摘译 | 林心雨/赛博研究院实习研究员
来源 | Upstream
【资料图】
该报告聚焦2023上半年汽车行业的网络安全威胁和发展趋势。根据对2010-2023年间近1300起汽车网络安全事件的分析发现,其中30%的事件包括潜在的数据泄露影响,目标是原始设备制造商和其他汽车利益相关者。2023年迄今为止,汽车行业的数据泄露事件呈上升趋势,占汽车安全事件总数的37%。
数据隐私的泄露给原始设备制造商和消费者都带来了巨大风险:
客户数据隐私——软件定义汽车(Software-defined vehicle,SDV)收集大量敏感的客户数据,包括个人身份信息 (PII)、账单信息、位置数据等,并受各种数据保护法规(如GDPR和CCPA)的约束。数据泄露可能导致客户身份被盗、财务欺诈和巨额监管罚款(GDPR中规定的罚款最高可达收入的4%)。
知识产权 (IP) 被盗——对知识产权(如源代码或基础设施架构)的入侵会导致假冒产品、收入损失,还能发现车辆和企业后台系统的漏洞。
车辆安全和盗窃——SDV数据比以往任何时候都更加详细。被泄露的客户和原始设备制造商数据可在深网和暗网上出售,并被用于开发盗窃车辆的工具,影响车辆的安全。
品牌声誉和信任——数据泄露会损害原始设备制造商的声誉,削弱客户的信任,甚至引起法律诉讼,并对销售和市场份额造成负面影响。
最近事件表明,即使原始设备制造商及其供应链合作伙伴在改善网络安全保护方面进行了投资,威胁行为者的手段也在日益复杂化。原始设备制造商必须密切监控和保护敏感数据,并注意潜在的错误配置和API漏洞,避免对手访问SDV数据和后台系统。
该报告主要讨论了2023年发现的与汽车行业相关的三个网络安全新风险,而这些风险与SDV的广泛应用息息相关。
01访问敏感车辆数据和控制的后台攻击增多
随着车辆的互联性和软件定义程度不断提高,远程信息处理服务器等后端系统在收集和管理与车辆状态、车辆位置、使用模式和驾驶员行为相关的大量敏感数据方面发挥着至关重要的作用。
由于越来越依赖这些后端系统来提供先进的功能和服务,因扩展功能和敏感数据而受到网络攻击的潜在可能性也随之增加,后端系统更加脆弱了。此外,这些系统能够影响所有车辆的控制和数据访问,因此也就特别容易受到恶意威胁者的攻击。
自2023年初以来,汽车行业和供应链中因后端服务器攻击而导致的数据和隐私泄露事件大幅增加,占所有攻击(包括基于API的攻击)的40%。
证书泄露会给原始设备制造商带来另一个巨大风险:这些泄露的证书可能被用于访问内部系统,导致客户数据泄露、IP被盗甚至全公司系统被操纵。
汽车行业近期发生了多起涉及后端服务器攻击、数据泄露和未经授权访问敏感数据的事件,凸显了加强安全措施的迫切需要。随着汽车的互联性和软件定义越来越强,原始设备制造商和供应商必须优先考虑后端系统的安全性。
02SBOM在汽车威胁情报方面发挥的作用不断增强
软件物料清单(SBOM)是一份软件开发技术文档,详细说明了用于构建软件产品的软件组件、库和依赖项关系。在汽车行业中,SBOM是指安装在硬件组件和车辆上的软件。SBOM提供了软件供应链的全面视图,提高了软件漏洞的透明度和可追溯性。
SBOM最初的重点是软件,但软件频繁的更新导致引入新漏洞和对手利用漏洞的可能性越来越大。硬件漏洞正日益受到关注,因此将SBOM扩展到硬件组件,能够全面了解软硬件生态系统,从而获得全面的威胁情报。
03农业、工程和重型机械行业车辆的网络攻击呈上升趋势
农业和工程车辆正在经历巨大的创新,其中的重点是连接性、先进的软件定义功能以及自动驾驶功能的快速采用。
这些创新的优势包括提高运营效率、生产力和可持续性,降低成本,利用数据驱动决策,增强安全性。物联网在农业领域的普及体现在智能农业贸易展的增多和公众兴趣的提升。
与一般汽车行业一样,农用车行业对软件定义功能和连接性的日益依赖也带来了新的网络安全漏洞。黑客可以利用这些漏洞操纵这些车辆内的关键系统,窃取敏感数据并扰乱运营,从而导致生产延误、成本增加和产品变质。
通过获取对自主农业设备的操作控制,恶意行为者可能导致严重的操作中断。此外,他们还能改变灌溉、农药施用和施肥等其他流程,造成严重的生态破坏(如土壤健康、水污染等)。甚至通过入侵车辆或设备,恶意行为者可以影响农产品的长期产量,使食品供应链乃至宏观经济状况面临风险。