【行業新聞】當今汽車網路安全面臨的主要挑戰是什麼？

對於汽車行業的網路安全專業人士來說，這一年並不容易。

隨著汽車電氣化發展，越來越多駭客轉而將網站設置在聯網汽車產品上，知名案例像是大衛科倫坡廣為人知的特斯拉道德駭客攻擊、針對本田(Honda)的勒索病毒攻擊，以及疑似對當地豐田(Toyota)供應商的攻擊，這些網路威脅案例證明汽車產品與供應鏈安全風險都在持續上升。聯網汽車高度依賴複雜軟體供應鏈，近日供應鏈短缺和故障促使汽車行業開始找尋新的供應商，這些未經審查的新供應商生產的軟體、聯網產品又為汽車網路增添了許多風險。

SBOM 是解決供應鏈安全問題的方法之一，但許多團隊仍在研究如何生成合規的 SBOM，同時提供完整的系統視圖並涵蓋專有、第三方和開源代碼，且不影響生產與上市速度。Cybellum 發布了最新的《2022 年汽車網路安全狀況報告》，提供有關汽車網路安全現狀的看法和實用資訊，協助汽車產業鏈了解符合 WP.29 的挑戰以及如何實踐網路安全。

 

1. SBOM 協助監控供應鏈安全並降低風險 (Supply Chain Security)

一年多前白宮解決了快速升溫的供應鏈攻擊事件，並發布改善網路安全的行政命令，加速軟體開發人員和供應商生成包含所有軟體組件的最新 SBOM。

SBOM 可幫助團隊監控軟體中是否存在老舊和易受攻擊的組件，並立即降低風險，整個產品生命週期中不斷生成的 SBOM 對於確保產品更新、無漏洞十分重要。軟體與汽車行業將變得無法分割，軟體供應鏈安全直接影響汽車產品安全。研究發現過去一年汽車產品愛用的軟體組件前 10 名都是開源的。

開源組件能幫助開發人員加快流程，但它們會帶來許多安全風險。

 

延伸閱讀: 什麼是SBOM (軟體物料清單) ? - 資訊安全解決方案

 

2. 您是否正在使用易受攻擊的開源組件(Open Source Components)？

根據研究，汽車零部件中最常檢測到的已知漏洞 (CVE) 皆存在於大眾使用的開源組件中，已知漏洞也是最容易受到攻擊的。

以下列表包含 2017、2019 、2020 年揭露的已知漏洞，從數據可以明顯發現，您的開發人員正在使用易受攻擊的軟體版本可能性很高。

 

3. 更新軟體組件以緩解風險

連網設備的網路攻擊已十分常見，因為駭客若想攻擊CVE漏洞是有跡可循的。我們仔細研究了汽車產品中最常見的漏洞，統計正在使用老舊軟體版本的產品數量，結果顯示 24% 的連網汽車產品搭載超過 10 年的軟體版本，證明產品安全團隊仍不夠重視開源軟體風險。

目前已經上路的車輛網路安全是我們最為擔心的，產品安全團隊必須將安全工具和安全開發流程部署到位，以確保盡快緩解此類風險。

 

 

4. 優先排除最有威脅性的漏洞

檢測完軟體是否存在漏洞，安全和開發團隊必須針對關鍵問題儘快緩解。我們查看了不同類型的已知漏洞，了解團隊如何加快和擴展其漏洞管理流程。

隨著汽車軟體生態系統變得越來越複雜，早期和持續的漏洞監控只是第一步。即使產品安全團隊為這一關鍵實踐準備了工具和流程，他們仍需處理越來越長的問題列表來緩解。僅查看 CVSS 分數是不夠的，因為大多數漏洞都會被評估為高分，團隊需對列表進行排序並決定哪些漏洞必須立即關注。根據最近的數據，手動漏洞管理可能需要數月時間，一些研究認為緩解高嚴重性漏洞的時間接近 250 天，這是難以被企業接受的時間範圍，尤其漏洞列表還會不斷增加。為了加快和擴展漏洞管理流程，優先關注對您的組織構成最高風險的漏洞非常重要。

在我們的研究中，我們發現檢測到的漏洞中只有三分之一會影響產品。使用先進技術來分析漏洞，並減少冗長名單，是實現快速緩解的關鍵步驟。

 

5. 面對當前的汽車網路安全挑戰

隨著汽車領域的產品安全團隊繼續努力實現網路安全和合規性，制定成熟的網路安全戰略至關重要。我們需要實施新的流程和政策，從最早的開發階段一直到後期生產營運。Cybellum 的產品安全平臺，可以幫助產品安全的專業人員，在整個產品生命週期中 (包含 SBOM 到漏洞管理和威脅事件回應）加快和擴展網路安全。