《2023全球汽車行業網絡安全報告》的5大關鍵發現

  業界資訊     |      2023-03-31 05:47

近年來,隨著數字化、智能化和網絡化技術的日趨成型,汽車行業的新一輪產業變革已經到來。然而,這種變革也為網絡安全風險打開了大門。近日,研究機構Upstream發布了《2023年全球汽車行業網絡安全報告》,報告數據顯示:在過去5年中,全球汽車行業因為網絡化攻擊造成的損失超過5000億美元,而近70%的汽車安全威脅都是由遠距離的網絡攻擊行為引發。研究人員表示:汽車制造企業需要重新思考未來保障車輛安全的策略,從整體車聯網平臺安全的角度尋找解決方案,而不是傳統以車輛為中心的安全模型。

【過去5年,全球汽車行業因網絡攻擊損失5050億美元】

在本次報告中,研究人員探討了當前汽車行業面臨的主要安全威脅態勢,以及如何有效應對這些威脅挑戰的方法和建議。以下就是本次報告研究中的五個關鍵發現。

發現1:新的攻擊面大量出現

隨著汽車行業變得更加智能化和數字化,汽車企業因此拓展出更多的商業服務模式,這給了網絡攻擊者更多的攻擊面和攻擊載體。報告數據顯示,2022年網絡攻擊者最常使用的載體分別是遠程信息處理和應用服務(35%)、遠程無鑰匙進入系統(18%)、電子控制單元(14%)、車載智能應用API(12%)、車載信息娛樂系統(8%)、車載移動應用程序(6%)和電動汽車充電系統及設施(4%)。

【針對汽車行業網絡攻擊的主要載體】

研究人員提醒,一些新興攻擊載體的惡意利用趨勢已經形成,相關企業和消費者需要給予足夠的重視,具體包括:

1、車輛訂閱服務:一些訂閱式的車輛服務功能方便了消費者的日常使用,但這些服務通常都會要求司機提供個人身份信息(PII)以實名驗證,這無疑為身份竊取和假冒相關的攻擊敞開了大門;

2、第三方汽車移動應用程序:這些應用程序旨在增強駕駛員的體驗,但是同樣會需要駕駛員的PII和車輛行駛數據等信息,這對非法攻擊者會很有吸引力;

3、電動汽車充電網絡及設備:電動汽車需要定期進行電池充電,這個過程增加了被攻擊的可能性,也擴大了汽車行業的風險暴露面。所有電動汽車利益相關者都應該從保障充電網絡安全的角度做更多的事情;

4、新的車輛管理和保險模式:隨著智能汽車中大量遙測工具的使用,促進了企業管理和相關保險服務的發展,這些遙測數據會涉及司機的駕駛行為和使用情況等,一旦相關的監控設備被侵入,其后果將非常嚴重;

5、智能移動API:在2022年,汽車API攻擊的數量增加了380%,占事件總數的12%。隨著這項技術的使用不斷增加,與API相關的風險也在增加。

發現2:汽車網絡攻擊的負面影響巨大

一旦成為汽車網絡攻擊活動的受害者,汽車制造企業會在多個方面受到嚴重的負面影響。本次報告數據顯示,汽車行業的網絡攻擊活動,對受害企業造成的危害主要包括:數據/隱私泄露、服務/業務中斷、車輛失竊、非法控制車輛、實施欺詐、地址跟蹤、政策違規等。

網絡攻擊活動對受害企業的負面影響