汽车安全领域的全球领导者 Vicone 发布了《2023 年汽车网络威胁态势报告》,该报告基于全球汽车制造商 (OEM)、供应商和经销商的数据
根据 Vicone 的 2023 年汽车网络威胁形势报告,“在分析威胁形势时,我们注意到今年上半年网络攻击造成的损失金额超过 110 亿美元,与前两年相比出现了前所未有的增长。 仔细观察就会发现,这些网络攻击中的绝大多数都是针对汽车制造商的,这表明这种趋势正在上升。 令人担忧的是,这些攻击中超过90%不是针对汽车制造商本身,而是针对供应链中的其他制造商,因为黑客经常发现具有强大安全性的公司不太可能渗透,因此针对的是警惕性较低的公司。 一旦第一链中断,车厂也会受到影响,所以防范网络攻击的工作不再只是保护单个企业,而是加强整个第一链。 ”
新的Vicone报告研究了汽车日益增加的复杂性,以及因增加连接性、自动化和高级驾驶辅助系统(ADAS)而引起的网络安全问题。 根据该报告,该行业因网络攻击(如勒索软件)和泄露数据或个人身份信息(PII)**造成的损失正在增加,系统停机的成本也在增加。 Vicone 的 2023 年汽车网络威胁形势报告中的统计数据仅包括技术和运营相关的有形成本,不包括品牌、公共关系、销售和营销费用等无形成本。
该报告列出了可能导致汽车数据外泄的几个重要漏洞,并在**中列出了这些常见的漏洞列表 (CWE) 漏洞。 越界写入 (OOBW)、越界读取 (OOBR)、缓冲区溢出、发布后使用和不正确的输入验证漏洞是 Vicone 记录的一些最常见的问题。 大多数问题都出现在芯片组或片上系统 (SoC) 上,其次是第三方管理应用程序和车载信息娱乐 (IVI) 系统。 第三方供应商,包括物流和服务提供商,以及参与生产车辆零部件、配件或零件的公司,日益成为攻击的焦点。
Vicone 报告还强调了过去一年中的几个重大案例,包括:Zenbleed 漏洞(可能导致敏感数据以每秒 30 千比特/秒的速度快速泄露)、CAN 总线注入(这正在成为偷车贼最喜欢的伎俩)以及攻击远程信息处理系统和应用程序开发接口 (API) 以渗透后端云基础设施的漏洞。
虽然目前关于车辆数据规范的法规仍然存在真空,但 Vicone 报告指出,从 2024 年 7 月开始,UN R155 规范将要求新生产的车辆提供安全条件。
“很明显,汽车行业应该在资源和预算方面优先考虑网络安全,除非不断创建流程、组织发展、人才培养和系统到位,否则不会创建有效的网络安全,”Vicone 首席执行官 Yili Cheng 说。 现在是全球汽车价值链上所有公司认真对待如何在本报告确定的关键领域发展其能力的时候了。 ”