官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

全球范围内汽车信息安全事件频发，斗象科技旗下子品牌漏洞盒子一年即报送车企相关漏洞近500个，如何进行漏洞的统一管理和处置？如何排查攻击风险面？如何提升车辆系统的安全能力？斗象科技安全专家曹阳从“云-管-端”三个层面给出了解决以上安全问题的方法。

文｜斗象科技

图｜CICV创新中心/斗象科技

8月3日，国家智能网联汽车创新中心联合中国汽车工程学会在北京共同举办的“智能网联汽车网络安全与数据安全论坛”圆满落幕。会议汇聚来自学术界与产业界的专家，围绕智能网联汽车的安全防护体系、渗透测试、技术标准与法规等内容展开讨论。斗象科技安全专家曹阳发表了《数字化转型中车企网络安全风险与对策》主题演讲。

中国作为智能网联汽车发展最快速的国家，汽车行业正在逐步走向电动化、智能化、网联化，车企面临着数据安全、信息安全、隐私保护等问题。

伴随着《个人隐私保护法》和《数据安全法》相继出台，在合法合规的情况下，如何有效推进车企相关数据业务发展，企业尝试与安全厂商、咨询公司建立长期合作关系，寻求可落地的解决方案。曹阳从“云-管-端”三层深度解析了车联网行业的安全需求，提出车企的信息安全建设应该是一个以合规为驱动，以实际防护效果为准则的综合建设。

对于车企而言，安全风险面往往存在于以下三大方面：

1 车载设备安全攻击风险面：

包含T-Box、IVI、智能座舱、汽车网关、车载计算平台等设备。以拒绝服务攻击、篡改通信信息、Root提权、敏感信息泄露、OTA升级可利用漏洞、设备内存泄露、无线电设计策略，滚动码加密不严等攻击方式；

2 云端安全攻击风险面：

包含云端服务器、web应用、业务逻辑、个人隐私及云端访问控制&身份测试系统，以弱密码、越权访问控制、未知漏洞与攻击居多；

3 移动端安全攻击风险面：

需基于OWASP Mobile Top 10的安全测试规范、移动客户端与智能车载系统互连安全测试以及移动客户端与云端互连安全测试要求通过安全测试逐一排查。

“利用渗透测试模拟黑客攻击对车载设备进行信息收集、风险评估、漏洞发现及利用，进而提出修复建议。渗透测试能直观反映测试目标的漏洞和风险等级，帮助客户改善其安全机制，避免漏洞意外触发而造成不可估量的损失。”

斗象科技旗下漏洞盒子作为安全众测模式的创导者，2020年即组织诸多经验丰富的安全研究专家成立星耀实验室，两年时间内已经参与了100多场安全攻防与漏洞研究项目，为企业排除了300余个安全隐患。在这样一支高水平团队的安全助力下，不仅可以提前获悉攻击者的常用攻击路径用以提前布局防御，亦可以检测挖掘出潜在的漏洞并及时修复，消除安全隐患。

车联网安全能力的建设需要构建一个动态的、持续投入的安全防御体系。曹阳针对车联网安全能力建设提出“四横四纵”的解决新思路，利用“安全运营人员+数据智能驱动的产品工具+明晰的制度约束+闭环管控的动态管理平台”，形成一套安全运营与应急保障体系的联动机制，方可长治久安的保障车联网安全。