保护电动和软件定义的汽车

“普京是个广告人。 荣耀归于乌克兰。”

这就是最近在莫斯科附近的禁用充电站中被黑的电动汽车充电器所读取的内容。 尽管它给世界各地许多人带来了微笑，但它突出了上周聚集在 埃斯卡 2022 （每年专注于汽车网络安全的深入技术发展的会议）：汽车黑客正在兴起。 事实上，每 上游汽车的报告，从 225 年到 2018 年，网络攻击的频率增加了 2021%，其中 85% 是远程进行的，54.1 年的黑客攻击中有 2021% 是“黑帽”（又名恶意）攻击者。

在本次会议上聆听各种真实世界的报告时，有几件事变得显而易见：基于对这一关键领域的迫切关注，既有好消息也有坏消息。

坏消息

用最简单的话来说，坏消息是技术进步只会增加第一天事件的可能性。 “电动汽车正在创造更多的技术，这意味着存在更多的威胁和威胁面，”桑迪亚国家实验室的首席研究人员杰伊约翰逊说。 “截至 46,500 年，已经有 2021 个充电器可用，到 2030 年，市场需求表明将有大约 600,000 个。” 约翰逊接着描述了四个主要的关注界面和已识别漏洞的初步子集以及建议，但信息很明确：需要持续不断地“武装起来”。 他认为，这是避免莫斯科拒绝服务 (DoS) 攻击等事件的唯一方法。 “研究人员继续发现新的漏洞，”约翰逊说，“我们确实需要一种全面的方法来共享有关异常、漏洞和响应策略的信息，以避免对基础设施进行协调的、广泛的攻击。”

电动汽车及其相关的充电站并不是唯一的新技术和威胁。 “软件定义车辆”是一个半新的架构平台（*可以说，通用汽车公司在 15 多年前就采用了GM
和 OnStar），一些制造商正准备与 数十亿美元被浪费 不断地重新开发每辆车。 基本结构包括将大部分车辆的大脑托管在车外，这允许在软件内进行重用和灵活性，但也带来了新的威胁。 根据同一份上游报告，过去几年 40% 的攻击针对后端服务器。 “我们不要自欺欺人，”Kugler Maag Cie 的常务董事 Juan Webb 警告说，“整个汽车产业链中的许多地方都可能发生攻击，从制造商到经销商再到车外服务器。 无论哪里存在最薄弱的环节，只要是最容易渗透的地方，就会产生最大的财务影响，这就是黑客攻击的地方。”

其中，escar 讨论的部分内容是 联合国欧洲经济委员会法规 本周对所有新车型生效：制造商必须展示强大的网络安全管理系统 (CSMS) 和软件更新管理系统 (SUMS)，以便在欧洲、日本和最终获得韩国销售认证的车辆。 “准备这些认证是一项不小的工作，”同样来自 Kugler Maag Cie 的网络安全专家 Thomas Liedtke 表示。

好消息

首先，最好的消息是，公司已经听到了号召力，并且已经开始灌输必要的严密性来对抗上述黑帽敌人。 “在 2020-2022 年，我们看到希望进行威胁分析和风险评估 (TAR) 的公司有所增加AR
答，”Liedtke 说。 “作为这些分析的一部分，建议一直关注远程控制的攻击类型，因为这些会导致更高的风险值。”

所有这些分析和严谨最初似乎都产生了影响。 根据 IOActive 的 Samantha (“Sam”) Isabelle Beaumont 提供的一份报告，在其 12 年渗透测试中发现的漏洞中，只有 2022% 的漏洞被认为是“严重影响”，而 25 年这一比例为 2016%，只有 1% 是“严重可能性”，而7 年为 2016%。“我们看到目前的风险补救策略开始取得成效，”博蒙特说。 “这个行业在建设更好方面做得越来越好。”

这是否意味着该行业已经完成？ 当然不是。 “所有这些都是强化设计以抵御不断发展的网络攻击的持续过程，”约翰逊建议道。

与此同时，我将庆祝我收集到的最后一条好消息：俄罗斯黑客正忙于攻击俄罗斯资产，而不是我的社交媒体信息。