立足汽车行业 汲取网络安全发展中的经验教训

首页 / 业界 / 资讯 /  正文
作者:荏珺
来源:安全419
发布于:2023-02-22
在这个信息时代,可能很多人都听过这样一句话——今天的每一家公司实际上都是一家互联网公司。如今,数字化转型正在改变这个世界的方方面面,试图实现万物的数字互联。因此,无论哪种企业都需要成为一个真正的互联网企业。例如,创建面向客户的易于使用、高质量、可访问的应用程序等。但这对企业本身意味着什么?汽车行业或许能够提供答案。近年来,汽车领域的网络安全发展迅速,其发展过程中的一些经验教训值得其他行业学习。



汽车相关软件的演变

与其他所有行业一样,汽车行业一直在研发新技术,在过去的几十年里,汽车制造商已经从完全专注于硬件制造转变为设置完整的软件功能。如今,大多数现代汽车都具备了二十年前甚至没有的功能,包括:

● 信息和娱乐系统,包括语音助手、导航连接和流媒体服务等;
● 传感器协助安全驾驶或在某些情况下实现完全自动驾驶;
 
为了增强汽车数字化功能,提高市场竞争力,无论是传统汽车企业还新型企业都在汽车软件开发方面投入大量资金。例如,大众汽车创建了其内部软件公司Cariad,该公司拥有5000多名软件工程师,一度让大众汽车成为德国最大的软件开发公司之一。
 
当然,现代智能化汽车也带来了额外的风险和责任。在此前,汽车行业的安全法规和标准一直侧重于功能安全,例如ISO 26262标准的发布,规定了电气或电子组件在内的安全相关系统的合规性。但是,随着软件被添加到汽车制造过程中,行业标准也需要不断发展。
 
汽车网络安全标准不断提高

当我们把汽车的概念从“四个轮子+一个引擎”发展到与网络连接时,也需要承担随之而来的安全风险。近年来,汽车领域的网络安全漏洞、风险和黑客攻击都处于上升趋势。去年,12月,SiriusXM车联网服务曝出高危漏洞,可未经授权对汽车解锁启动造成严重后果。据统计,目前北美有超过1200万辆汽车使用互联服务,包括讴歌、宝马、本田、现代等品牌。
 
就以上问题,国际标准化组织正在通过 ISO/SAE21434汽车网络安全标准等来应对安全风险挑战。该标准是网络安全风险管理的工程要求,涵盖汽车从概念开发到生产、运营和维护的一整个流程。如今,只有符合ISO标准的软件才会被允许内置到汽车中。
 
经验与教训

起初,汽车开发人员可能会担心这些新增的网络安全要求会减慢其软件的生产和应用速度。但幸运的是,现代化网络安全工具的发展适应于软件开发生命周期(SDLC),各种安全扫描方法(包括静态应用程序安全测试 (SAST)、动态应用程序安全测试 (DAST) 和基于反馈的应用程序安全测试)可以一起使用,以便在应用程序开发阶段就及时发现漏洞和错误。越早发现缺陷,修复的成本就越低,网络安全风险也会降低。
 
网络安全:竞争优势

随着软件成为行业发展的重要组成部分,类似于ISO标准等的网络安全应对策略应该逐步走向医疗保健、航空、能源、金融等其他行业。同时,相关的企业也需要优先考虑和实施网络安全保障措施,招募具有网络相关经验或专业知识的开发人员以正确实施安全测试来提高开发速度以及软件的整体质量和安全性。