11月11日-13日��,2020世界智能網(wǎng)聯(lián)汽車大會(WICV 2020)在北京舉行���。作為全國首個國家級智能網(wǎng)聯(lián)汽車年度大會����,本屆大會以線下會議結(jié)合云直播���、云展覽的方式,邀請國內(nèi)外智能網(wǎng)聯(lián)汽車相關產(chǎn)業(yè)鏈專家���、企業(yè)代表��,圍繞“智能新時代 車聯(lián)新生活”的主題���,探討全球汽車產(chǎn)業(yè)新生態(tài)與技術創(chuàng)新版圖重構(gòu)的新思路,分享行業(yè)前沿科技與最新成果�。
騰訊產(chǎn)業(yè)安全運營部總經(jīng)理呂一平在大會上,從車聯(lián)網(wǎng)安全攻擊面持續(xù)擴大的現(xiàn)狀出發(fā)���,結(jié)合騰訊安全科恩實驗室研究實踐�,分享了騰訊對智能網(wǎng)聯(lián)信息安全問題的思考及提升思路�����,并提出將安全納入研發(fā)設計與管理階段���,通過“安全左移”提升智能網(wǎng)聯(lián)領域安全能力��。
(騰訊產(chǎn)業(yè)安全運營部總經(jīng)理呂一平)
近年來����,隨著5G、V2X等技術的推廣應用和用戶增值付費意愿的提升�,車聯(lián)網(wǎng)作為物聯(lián)網(wǎng)技術在智能交通系統(tǒng)的重要延伸,迎來新一輪規(guī)��;l(fā)展拐點�。賽迪顧問數(shù)據(jù)顯示,2020年我國車聯(lián)網(wǎng)市場增速將超過60%�����,規(guī)模將在2021年達1150億元�����。
從車載智能終端到自動駕駛���,智能汽車與互聯(lián)網(wǎng)的聯(lián)系愈加緊密��。WIFI��、充電樁����、自動駕駛系統(tǒng)等大量交互接口的衍生�����,使得智能網(wǎng)聯(lián)無論是在車端�����、云端�����、移動端都面臨著更大攻擊面��。安全性顯然已成為智能網(wǎng)聯(lián)電子電器架構(gòu)進化升級的關鍵因素���。
結(jié)合騰訊安全科恩實驗室歷年對Tesla汽車系統(tǒng)安全的研究成果�,呂一平分析�,當前智能網(wǎng)聯(lián)系統(tǒng)常見的安全問題主要涉及三大層面。一是設計層面�,系統(tǒng)內(nèi)核及瀏覽器版本滯后、已知漏洞未修復等安全特性設計的不完備��,使得整個智能網(wǎng)聯(lián)系統(tǒng)陷入被遠控的風險。二是工程實踐層面���,來自系統(tǒng)自帶安全防護���、自研應用服務等的配置錯誤、代碼實現(xiàn)邏輯等功能缺陷���,為攻擊者破解系統(tǒng)提供了突破口�。此外���,由自動駕駛等新技術引入帶來的前沿算法的應用�,引發(fā)了諸如特斯拉雨刮器錯誤啟動��、道路標記干擾等新攻擊�。
面對持續(xù)疊加的安全修復成本與代價,如何以更低成本高效解決信息安全問題����,并提升原生安全能力,成為當前智能網(wǎng)聯(lián)產(chǎn)業(yè)鏈共同的關注點��。騰訊安全科恩實驗室研究統(tǒng)計數(shù)據(jù)顯示�,由于智能汽車開發(fā)/供應商安全需求缺位的常態(tài)化�,設計缺陷和已知漏洞等造成的安全問題占比已高達60%���。對于智能網(wǎng)聯(lián)汽車而言����,系統(tǒng)設計與研發(fā)階段的安全考量變得更加重要����。
在呂一平看來���,針對供應鏈系統(tǒng)碎片化明顯等車聯(lián)網(wǎng)發(fā)展現(xiàn)狀����,設計研發(fā)階段的安全左移是破解車聯(lián)網(wǎng)安全難題的有效途徑�。具體到實踐場景,涉及人���、技術和流程三個層面:
● 人的層面���,實現(xiàn)安全思維上的左移。從企業(yè)宏觀視角����,建立高度協(xié)同且具備前瞻性的信息安全全局思維���,組建專業(yè)安全團隊,打通規(guī)劃����、咨詢、評估���、測試管理全鏈路;
● 技術層面上�,緊扣最小權(quán)限�����、攻擊面收斂���、默認安全�、縱深防御等安全基本原則��,重視成熟安全技術與車聯(lián)網(wǎng)業(yè)務場景的融合�,并選擇合適的自動化工具,提升安全開發(fā)效率;
● 在設計研發(fā)流程上���,注重安全前置的實踐��������;谲嚻笱邪l(fā)模式向軟件定義迭代轉(zhuǎn)變的趨勢����,致力在研發(fā)設計層面解決大部分安全隱患����,達到低成本高回報的安全效益�。
對于大多數(shù)智能網(wǎng)聯(lián)產(chǎn)業(yè)鏈企業(yè)而言,成熟自動化工具的應用是提升系統(tǒng)設計研發(fā)安全構(gòu)建效率的重要輔助��。為此�,騰訊安全科恩實驗室結(jié)合其在車聯(lián)網(wǎng)安全領域的技術研究和服務能力產(chǎn)品化的成果,打造推出了一款專注于嵌入式系統(tǒng)的全自動安全基線審計的滲透測試輔助平臺工具sysAuditor�����。
這一嵌入式系統(tǒng)安全審計平臺能夠檢測出90%的共性安全問題����,助力企業(yè)實現(xiàn)對研發(fā)漏洞檢測�、系統(tǒng)安全驗收�����、潛在風險規(guī)避和行業(yè)安全管理等的自動化審計����,從而達到提升安全基線,降低維護成本的目的���。日前��,該平臺成功入選了工業(yè)和信息化部網(wǎng)絡安全管理局公布的2020年網(wǎng)絡安全技術應用試點��,進一步加速車聯(lián)網(wǎng)安全最佳實踐的復用和解決方案的落地�����。
伴隨著“新基建”的宏偉藍圖不斷鋪開��,各行各業(yè)數(shù)字化轉(zhuǎn)型步伐再次提速��,安全能力也需要在數(shù)字化進程中實現(xiàn)“自適應”��,能夠和5G����、云計算、智能網(wǎng)聯(lián)汽車�、人工智能等新基建新技術產(chǎn)生動態(tài)協(xié)同效應。未來�����,騰訊安全將持續(xù)釋放釋放頂尖人才��、技術優(yōu)勢�����,加深安全產(chǎn)品和服務與產(chǎn)業(yè)場景的貼合度�����,夯實數(shù)字化產(chǎn)業(yè)縱深發(fā)展的安全底座����。
京公網(wǎng)安備 11010502041587號