自動駕駛引入了汽車自身、物流運輸、保險、娛樂、管理部門和安全隱私的六大變革, 使車聯網攻擊面急速增加, 而攻擊面的擴展則體現在直接攻擊、可攜式裝置攻擊以及無線攻擊三個部分, 而此時傳統的防護方式、設備該如何進行防禦?RSA2018大會中給出了答案。
目前, 大部分汽車發達國家和地區都將智慧網聯汽車作為汽車產業未來發展的重要方向, 紛紛加快產業佈局、制定發展規劃, 通過技術研發、示範運行、標準法規、政策支持等綜合措施, 加快推動產業化進程。 部分車企已經實現部分自動駕駛(L2級)汽車的批量生產,
自動駕駛技術是物聯網技術應用之一
汽車自動駕駛技術包括視頻攝像頭、雷達感測器以及鐳射測距器來瞭解周圍的交通狀況, 並通過一個詳盡的地圖(通過有人駕駛汽車採集的地圖)對前方的道路進行導航。 這一切都通過資料中心來實現, 資料中心能處理汽車收集的有關周圍地形的大量資訊。 就這點而言, 自動駕駛汽車相當於資料中心的遙控汽車或者智慧汽車。 汽車自動駕駛技術是物聯網技術應用之一,
自動駕駛技術分級
目前全球汽車行業公認的兩個分級制度分別由美國高速公路安全管理局(簡稱NHTSA)、國際自動機工程師學會(簡稱SAE)各自提出。 目前業界更多的傾向於SAE的L0 – L5標準進行描述, 在此次的RSA會議中還是近期三部委聯合印發的測試管理規範中, 也引用了SAE分級, 選此標準為大家介紹。
人工駕駛/自動駕駛
L0 人工駕駛, 汽車只負責執行命令並不進行駕駛干預。
L1 輔助駕駛員完成某些駕駛任務, 比如我們常說的車道保持系統和自動制動系統就屬於L1級自動駕駛的範疇。
L2 駕駛員需要監控駕駛環境並準備隨時接管。 比如ACC自我調整巡航撥動轉向燈實現變道行駛等。
L3 駕駛員將不再需要手腳待命, 機器可以獨立完成幾乎全部的駕駛操作, 但駕駛員仍需要保持注意力集中, 以便隨應對可能出現的人工智慧應對不了的情況。
L4 城市、高速環境中的完全自動駕駛。
L5 任何場景下的自動駕駛。
自動駕駛技術法律法規進展
2018
04.12
工信部、公安部、交通部三部委聯合印發《智慧網聯汽車道路測試管理規範(試行)》, 推動半封閉、開放道路的測試驗證。
2018
04.2
美國加州汽車管理局開始接受全面無人駕駛測試許可的申請。
2017
9月
美國交通部發佈 《自動駕駛系統:安全願景》, 回應汽車製造商對消除自動駕駛車輛上路的法律障礙的請求。
2017
8月
英國發佈了《聯網與自動駕駛汽車網路安全主要原則》,概述了汽車製造商如果想要讓聯網和自動駕駛汽車上路須遵循的原則。
2017
6月
德國倫理委員會發佈一份《自動和聯網駕駛》報告, 在其中提出了自動駕駛汽車需要遵守的20條倫理規則。
2016
5月
日本員警廳頒佈《自動駕駛汽車道路測試指南》, 允許自動駕駛汽車上道路測試試驗。
2016
3月
聯合國修訂《維也納道路交通公約》, 允許自動駕駛技術應用到交通運輸中。
RSA安全議題解讀——自動駕駛對CISO的挑戰
演講者Laura Koetzle 就職于弗雷斯特研究公司(Forrester), 負責資訊安全、企業框架研究方向。 Forrester公司成立於1983年, 專注於技術與市場調研。 此次議題主要內容是公司對未來10年內, 自動駕駛將會引發全部首席安全官工作變更的一個探討。
議題很大, 開場以IBM創始人的一句 “I think there is a world market for maybe five computers” 起頭, 把質疑的聲音降低, 因為也沒有幾個人會認為自己比這位巨擘對市場評估與把握還要“準確”。
議題對於自動駕駛引入的汽車自身、物流運輸、保險、娛樂、管理部門和安全隱私六大角度進行變革威脅的解讀,如安全方面,員工資訊將伴隨路費報銷、補貼等資訊的物聯網化,直面網路攻擊,而此時傳統的防護方式、設備該如何進行防禦,引出了會議的主題,這些都將變為CISO的工作。
在未來的幾個階段,對於OTA(Online Travel Agency:線上旅行社)系統的攻擊、個人隱私資訊的竊取、車載應用的攻擊都將會是行之有效的攻擊手段。
綠盟車聯網安全思路:攻擊面及攻擊方式
行文至此,Forrester的觀點與綠盟科技在車聯網方向的思考有契合,物聯網的變革是傳統的廠商轉型升級的突破口,從而轉變為提供服務為主的新型產業。服務化的管道就是網路,服務化的基石是安全,兩個領域都是公司可以發揮更多經驗、能力來解決業界變革攔路石的領域。網聯化帶來的是更多的接入途徑與更大的攻擊面。在更多接入途徑中導致的是T-BOX(車載終端)、IVI(車載綜合資訊處理系統)、OBD(車載診斷系統)中任意的漏洞都將破壞整車的安全體系架構,此外汽車使用的計算和聯網系統沿襲了既有的計算和聯網架構,也繼承了這些系統天然的安全缺陷。攻擊面擴展則體現在直接攻擊、可攜式裝置攻擊以及無線攻擊三個部分,在直接攻擊中,需要考慮如何防護針對傳動系統、安全控制件、儀錶等的攻擊;在可攜式裝置中,需要考慮車載APP、OBD介面、導航及議題中提到的娛樂資訊設施等;在無線攻擊中,智慧鑰匙、TPMS系統均將挑戰自動駕駛等的安全。
綠盟車聯網安全解決方案
安全是智慧網聯汽車發展的第一要義,自17年起,綠盟科技就將物聯網安全、車聯網安全作為公司戰略發展方向進行技術研究投入,形成了初步成型的安全評測服務體系——涵蓋協定分析、固件分析、遙控端分析、APP分析等8個能力維度,總計231項安全服務能力。
車聯網評測用例截取
2018年,綠盟科技初步形成了對車端、雲端兩側解決方案的設計。在車端包含入侵行為檢測、異常行為分析、安全域劃分、ECU安全機制、射頻監控、接入策略等維度,覆蓋了會議議題提到的幾大維度的安全應對模型。在雲端以綠盟科技威脅態勢感知為依託,除將傳統網路攻擊能力移植至車載探針外,還搭建自有的FOTA模組,滿足固件簽名認證保護、加密解密、升級認證等不同業務需求。
在此,綠盟科技也希望與IVI、T-BOX廠商以及致力於自動駕駛方向的車廠共同協助,構建一個安靜、快捷、可信的未來。
點擊“閱讀原文”查看完整內容
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP
議題對於自動駕駛引入的汽車自身、物流運輸、保險、娛樂、管理部門和安全隱私六大角度進行變革威脅的解讀,如安全方面,員工資訊將伴隨路費報銷、補貼等資訊的物聯網化,直面網路攻擊,而此時傳統的防護方式、設備該如何進行防禦,引出了會議的主題,這些都將變為CISO的工作。
在未來的幾個階段,對於OTA(Online Travel Agency:線上旅行社)系統的攻擊、個人隱私資訊的竊取、車載應用的攻擊都將會是行之有效的攻擊手段。
綠盟車聯網安全思路:攻擊面及攻擊方式
行文至此,Forrester的觀點與綠盟科技在車聯網方向的思考有契合,物聯網的變革是傳統的廠商轉型升級的突破口,從而轉變為提供服務為主的新型產業。服務化的管道就是網路,服務化的基石是安全,兩個領域都是公司可以發揮更多經驗、能力來解決業界變革攔路石的領域。網聯化帶來的是更多的接入途徑與更大的攻擊面。在更多接入途徑中導致的是T-BOX(車載終端)、IVI(車載綜合資訊處理系統)、OBD(車載診斷系統)中任意的漏洞都將破壞整車的安全體系架構,此外汽車使用的計算和聯網系統沿襲了既有的計算和聯網架構,也繼承了這些系統天然的安全缺陷。攻擊面擴展則體現在直接攻擊、可攜式裝置攻擊以及無線攻擊三個部分,在直接攻擊中,需要考慮如何防護針對傳動系統、安全控制件、儀錶等的攻擊;在可攜式裝置中,需要考慮車載APP、OBD介面、導航及議題中提到的娛樂資訊設施等;在無線攻擊中,智慧鑰匙、TPMS系統均將挑戰自動駕駛等的安全。
綠盟車聯網安全解決方案
安全是智慧網聯汽車發展的第一要義,自17年起,綠盟科技就將物聯網安全、車聯網安全作為公司戰略發展方向進行技術研究投入,形成了初步成型的安全評測服務體系——涵蓋協定分析、固件分析、遙控端分析、APP分析等8個能力維度,總計231項安全服務能力。
車聯網評測用例截取
2018年,綠盟科技初步形成了對車端、雲端兩側解決方案的設計。在車端包含入侵行為檢測、異常行為分析、安全域劃分、ECU安全機制、射頻監控、接入策略等維度,覆蓋了會議議題提到的幾大維度的安全應對模型。在雲端以綠盟科技威脅態勢感知為依託,除將傳統網路攻擊能力移植至車載探針外,還搭建自有的FOTA模組,滿足固件簽名認證保護、加密解密、升級認證等不同業務需求。
在此,綠盟科技也希望與IVI、T-BOX廠商以及致力於自動駕駛方向的車廠共同協助,構建一個安靜、快捷、可信的未來。
點擊“閱讀原文”查看完整內容
請點擊螢幕右上方“…”
關注綠盟科技公眾號
NSFOCUS-weixin
↑↑↑長按二維碼,下載綠盟雲APP