RSAC2018剛剛落幕, 位於萬豪酒店會議中心的RSAC Sandbox依然熱情高漲, 在這裡活躍著許多富有創造力和執行力的創業公司, 大家積極宣傳著自己的安全理念以及DEMO。 作為近兩年關注的重點, RSAC Sandbox在今年首次引入Car Hacking Village, 通過Workshop的形式向參會者宣傳汽車資訊安全知識。
智慧汽車技術快速發展, 在美國, 智慧網聯汽車因漏洞引起的安全問題已經引起了國家高速公路交通安全管理局、美國國會、國土安全部和消費者的關注,
RSAC2018 Sandbox汽車資訊安全相關演講
Is Car Hacking Over? AUTOSAR Secure Onboard Communication
一位擁有15年汽車工具開發經驗工程師對AUTOSAR SecOS如何防範駭客攻擊進行簡單介紹, 並評估了AUTOSAR SecOS在各種威脅模型下的有效性。
Securing the Future of Mobility: Is Your Connected Car Unhackable?
How Secure is the Hyper-Connected Car
兩位元演講者均通過淺顯易懂的方式展示了智慧汽車未來所面臨的安全挑戰, 以及汽車資訊安全性漏洞會帶來的人身及財產危害, 另外, 他們還針對關於不過分改變汽車行業發展的情況下, 如何解決這些風險, 發表了自己的看法。
有意思的是,
Identity's Role in Securing the IoT Connected Car
演講者從身份認證的角度對汽車聯網提出了要求, 並對智慧汽車關鍵技術——數位身份和訪問管理的應用進行介紹。
Make Your Car Self-Driving Using Open-Source Software
comma.ai的CEO George Hotz利用手機的攝像頭作為感測器, 利用開源軟體, 通過hack將一輛本田車增加了輔助駕駛功能, 吸引了觀眾的眼球。
本次RSA大會雖然引入了汽車資訊安全的討論, 但是因為考慮到參會人員大多數來自于傳統IT行業, 所以從演講到現場演示都比較科普, 旨在向參會者宣傳汽車資訊安全的風險。 但在筆者看來, 汽車資訊安全已經進入了“當務之急”的階段, 如今汽車製造商給消費者提供更好的駕乘體驗的同時, 也給汽車引入了不同程度的安全風險甚至漏洞, 輕則造成財產損失, 重則造成群死群傷事故。
2018年4月, 360發佈的《2017智慧網聯汽車資訊安全年度報告》中指出, “刷漏洞”已經成為攻擊智慧汽車的最新手段,
360智慧網聯汽車安全實驗室根據過去一年與諸多廠商的安全實踐, 提出智慧網聯汽車資訊安全建設建議。
四大建議保護汽車資訊安全
一、汽車製造廠應做好資訊安全工作, 培養專職人員牽頭資訊安全工作, 將後臺和前端放到一起共同協作解決資訊安全問題, 為全面防護打下良好的基礎。
二、在沒有安全標準及規範的環境下, 最重要的關鍵環節是把控上線前的安全驗收, 將危害最嚴重、影響範圍最廣的漏洞解決, 可以達到一種相對安全的狀態。後續依靠持續的漏洞監測,保障不會因為新的漏洞造成入侵事件。
三、同時,安全人員認為安全性漏洞始終存在,建立動態防護體系,針對攻擊能夠進行動態調整,才能夠做到攻防平衡。
四、建議各大汽車廠商、供應商、安全公司貢獻自己智慧和能力,在國內汽車智慧科技領先的條件下,引領國際標準。
可以達到一種相對安全的狀態。後續依靠持續的漏洞監測,保障不會因為新的漏洞造成入侵事件。三、同時,安全人員認為安全性漏洞始終存在,建立動態防護體系,針對攻擊能夠進行動態調整,才能夠做到攻防平衡。
四、建議各大汽車廠商、供應商、安全公司貢獻自己智慧和能力,在國內汽車智慧科技領先的條件下,引領國際標準。