嘉宾
腾讯安全副总经理 吕一平
上汽零束安全实验室负责人 王君锋
采访人
安全419创始人MT
Q1:先请问一下王总。作为汽车行业从业者,在您看来,车联网安全目前面临一个什么样的趋势,或者说最大的挑战是什么,有什么个人心得?
王:挑战确实是蛮多的,来自多方面。我们可以看到目前国内外的监管越来越严,上个月底,国家的强制法规刚刚颁布,这些都是我们行业从业者需要遵循的要求。另一方面,汽车安全相对来说比较特殊,它是一个大的安全概念,是一个security加safety的组合体。所以对于个人、社会还有交通,它的安全影响面其实是非常大的,这也是我们汽车安全从业者很重视的一个原因。
Q2:作为资深的安全专家,吕总这边觉得车联网安全面临的挑战有?我们知道做安全研究免不了各种漏洞攻防,所以您如何看待车联网安全的现状?
吕:我讲几个点吧。第一,科恩实验室也在做一个比较大的转型,2016年到2021年,科恩连续做了好多个汽车安全的研究,包括特斯拉、宝马、丰田和奔驰,这一系列的研究其实做了一些积累,但是从2021年以后会看到,好像科恩没有披露新的研究成果了。这是因为我们看到了一个问题,就是只发现漏洞可能解决不了行业问题。如果我们希望跟行业更好配合,一起去提升汽车行业在网联新时代的安全性的话,我们得做一些其他努力,而不是仅仅做漏洞发现的工作。
我们其实看到一个趋势变化,比如像2016年到2021年整个过程,也是智能网联技术刚刚开始逐步引入到车上,大家开始关注智能网联这个数字化技术在车上的应用。在这个阶段,我觉得大家可能更多关注到的网络安全还是事件驱动性的,汽车行业对这个风险的关注度可能也都是通过具体事件去了解。
那到了2021年以后,我们会看到这汽车行业,特别是一些头部企业开始关注建设相关能力了,它是一个能力建设驱动。比如像上汽零束这边,其实很早就在规划怎么做好车上安全的工作,然后建立团队,建立相应的体系。
刚刚提到国家层面的《汽车行业整车信息安全技术要求》,这其实是一个汽车准入强规,2026 年1月1号以后,所有在中国市场上市的汽车都必须经过合格认证,否则就不能上市,就无法做销售。这对汽车行业来说,像一个销售销量的驱动。看整个经济这样的变化,从事件驱动到能力建设驱动,现在到了合规驱动,而且它是个强规驱动,不是一般的标准。
Q3:关于法律法规这个问题,平时在做安全研究或者在做一些车联网安全相关的能力建设的时候,肯定会重点考虑。咱们之前是不是也会做相应的准备工作?
吕:其实包括很多车企,我们从两年前立项起就开始关注这个强规。
Q4:不管是作为行业方,还是安全研究的团队,是不是都已经参与到了相关的顶层设计或者法规制定当中去了?吕总方便大概透露一些具体情况吗?
吕:现在强规已经正式发布,在网上就可以查到。除了这个以外,还有另外两个强规,其中包括与车辆远程升级(OTA)相关的内容。这些其实都是围绕着安全做强制要求。之前科恩在一开始进入汽车行业的安全领域时,更多还是跟车厂合作,去做测试服务的工作,但回到那个问题,你能发现一些高危的风险,并不代表能保障整体体系的安全。这个强规标准是帮助车企把整体行业的安全水位提上来,漏洞只是金字塔顶端的高危风险,只解决了那里,下面还有很多的问题。
举一个简单的例子,我们在2016年到2021年做安全研究的时候就发现了很多高危问题,不仅仅是代码写的有问题,有相当一部分都是架构设计上的问题。比如硬件的一些架构设计上,包括系统级的一些架构设计、通讯协议的安全设计上,其实都有一些缺陷。
对汽车行业来讲,从设计、开发、验证测试到最后的发布运营,它有一个“V”字的工程模型,安全必须和这个工程模型紧密融合,它才能够发挥好的价值。
Q5:我们观察到目前行业当中,行业内比较成规模或者做得比较好的车联网安全企业,并没有像开发安全、工控安全这么井喷式出现,是不是因为安全和汽车这两个行业融合得还不够深?
王:从需求角度讲,我觉得汽车行业确实是一个非常长的产业链,不能说整体做得不好,而是说行业内现在各自的水平可能还是参差不齐,供应商a和供应商b的水平不一定拉得齐。实际合作的话,确实需要安全公司跟行业公司深度融合,就像我们跟实验室一样,早期接触就在他们做转型的时候,我们正好要建能力,所以就一拍即合。在这个过程中,他们需要理解我们实际汽车中的场景,我们要去加持一些安全方面的技术。
Q6:近几年的话题绝对绕不开“数据安全”,相关的法律也在慢慢出台完善。特别是很多汽车厂家的用户也非常关注,购买一款汽车产品能不能保护好数据安全、各种隐私或财产信息。汽车行业对数据安全的重视程度到底如何?以您这边为例,在数据安全这方面有没有做一些安全上的实践?
王:首先,数据对于我们企业确实越来越重要,未来数据的驱动会越来越明显,所以我们确实非常重视数据安全的保护。另外,数据是消费者也很关注的一方面,从我们内部的安全体系上来讲,我们也参考着自己网络安全的一些体系,从采集、存储、使用到销毁各个环节,都设计了一些相应的方法和活动去保障整个产品生命周期,包括上市之后怎样持续保护产品相关的安全。
Q7:从汽车行业相关媒体报道的数据来看,中国现在新能源汽车的市场渗透率已经超过了50%,新势力最大的一个标签就是智能化,有很多安全事件是汽车出了问题,厂家是可以直接拿取用户数据的,所以也有很多专家呼吁汽车上的数据在未来也要做好数据分类分级。现在相关工作也应该在进行当中吧?
王:是的,确实我们看到一些新闻,有很多有些厂家做得不太妥,会在未经允许的情况下拿取一些数据。实际上不管是从国家层面还是从企业层面,都要平衡好权责问题。数据是网络安全的一个核心资产,所以我们也建立了相应的数据安全保护体系,去保证我们整个产品研发过程中,从数据采集、存储、使用和销毁,整个数据全生命周期的防护。
Q8:请教王总,车联网安全跟传统安全相比可能复杂性得多,比如保证车机系统的技术创新和领先性的同时,又要确保其安全性。有时业务和安全存在对立面,如何平衡这两者之间的关系?
王:零束作为智能汽车的科技公司,在努力做产品技术创新的同时,确实非常重视这方面的安全。提到冲突,其实在内部看,也有它们非常和谐的一面,但需要通过安全体系的建设去调和。在我们当前的安全体系里,业务产品团队在早期创新的时候,就有很好的机制把安全团队involve进来。比如说我们有一个新feature出来,那它可能存在一定的安全风险,或者存在场景需要考虑,这时就我们就会去讨论做分析。
Q9:但往往在很多生产环境当中,业务端产生价值,安全花费成本,可能存在话语权的问题,这方面内部团队会怎样平衡?
王:安全防护和措施实际上有各种选择,早期介入就有更多选择余地。是要通过技术手段还是管理手段,各方面是可以选择的。当存在冲突的时候,我们有相应的技术委员会去平衡。
Q10:回到吕总这边,您的团队平时也更多关注供应链安全相关的内容,平时在做车联网领域的相关安全研究时,有没有一些心得?
吕:供应链安全的话,其实我们更多还是在讲软件供应链安全,但汽车行业讲供应链安全,可能就是各种零部件故障,包括之前遇到过的“芯片荒”。他们的供应链安全关注的不仅仅是软件部分,可能更多在业务端上面。从安全专业角度讲,我们还是在软件供应链的范畴之内,偏汽车数字化部分的安全。
跟汽车配合了这么多年,我觉得有两点比较重要,一方面是,汽车行业确实是一个上游供应链特别长的行业,所以我们之前提及的准入强规,汽车厂商也需要把这个要求向上游去传递,其实目前很多汽车厂商已经在给他们上游的一些供应商再提要求和需求了,比如交付的零部件或者一些功能组件在交付的时候需要通过一定的安全评估与测试,以确保你实际交付的与之前承诺的一致性。
另外一方面,回归安全行业,软件供应链安全一直是一个热提,我觉得很重要的一部分便是开源组件安全的治理。以汽车行业举例,95%以上的汽车应用都会用到开源组件或者一部分代码。开源,它是一个全球的研发体系公共认可的一种更高效、更智慧的一种方式。但是,它也存在一定安全风险,比如2021年Log4j开源组件漏洞事件。所以如何就开源组件的安全治理做一个有效的管理我们一直在进行讨论,并且后续也准备采取一些措施来进行应对。当然,软件供应链安全这方面不仅仅是在汽车行业,像金融、电力等行业也在非常积极地做这块的能力建设。
总体而言,我认为开源组件的安全风险治理是一个非常重要的部分,最核心的就是把安全的要求和需求向汽车的供应链上游去延伸。另外一方面就是开源组件的风险治理。
Q11:作为产业方,在安全研究实践方面,有哪些做得较好的成果可以分享?
王:在软件供应链安全方面,我们曾与腾讯合作期间做过一个案例,我们建立了一套软件安全管理平台,能够持续地为我们研发的产品提供安全保障,把SCA的一些人工confirm的结果变成我们平台的一些输入。我们零束安科技对汽车行业软件研发是非常熟悉的。同时,从成立之初,我们就非常重视安全这一领域。所以,在安全水准线这一块,我们在行业中是属于第一梯队。假如说采用我们公司的这个产品和解决方案的话,在网络安全这块客户是可以非常放心的。
Q12:腾讯安全,特别是在CSIG这块有很多和汽车或者是智慧出行相关的各项技术与系统解决方案,那么这些技术及解决方案如何能够更好地为车联网或者智慧出行领域做赋能呢?
吕:首先腾讯主要是做toB业务,主要分为两大主线,一条是行业主线,一条是产品和能力线。互联网面向其他行业不能叫赋能,应该叫助力。比如,汽车行业的安全和整体解决方案,我们该如何把它整合好,为其提供更好的服务。其实还是需要和客户以及我们的合作伙伴去多沟通,充分理解客户的需求痛点和场景,然后才能知道什么样的解决方案能够更适合他们。
真正能够助力服务好行业,其实我们是需要深耕的,无论是技术的积累还是对行业的了解,比如汽车行业其实有很多新的技术在不断引进,同时也是需要更多的安全去保驾护航的。那么,安全行业如何和其它行业合作呢?我总结了4个C,分别是沟通、跨界、合作、融合。在汽车行业不要想着短平快地去做成一件事,好的汽车安全公司是需要长期积累和坚持,汽车行业是一个非常技术导向的工程师文化行业,它其实对技术的尊重度是非常高的。特别是经历了数字化变革以后,更需要花费精力和时间去看到他们的需求和痛点。这么多年,腾讯就是深入到各个行业里面去,跟行业进行深度融合,从而进行助力行业发展。