张建新:车联网安全能力验证体系建设的需求与展望
2021年6月17日-19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。站在新五年起点上,本届论坛以“新起点 新战略 新格局——推动汽车产业高质量发展”为主题,设置“1场闭门峰会+1个大会论坛+2个中外论坛+12个主题论坛”,全面集聚政府主管领导、全球汽车企业领袖、汽车行业精英,共商汽车强国大计,落实国家提出的“碳达峰、碳中和”战略目标要求,助力构建“双循环”新发展格局。其中,在6月19日下午举办的主题论坛“智能网联汽车产业发展与安全论坛”上,360集团工业互联网安全研究院院长张建新发表了致辞。以下内容为现场演讲实录:
谢谢潘所,我从另外一个角度来讲讲车联网的安全体系,绿盟讲的是防御的体系,我从攻击的角度谈一下车联网的安全。360是在智能网联车刚刚开始发展的时候第一批做车联网安全企业之一,在2014的时候,那个时候特斯拉刚刚开始做,我们就发现了特斯拉的第一个漏洞,当时我们老板周鸿祎和马斯克两个人见面,马斯克说:我这个系统完全都是自己的代码写成的,是一个私有化系统,不存在安全问题。我们当时就打赌说肯定存在问题,因为代码都是人写出来的,一千行代码里面,基本上平均水平是三到四个漏洞,你这么大的代码规模量的系统,怎么可能没有漏洞呢?当时我们就整体看了一下特斯拉的情况,很快就发现很多安全问题。
另外2019年的时候,随着智能网联车的发展,车和云结合起来,我们就发现奔驰特别大的问题,可以从车直接攻到云上,再通过云反攻到奔驰所有的在网车辆,远程进行开门、开窗、停启等操作,当时360第一时间报告了奔驰的总部,他们也非常重视,紧急完成了漏洞的修复。
我今天想介绍的内容主要包括3点:一是车联网安全现状,二是面向实战化安全能力验证需求,三是车联网安全能力验证体系建设展望。
一、车联网安全现状
车联网,不仅仅是单车智能,更是成体系化的复杂网络,包括了车、人、路边的设备,云等构成的整体复杂网络和系统,复杂性就是会导致安全问题出现。我国的车联网已经跑在了世界前列,工信部对整个车联网的发展做出整体的规划,预计到2025年,承载C-V2X通信网络的车联网系统将会成为城市的关键基础设施之一。
随着汽车的联网化、智能化发展,也带来了一些前所未有的安全挑战,可以从三个方面来说:
一是软件化编程带来的安全风险。只要是由人编写的代码都会包含各种各样的错误和漏洞,尽管传输协议在设计中已经进行了安全性设计,也考虑了加密的需求,但是在协议实现过程中,实现代码还是由人编写的,里面就会有漏洞,就会有可以利用的攻击点。
二是网联化接入带来的风险。原来要攻击一辆车首先要买一辆车,要研究一辆车,更多需要物理接触才能发动攻击;但是当出现了联网汽车的时候,车和云连成了一个整体,我们可以在“车—云”系统的任何一个地方找到切入点。未来,“人车路云”构成的复杂网络中,每个点,每一个暴露面都可能成为网络攻击的风险点。
三是数字化应用带来的风险。主要就是大数据和人工智能等先进的技术在车联网大规模的应用所带来的新风险,很多专家已经围绕数据的风险做了阐述,我就不再深入的解释。这里我主要说一下人工智能技术带来风险。当人工智能应用到车联网之后,其实也会引入很多的风险,因为本身数据是可以被投毒的,比如说人眼看起来是一个正常的标识牌,但是攻击者通过在里面的关键点做了一些手脚,在汽车中的人工智能算法看起来就是不一样的,这就是数据投毒的问题,是由于人工智能的引入带来的新的攻击面,新的攻击点。
近年来,针对车联网的安全事件越来越多,从统计数据可以看出,2010到2020年整个十年里面,针对车联网的攻击事件数量呈极大提升的状态。针对去年的攻击事件数据分析可以发现,白帽子发现的安全问题和黑客导致的安全事件基本上达到了1:1的比例,黑客进行的攻击比我们白帽子发现的问题更多,由此可见,车联网的安全问题已经由实验室研究院开始走向产业化对抗。
但是一个好消息就是随着大家对安全问题的重视,车联网的安全防御体系已经逐步建立起来了,各个厂商相继推出了很多关于车联网安全的整体解决方案;
另外,在车辆网的安全标准体系建设方面,车联网的安全标准体系也已经建立,包括前一段时间发布的数据安全的标准,我们在合规方面慢慢地开始摸出一些路子,并开始逐步的应用了。
另外一个很重要的工作是:车联网安全已经实现了跨平台的互连互通,不久前工信部也发了V2X安全试点,吸引了业内很多企业的积极参与,车联网的安全也越来越引起大家的重视。
总结来看,车联网安全的发展阶段用阶梯来表示分为三个阶段:
第一个阶段是整车安全单点防护的阶段,这个阶段的重点就是发现整车系统中的每一个单独的攻击点,并且这对这个攻击点进行相应的防护能力设计。
第二个阶段就是体系化建设、标准化建设阶段,我认为现在我们的车联网安全已经进入这个状态,这从我前面的介绍中大家也可以看的出来。
第三个阶段是进入实战化的阶段。第二个阶段的标准化、体系化解决的是安全有无的问题,告诉我们如何做更安全的车联网的问题。但是下一个阶段,我建设了标准化、体系化的措施之后,这个车联网就真正安全了吗?并不是。基于前面提出来的三个观点,车一定是有漏洞的,联网导致攻击面扩大,新的技术引入带来了新的风险点,一定会有新的问题源源不断地出现,我们必须要从实战考虑,这并不仅仅是我的个人看法,现在国内实战化验证进行的如火如荼,在安全圈的朋友大家应该都知道。
二、面向实战化的安全能力验证需求
前面我们说了车联网不止是车,还有路侧设备,这些就是车联网的关键基础设施,这些关键基础设施未来一定会成为组织化、国际化黑客组织的重点攻击目标。这里我们提了一个APT,这个就是高级威胁,有组织,有目的的网络攻击活动,通过这些攻击会达到一些战略性的目的。
作为新型的基础设施,为了应对高级威胁,我们要引入对抗的能力,这个对抗的能力怎么做呢?我们认为可以从合规驱动到渗透测试,逐步到实战能力的建设。实战能力建设就需要我们以实战攻防视角搭建我们的安全能力验证平台,世界各国已经将实战对抗作为检验基础设施建设安全的重要标准。
实战化验证和渗透、风险评估有什么区别?刚才提到的渗透测试更多是以“个人”为单位的,以单点安全测试为目标进行;风险评估更多是以标准为导向,看哪些符合标准,哪些不符合标准。实战则是以“团队”为单位开展的,攻击者团队可能包含了各个角色的人员,并且是以最终拿下靶标为目标的,因此整个过程中不会预设条件,也不会对攻击手段进行限制,是真正面向实战的验证过程,其实是完全不一样的。
咱们国家的政策法规也对开展实战性要求有一些规范,在《网络安全法》里面也做了相关的阐述,我就不细列举了。
现有的车联网安全检测评估尚无法形成能力验证体系,我们的V2X随着国家级、省级的试点建立,更偏向能力的验证就是本身功能性的验证,完成了V2X体系,安全考虑的很少,安全实战的验证更少。
三、车联网安全能力验证体系建设展望
车联网安全能力验证体系的整体思路是围绕测试验证、实网对抗、培训演习展开的。首先,我们需要搭建一个车联网安全能力验证的平台,这个平台包含车联网的仿真模拟环境,也就是靶标系统,以及用于安全能力验证的各种工具和管理工具。
我们搭建能力验证平台之后可以做的事情主要是面向车联网安全的“能力”进行验证,我前面反反复复提到能力这个词。车联网其实是多技术交叉的应用领域,既有车,还有我们的网络安全,还有新的技术在里面,这种交叉学科里面,如何培养我们真正的实战能力呢?我们就需要到真实的场景里面去做。如何去验证这个体系是不是真正能扛得住,经得起攻击,就需要用真实的网络攻击对抗去验证。
这个是我们设计的车联网安全能力验证平台的整体架构图。在这个体系中,我们首先是围绕虚实结合的孪生场景去构建车联网的仿真模拟系统。在对车联网进行攻击验证的时候,我们不仅要考虑的不仅是信息安全的问题,还有人身安全问题,因此,我们进行攻击验证的时候不方便针对真实的车联网进行,需要一个虚拟环境来验证;但是,在虚拟环境验证的结果在真实环境中是不是有效果,还需要虚实对应的验证,因此这块我们使用了数字孪生的思想来设计。
另外,车联网安全能力验证体系还包含了防护体系、评价体系等组件,这也是安全能力体系的重要组成部分。
目前,我们正在全国先导区做试点的工作,也欢迎广大车企和先导区的企业,还有安全企业大家一块去做。
为了更加真实的模拟车联网的整个系统,在车联网的能力验证体系中也需要引入很多的参与方,包括:政府、车企、车联网应用厂商,需要大家的共同参与,围绕这个体系一同构建我们车联网的安全能力。
在部署上,考虑到各个先导区的定位不同,包含的车联网应用场景也不一样,比如:有的先导区涉及山路多一些,有的先导区主要包含桥路,因此,我们会在全国的范围建多个分中心,建立“一总多分”的全国性能力验证体系布局,围绕不同的场景进行安全能力验证。
感谢大家的聆听,谢谢!
(注:本文根据现场速记整理,未经演讲嘉宾审阅)