验对无线通信发起攻击。此外,黑客还会针对汽车充电口、汽车OBU等功能发起攻击。第三块是路端,这也是很多黑客会关注的内容。
从攻击者的角度构建攻击链路,需要考虑哪些端口可以入侵系统。为了远程控制汽车或者远程窃听,需要建立攻击链路,从wifi、蓝牙到车载娱乐系统,再到车载网络,最后到执行器。值得注意的是,黑客还可以从充电桩等外部接口切入。
除了车端、云端、路端,还需要关注后端网络。目前,国内大部分车企都使用APN网络。很多车企在使用APN专线后,忽略内部网络安全,直接从车载sim卡连接到车企内网,没有任何接入限制,甚至直接接入办公网络。国外车企和国内车企对这一块的理解是不一样的,大部分国外的专车服务都会在公网上部署双向证书认证。
接下来,我们来分享一下黑客最喜欢的两种攻击方式。一个是云平台。我们看到很多云平台都有问题:采用非常简单的访问密码。所以,云平台是黑客方便的入口。还有一点就是VPN。很多企业的VPN没有双因素认证,很多密码都很简单。一些内部员工将VPN文档直接发送到图书馆,他们甚至可以找到网络上的默认密码。
作为企业,要做好所有的安全边界。而黑客只需要找一个点来攻击,这就是水桶效应。进攻者和被进攻者的投入和收入是非常不对等的。对于传统黑客来说,他们已经熟悉基本的内核系统,如wifi、蓝牙和蜂窝网络。传统黑客研究的很深,每年在国际信息安全会议上都能看到各种漏洞的分享。
下图是360团队之前统计的车联网(车联网)安全漏洞。比例最大的是弱认证和不认证。因为传统汽车一开始没有外接功能,不考虑网络安全认证,密码复杂度低。但是随着汽车外部接口的增加,尤其是连接了汽车的以太网之后,就需要考虑这些必要的安全认证。
其次,调试接口没有保护,使用了不安全的组件。黑客可以通过一些组件的漏洞获得访问权限,并进行进一步的攻击。此外,敏感信息的泄露也需要注意,更多体现在配置文件的泄露,可能是后端URL、IP、认证证书、ECU间通信证书的泄露。还有就是升级过程的劫持。传统的方法是用你自己的包替换APK包,然后通过应用商店植入病毒。还有蜂窝网络劫持。一些汽车公司的汽车控制功能是通过蜂窝网络传输的。然后结合基站,发送一条短信,黑客就可以劫持,直接控制车门开关,甚至启动引擎。
现在来说说红队,这是恶意攻击者的目的。与传统网络安全领域相比,网络安全领域攻击者的初始成本更高。然后我们需要考虑攻击者为什么愿意攻击汽车。其实在车联网安全领域,敲诈钱财并没有太大的价值。相比较而言,利用隐私可以撬动更大的价值。通过攻击知名品牌的汽车,结合上面的录音设备,获取商业秘密,在二级市场变现,等等。
站在蓝队的角度,也就是防守方,首先预算投入肯定有限。现在对于车企来说,网络安全只是满足合规需求,帮助车型上市,这是底线需求。其次,一些企业可能有更好的想法,或者豪华品牌汽车可能会投入更多的资金来提高网络安全能力。
相比较而言,红队有组织,有背景,投入的精力多,能做的事情多。输出主要基于不同的目的。它有高杠杆,面临高风险,但也能产生高利润。蓝队的基本需求是合规,这本身会增加成本,但不一定能增加销量。对于蓝队来说,进攻者是看不见的敌人。他可能来自云、汽车或供应链。一般来说,车企涉及的子公司、车联网、生态网都有可能成为攻击者的入侵面。
目前,车企的主要安全措施是将传统的IT防御搬到车上。还有时间窗口的问题。假设我们发现一个bug,追溯并响应,协调供应商并测试修复方案能否实现,这样修复后会有一个3-7天的时间窗口,留给黑客更多的攻击时间。
就行业而言,很多企业提出了渗透测试的服务要求,但实际上连合规的基本要求都没达到。下面简单介绍一下符合性测试和渗透测试。这两种测试的目的是相似的。第一,测试系统强调覆盖面,作为蓝队要覆盖整个区域。但是作为进攻方和红队,他们做的主要是渗透,不需要完全覆盖。所以渗透测试并不那么适合网络安全还处于初级阶段的企业。
车企大多使用VSOC,其数据输入来源是基于已有知识的输入,可能是黑IP和域名的输入,都属于已有知识。但是在车联网攻击的实践中,攻击者会做一个离线,让这个数据包无法传输。简单来说,黑客的攻击手段不一定是基于现有的知识,也不会用公共工具进行攻击。事实上,要防御这些攻击,必须在黑客试图攻击时及早发现。
攻防练习
30队从2014年开始做车联网安全,当时发现了600多个安全漏洞,覆盖了已经上路的2000多万辆车。现在360集团提供网络安全运营平台,差不多有210多万次访问。基于大量的研究成果,360会申请一些专利,并参与制定汽车信息安全标准,参加国际顶级信息安全会议,甚至参与一些国家议题。每年还会发布一些技术报告和白皮书。
基于特征的攻击检测实际上没有多大意义。30做的更多的是基于整体业务和上下文的模型检测,可以帮助企业更早的发现一些攻击,为应急响应留下足够的时间窗口。
因为360主要是一家安全公司,所以这家也有很多安全大数据。基于这些数据,我们可以发现一些固定的攻击模式:例如,初始打点,横向移动到内网,然后找到最终目标。整个攻击的链接方式非常固定,所以我们可以基于360集团提供的安全数据库,发现黑客在车/云平台上的潜在攻击行为。
30安全大脑可以为车企提供整体解决方案:包括车侧、云侧、路侧安全、OTA升级安全等。虽然大多数人认为数据安全更多的体现在管理制度和技术手段上,但是需要注意的是,网络安全是一个水桶效应。只要有一点出了问题,整个防御体系就功亏一篑。
比如这次网络安全演练,有的企业甚至不知道自己的资产在哪里,属于哪里。他们只知道自己经营过什么业务,却不知道服务器在哪里,所有权和经营权在哪里。这是一个非常明显的问题。其次,一些安保人员的缺乏,检测和防御手段的缺乏。其他的是业务系统的安全设计和对内部和外部威胁的感知。比如有些企业会更注重边界安全,缺乏对内部数据流的观察。
总的来说,汽车的整体安全设计很考验网络安全人员的能力,尤其是在初期,所有的安全边界都要考虑到:从整车到架构到组件,再到组件中的每一项资产。考虑到整个业务逻辑会涉及到哪些点,需要有经验的团队深入具体的技术细节。那是我的一份,谢谢。
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。