近年来,随着数字化、智能化和网络化技术的日趋成型,汽车行业的新一轮产业变革已经到来。然而,这种变革也为网络安全风险打开了大门。近日,研究机构Upstream发布了《2023年全球汽车行业网络安全报告》,报告数据显示:在过去5年中,全球汽车行业因为网络化攻击造成的损失超过5000亿美元,而近70%的汽车安全威胁都是由远距离的网络攻击行为引发。研究人员表示:汽车制造企业需要重新思考未来保障车辆安全的策略,从整体车联网平台安全的角度寻找解决方案,而不是传统以车辆为中心的安全模型。
【过去5年,全球汽车行业因网络攻击损失5050亿美元】
在本次报告中,研究人员探讨了当前汽车行业面临的主要安全威胁态势,以及如何有效应对这些威胁挑战的方法和建议。以下就是本次报告研究中的五个关键发现。
发现1:新的攻击面大量出现
随着汽车行业变得更加智能化和数字化,汽车企业因此拓展出更多的商业服务模式,这给了网络攻击者更多的攻击面和攻击载体。报告数据显示,2022年网络攻击者最常使用的载体分别是远程信息处理和应用服务(35%)、远程无钥匙进入系统(18%)、电子控制单元(14%)、车载智能应用API(12%)、车载信息娱乐系统(8%)、车载移动应用程序(6%)和电动汽车充电系统及设施(4%)。
【针对汽车行业网络攻击的主要载体】
研究人员提醒,一些新兴攻击载体的恶意利用趋势已经形成,相关企业和消费者需要给予足够的重视,具体包括:
1、车辆订阅服务:一些订阅式的车辆服务功能方便了消费者的日常使用,但这些服务通常都会要求司机提供个人身份信息(PII)以实名验证,这无疑为身份窃取和假冒相关的攻击敞开了大门;
2、第三方汽车移动应用程序:这些应用程序旨在增强驾驶员的体验,但是同样会需要驾驶员的PII和车辆行驶数据等信息,这对非法攻击者会很有吸引力;
3、电动汽车充电网络及设备:电动汽车需要定期进行电池充电,这个过程增加了被攻击的可能性,也扩大了汽车行业的风险暴露面。所有电动汽车利益相关者都应该从保障充电网络安全的角度做更多的事情;
4、新的车辆管理和保险模式:随着智能汽车中大量遥测工具的使用,促进了企业管理和相关保险服务的发展,这些遥测数据会涉及司机的驾驶行为和使用情况等,一旦相关的监控设备被侵入,其后果将非常严重;
5、智能移动API:在2022年,汽车API攻击的数量增加了380%,占事件总数的12%。随着这项技术的使用不断增加,与API相关的风险也在增加。
发现2:汽车网络攻击的负面影响巨大
一旦成为汽车网络攻击活动的受害者,汽车制造企业会在多个方面受到严重的负面影响。本次报告数据显示,汽车行业的网络攻击活动,对受害企业造成的危害主要包括:数据/隐私泄露、服务/业务中断、车辆失窃、非法控制车辆、实施欺诈、地址跟踪、政策违规等。
网络攻击活动对受害企业的负面影响