“汽車製造商對網路安全解決方案的需求從未像現在這樣強烈,”這是日本電裝公司風險投資總監Tony Cannestra在近日宣佈完成對網路安全軟體公司Dellfer的A輪投資後的表態。
就在半個月前,韓國LG宣佈將收購以色列汽車網路安全公司Cybellum,後者透過“數字孿生”方法檢測和評估聯網汽車軟硬體的安全漏洞,這筆交易的總金額將達到2.4億美元左右。
“軟體在汽車行業扮演的關鍵角色已經確定,隨之而來的是對有效的網路安全解決方案的需求。”LG電子汽車零部件解決方案公司總裁Kim Jin-yong在一份宣告中表示。
就在本週,360釋出公告稱,作為合眾新能源汽車有限公司的(旗下品牌哪吒汽車)D輪投資領投方,擬投資29億元入股,成為除管理團隊外的第一大股東。
公告顯示,公司本次擬投資入股哪吒汽車,主要基於網路安全及智慧網聯汽車行業良好的發展機遇和市場前景預期。作為國內網際網路安全服務的龍頭企業,360除了自建的智慧網聯汽車安全實驗室,還與10多家車企建立了汽車安全聯合實驗室。
密集的產業協作和投資,背後是汽車網路安全法規正在成為智慧汽車產業新的准入門檻。自2022年7月起,在歐洲、日本和韓國推出的新車型,汽車製造商必須遵守R155汽車網路安全法規。
而在今年的8月31日,ISO/SAE 21434《道路車輛-網路安全工程》正式版釋出,定義了針對所有車載電子系統、車輛部件、車載軟體及外部網路的網路資訊保安工程設計實踐/做法。
業內人士表示,“這是智慧汽車的一個新時代,在保證傳統功能安全合規的同時,確保網路安全的合規,從硬體到軟體以及整個系統級的安全保障。”
一、
網路安全並非新鮮事物,從傳統的IT行業、網際網路到智慧手機時代,如今加速發展的智慧汽車時代,也已經成為必需品。但,汽車網路安全已經遠遠超出了傳統IT安全的範疇。
除了最基本的網路攻擊風險,由於車載感測器、4G/5G聯網通訊、智慧閘道器等裝置的快速上車,任何對資料採集、處理的干擾、欺騙或篡改都可能被駭客用於安全攻擊。此外,考慮到車輛本身是可移動的智慧裝置,在評估網路安全威脅時,可能的風險評估更為嚴謹。
從網路安全形度來看,智慧汽車不僅僅是“輪子上的電腦”。這從過去幾年的公開安全事件以及測試可見一斑。針對汽車的網路攻擊方式也遠遠超出了IT的範疇。
比如,安全漏洞可以被操控偽造車輛對周圍環境的“認知”,來自感測器(如GPS,雷達,鐳射雷達,攝像頭)欺騙和干擾的風險。
最典型的案例,就是特斯拉Autopilot系統被誤導性的視覺輸入欺騙。研究人員透過在道路上放置干擾貼紙,感知系統會捕捉這些資訊並做出異常判斷,導致車輛進入反方向車道。
此外,鐳射雷達正在成為高階自動駕駛的必備選擇。由於鐳射雷達具有超越物理障礙物的探測能力,因此在感測器融合過程中成為了優先順序較高的感測器,它甚至超過了毫米波雷達,成為魯棒性提升的關鍵。
虛假回波的結果會導致鐳射雷達誤判障礙物距離或將偽造的目標和資料判定為真實資料,這證明了汽車製造商迫切需要網路安全的方法,來加強和保護感測器,確保感測器資料可靠性。
“當我們談論網路安全時,傳統認知更多隻是入侵我們系統並更改程式碼,從而影響系統正常運轉的駭客。 在機器學習和AI領域,機器可以從資料中學習,因此資料本身可以成為攻擊面的一部分。”博世相關負責人表示。
比如,博世公司正在部署人工智慧技術來加強汽車的電子系統,防止駭客故意向系統提供錯誤的道路資料資訊。即使在非自動駕駛狀態下,此類資訊也可能被證明是危險的,因為駕駛員可能依賴於透過車載系統顯示的資訊。
在傳統的汽車行業中,裝置故障會導致召回汽車來解決問題。然而,網路安全是完全不同的。相比於普通召回的一次更新維修,網路安全是需要不斷更新系統補丁、安裝和編寫新程式碼的問題。
目前,全球範圍內已經有一些廠商開始提供基於軟體更新(OTA)的全鏈條安全解決方案。比如,對於從遠端診斷到OTA升級的整個過程,科絡達提供了VSOC聯網安全防護,其中包括入侵偵測、虛擬補丁等。
在汽車的智慧系統如T-Box、車內智慧影音娛樂系統、閘道器裝置中嵌入VSOC安全防護程式,透過此程式與V-SOC平臺系統之間的訊息同步,在汽車執行的過程中實時可迅速偵測安全風險、保護裝置以避免持續擴大的安全威脅。
該方案為科絡達與全球第一大安全資料庫持有公司趨勢科技共同合作。因此從原則上講,只要發現異常訪問,或者透過弱點掃描發現有問題,後臺最龐大的安全資料庫就可以在第一時間發現問題通知主機廠。
同時,為了有效防止OTA被入侵、出現遠端控制事故等問題,科絡達將透過建立資訊保安體系,匯入PKI認證,保障裝置授信安全;識別風險操作,設定報警閥值,在後臺對敏感操作自動監測。
而從行業監管角度來看,趨勢也已經非常明確。
逐步完善車聯網網路安全威脅監測、資訊共享、監督檢查、協同處置等管理機制,定期釋出車聯網安全態勢報告、事件通報,指導企業及時發現整改風險隱患。
資料顯示,僅在2020年,全球範圍內就有200多起涉及汽車網路安全的事件被公開報道。在具體的網路威脅型別方面,89.9%的事件與車輛的通訊通道威脅有關,86.7%與車輛資料/程式碼威脅有關,這是兩大威脅類別。
二、
CYMOTIVE,一家由大眾集團持股40%的以色列網路安全公司,這是到目前為止,全球唯一一家由汽車製造商作為原始股東成立的網路安全公司。
在該公司聯合創始人看來,“在過去,汽車製造商並不涉足網路安全領域。現在這種情況正在改變,比如,越來越多基於Linux開發的核心控制作業系統,這無疑更容易受到攻擊。”
今天,一輛汽車包含150個ECU控制器和大約1億行軟體程式碼。到2030年,這一數字預計將增加三倍,而分散式ECU的整合化域控,增加了複雜性。同時,隨著聯網率的快速提升,也會產生更高的網路攻擊風險。
按照CYMOTIVE公司的說法,未來的汽車網路安全產業鏈將覆蓋整個新車開發過程,從設計、生產到售後服務階段,包括風險分析、安全架構、實施審查、安全功能測試和滲透測試。
比如,CYMOTIVE的入侵檢測系統(CIDS)可以識別車輛的受攻擊部件併發出警報。該系統透過監測車輛的網路健康狀況,檢測車輛網路和其他部件的異常行為。同時,系統按照AUTOSAR架構和標準開發,可以實現快速整合上車。
LG收購的Cybellum成立於2016年,也是以色列眾多網路安全初創公司中的一家,這些公司的創始人大部分來自以色列國防部隊網路安全部門。此前,Cybellum的合作客戶包括捷豹路虎、日產、哈曼、豐田通商和PTC。
和其他公司不同,Cybellum的技術路線是建立一個所謂的系統“數字孿生”,對現有單一系統進行監控,以捕捉、識別和評估安全威脅。這是一種解決單一元件(沒有冗餘備份)實時安全監控的低成本方案,幫助汽車製造商減少不必要的成本支出。
另一種模式,是基於晶片級、OS級別的安全解決方案。今年8月16日,誠邁科技宣佈與網路安全技術領導者Trustonic建立合作關係,雙方將結合自身專業技術進行優勢互補與深度融合,共同保障車聯網安全。
Trustonic旗下的Trustonic Kinibi 510是行業內最成熟、最安全的可信執行環境(TEE)作業系統之一,可以顯著提高車聯網安全性和側通道保護,滿足汽車安全所需的高標準,尤其是新的UNECE WP.29標準。
在此之前,Trustonic在瑞薩的R-Car Gen3汽車參考平臺上也集成了kininibi 510。類似的技術解決方案也已經整合到多個晶片組供應商的汽車平臺上。
誠邁科技高階副總裁鄒曉冬表示,接下來Kinibi 510將納入到誠邁科技智慧汽車解決方案,從車載資訊娛樂系統連線模組、網路閘道器到高階駕駛員輔助系統 (ADAS),全面保護所有數字版權管理以及個人使用者資料。
隨著軟體定義汽車時代的到來,確保軟體供應鏈的安全變得越來越重要。
今年,黑莓公司的Jarvis軟體成分分析工具2.0版本釋出,這套工具用於幫助汽車製造商審查來自供應商的所有程式碼,這被視為整車網路安全的第一步。該工具可以進行開源軟體(OSS)、常見漏洞和暴露(CVE)以及軟體材料清單(SBOM)分析。
黑莓表示,Jarvis允許軟體審查人員檢查程式碼的來源,以及進入其供應鏈的每一項軟體資產,以確保其產品既安全,又使用最新的安全補丁進行更新。
同時,在軟體開發生命週期的每個階段,黑莓Jarvis都可以從已編譯的二進位制檔案中提取特徵和屬性,甚至不需要訪問原始碼,並分析這些檔案,以交付對軟體元件質量和安全性的審查報告。
科絡達CEO吳柏儀表示:隨著智慧網聯汽車的普及,對智慧汽車的安全性和穩定性提出了史無前例的高要求。比如,自動駕駛是否會收到駭客的攻擊,智慧座艙環境車主的隱私問題,智慧汽車OTA升級的安全和穩定,等等問題。
隨著ISO/SAE 21434道路車輛網路安全標準的正式釋出,網路安全保障級別將成為未來幾年新車市場營銷的一大亮點。