現在,智能系統遭受惡意攻擊、汽車用戶數據和隱私信息泄露等安全問題備受關注。隨著智能化、網聯化發展提速,在未來汽車產業競爭中,智能網聯汽車安全將是汽車企業關鍵的核心競爭力。
新思科技中國區軟件應用安全技術總監付紅勛表示:“汽車行業正在設法提升用戶體驗,不僅要兼顧性能和智能,還要將軟件代碼安全貫穿于產品的全生命周期。因為,軟件正在成為現代汽車行業發展不可或缺的一部分。一輛現代智能網聯汽車擁有150個電子控制單元,所包含的軟件代碼已接近1億行,超越了一架現代戰斗機和一個普通操作系統包括的代碼量,并且到2030年這一數字還將有望突破3億行。汽車產業的發展可謂千里之行,始于安全。”
(資料圖)
付紅勛介紹到,多年來,新思科技幫助車企管理整個軟件開發生命周期(SDLC)和供應鏈的風險,支持在智能網聯汽車中構建軟件安全性及可靠性,并獲得業界的普遍認可。例如,2023年4月,新思科技獲得了汽車產業專業信息服務平臺蓋世汽車授予的“軟件安全開發優質供應商”稱號,并被收錄于2023蓋世汽車優質供應商名錄。同時,新思科技也會分享經驗和觀察,為智能車企業提供有價值的借鑒,助力加強其產品在 SDLC 的每個階段和整個軟件供應鏈中的軟件安全狀況。
網絡安全趨勢和標準
近年來,全球汽車行業引入了多項新標準和法規,包括ISO/SAE 21434網絡安全工程、面向網絡安全的汽車SPICE以及UN-R155網絡安全和網絡安全管理系統。隨著越來越多的機構為產品開發制定網絡安全政策、流程和活動,汽車行業網絡安全的成熟度逐步提高。
現代汽車的威脅和安全挑戰
現代汽車通常具備這幾個特點:軟件定義汽車、汽車電氣化、網聯及自動駕駛。面向這些特性,主要有四個方面的威脅和安全挑戰需要考慮。
1. 無線接口,包括 Wi-Fi、藍牙、蜂窩通信和V2X (Vehicle to Everything)。此外,自動駕駛汽車可以包含40多個攝像頭和傳感器,包括前置攝像頭、環視攝像頭、側攝像頭、后視攝像頭、前置雷達、后置雷達、激光雷達和多個超聲波傳感器。
2. 有線接口,包括常見的攻擊媒介,即車輛中的診斷端口。對于電動汽車,充電端口是一個額外的攻擊媒介。
3. 網聯汽車的目標系統包括面向外部的系統,例如車載信息娛樂系統、遠程信息處理控制單元和V2X連接單元。此外,系統可能包含有價值的資產,例如個人身份信息和加密密鑰/憑證。還有控制重要或關鍵功能的系統,例如無鑰匙進入系統(通過車身控制模塊)、被動地進入被動啟動系統和電池管理系統。對于自動駕駛汽車,目標系統包括與高級駕駛員輔助系統和自動駕駛相關的安全關鍵系統。這些系統負責轉向、加速和制動等功能。
4. 生態系統涉及其它車輛、用戶的移動設備、OEM 后端、云解決方案和無線更新平臺。對于電動汽車,生態系統還涉及充電站、智能家居和電網等V2G (Vehicle to Grid)實體。除了保護汽車本身外,還必須確保生態系統中所有安全關鍵實體的安全。
克服挑戰并減少現代汽車安全漏洞
汽車企業應遵循最佳實踐并根據ISO/SAE 21434等標準制定網絡安全政策和流程,包括部署適當的應用安全測試工具以建立安全的軟件開發生命周期。
新思科技首席汽車安全策略師Dennis Kengo Oka建議到:“車企應以項目級活動為重點,進行威脅分析和風險評估,以確定產品中的關鍵風險。在產品開發過程中,應對軟件進行安全漏洞測試。比如執行靜態應用安全測試(SAST)以檢測源代碼中的問題;此外,還要執行軟件組成分析(SCA)以檢測通信庫或加密庫等常用庫中易受攻擊的開源軟件組件;而且應在高風險無線和有線接口上執行模糊測試,以檢測實施問題和安全漏洞;應對生態系統中的軟件(例如網絡應用和移動應用)執行動態應用安全測試(DAST)和滲透測試。”
在談及近年來一直熱議的AI技術,Dennis Kengo Oka也分析了其中的利與弊。
隨著AI技術的蓬勃發展,汽車行業可以抓住新機遇。例如ChatGPT,一款于2022年11月發布的人工智能聊天機器人,并在兩個月內達到了1億用戶。基于這些強大的AI語言模型,汽車制造商可以構建數字助理,并使用汽車特定信息訓練AI模型。比如使用 Linux 和 Unix手冊頁以及C和Python編程語言對ChatGPT進行訓練的方式。可以想象一家汽車制造商使用汽車用戶手冊中的信息以及有關如何支持常見用例的信息來訓練數字助理,包括路線規劃、與智能家居和設備的集成、充電等。這將使得用戶輕松詢問有關儀表盤上閃爍的警告燈的問題、規劃前往機場的有效路線、打開車庫門或連接用戶設備、查找和預訂充電點等,而無需翻閱大量用戶手冊或使用和管理多個設備或系統。
但是風險呢?車企需要考慮使用哪種類型的訓練數據,以及應用定義允許使用哪種類型的信息進行何種響應的策略。這些非常重要。不法分子在早期可利用有限限制的ChatGPT編寫惡意軟件和黑客工具或獲取可用于惡意目的的信息。同樣,汽車中的數字助理也可能被濫用以獲取某些私密信息,例如如何克隆密鑰或運行未經授權的命令。這可能導致汽車失竊等。
總而言之,雖然在汽車中部署數字助理會帶來很多好處,并會改善用戶體驗。但考慮風險也很重要。因此,車企必須研究使用哪些培訓數據,并考慮對響應內容提供某種類型的限制,以防止濫用或惡意行為。
關鍵詞:
營業執照公示信息