近年来,车联网作为汽车行业与信息技术深度融合的产物,正以前所未有的速度发展。车路云一体化、5G-A车联网技术、通感算一体化技术等新兴技术的应用,为人们的出行带来了极大的便利和智能化体验。然而,伴随着这些新技术的广泛应用,车联网的数据安全问题日益凸显。
网络攻击的多路径威胁
当前车联网行业正面临来自云、路、网等多种路径的网络攻击。随着个性化和定制化的操作系统、应用功能以及高度发达的车载通信网络的普及,汽车的架构设计和控制逻辑发生了巨大变化,各类新型的网络安全风险也随之而来。非法连接、数据窃取、远程控制、拒绝服务和对抗样本攻击等风险隐患,极易造成汽车隐私数据泄露和网络连接中断。严重情况下,这些攻击甚至可能威胁到车辆的感知系统和控制系统安全,导致失去汽车的控制权,从而引发涉及人身安全的重大交通事故。
车联网平台的脆弱性
随着车辆交互能力的提升,智能网联汽车需要与车联网平台进行数据信息和控制指令的交互,以实现路况信息查询、车辆远程监控、车辆自动驾驶和车载软件在线升级等功能。然而,若攻击者通过漏洞利用等方式成功入侵车联网平台,他们就可以通过该平台向智能网联汽车发起进一步的攻击,批量窃取汽车相关的隐私数据,干扰车辆的正常运行,甚至实现对汽车的远程操控。
C-V2X技术框架的挑战
在C-V2X技术框架下,智能网联汽车普遍通过4G/5G等公共网络接入互联网,并通过访问车联网服务商提供的开放应用程序编程接口(API)服务进行云端通信。然而,受限于设备性能等因素,存在API服务接口缺乏安全认证,通信协议存在漏洞等问题,这些问题可能被攻击者利用,从公共互联网对智能网联汽车发起攻击,篡改通信数据、窃取车辆敏感信息。
API攻击日益增长
智能网联汽车及其服务依赖于大量的外部和内部API,每月可能产生数十亿次交易。远程升级(OTA)和车联网服务器、原始设备制造商的移动应用、信息娱乐系统、移动物联网设备、电动汽车充电管理以及计费应用都严重依赖于API。
然而,据瑞数信息《API安全趋势报告》,API攻击已经大幅超越传统Web攻击,约70%的攻击针对API发起。与黑客攻击其他类型的系统相比,API黑客攻击相对成本效益高,且能够实施大规模攻击——它需要的技术专长相对较低,使用标准技术,并且可以在没有特殊硬件的情况下远程执行。在过去两年中,汽车行业及其供应链以及移动设备和服务,由于基于API的攻击而经历了数据和隐私泄露的显著增加。
同时,API防护面临着多种难点,包括资产不清、接口分散、传输格式多样性导致的接口难以发现;攻击面不断变化,调用访问多渠道多边界难以全面防护;API的业务相关性形成防护策略难以通用;合法授权下的滥用风险难以识别等。
为了更好应对车联网的安全风险挑战,瑞数信息“车联网应用数据安全监测方案”应运而生。该方案以“前扫描、中防护、后审计”为防护理念,是应对车联网安全的一项整体解决方案——「车联网安全扫描器」让车联网资产发现方式由被动转为主动,积极探测车联网安全漏洞与缺陷;「WAAP方案」全面增强车联网在Web/H5、APP 和小程序等全渠道的安全防护;「车联网安全审计」则提供事后溯源以及业务深入分析等功能。
事前扫描:车联网安全扫描器
采用资产库猜测、模糊测试、主动漏洞测试等多种先进手段,对车联网系统中的API资产进行全面测绘。并在此基础上结合内置的缺陷模型和漏洞库,对API接口进行安全风险评估。针对检测出的安全风险问题,瑞数信息会提供专业详细的评估报告与针对性的改进建议。
事中防护:WAAP方案
瑞数WAAP防护策略覆盖了API接口的所有访问渠道,包括但不限于车载系统、移动APP、小程序等,确保在各种应用场景下,车辆与后台服务之间的通信都受到严密保护。还集成了包括WAF、Bot防护、DDoS防护以及API管控等多种关键安全能力。
事后审计:车联网安全审计
通过流量镜像技术,自动识别车联网系统中的API接口,并对其进行全面的安全检测。深入分析车联网API接口的流量数据,特别关注敏感数据和敏感文件的传输情况,有效保障数据安全。除此之外,API安全审计功能还会对API访问行为进行行为分析,确保车联网API接口的安全稳定运行。
2024年CCIA中国网络安全产业联盟“网络安全优秀创新成果大赛”评选活动中,“瑞数车联网应用数据安全监测方案”正凭借在车联网数据安全领域的创新能力和市场应用效果,从众多参赛方案和产品中脱颖而出,荣获优胜奖。未来,瑞数信息将继续致力于为客户提供卓越的车联网数据安全解决方案,与客户携手共创一个更安全、更智能的驾驶新时代。
