車聯(lián)網(wǎng)時代降臨，“黑客”請就位

       大數(shù)據(jù)時代的到來，讓更多用戶開始關注自身信息安全的保護。因此，多數(shù)用戶在使用電腦，手機時都會將信息安全性能考慮在內。他們認為這已經足夠了，可是其中的大多數(shù)人都忽略了一個至關重要的生活場景——汽車。
       當前汽車產業(yè)正向智能網(wǎng)聯(lián)發(fā)展，物聯(lián)網(wǎng)時代萬物互聯(lián)。從智慧生態(tài)、云端的集群、數(shù)據(jù)鏈路、萬物終端，這些無一例外都采集了大量駕乘人員的信息數(shù)據(jù)。而在未來，車與車之間互聯(lián)，實現(xiàn)全生態(tài)的智能駕駛，控制邏輯和系統(tǒng)也將越來越復雜，對于用戶數(shù)據(jù)的收集也將越發(fā)頻繁。

危險：20倍、280余萬次
       今年1月，工信部組織召開部際聯(lián)席會議2022年度工作會議強調，2022年是我國新能源汽車乘勢而上、加快發(fā)展的關鍵一年，明確進一步強化安全監(jiān)管，完善數(shù)據(jù)安全、網(wǎng)絡安全等相關標準，加快構建系統(tǒng)、科學、規(guī)范的安全監(jiān)管體系，提升新能源汽車本質安全水平。
       近年來，智能網(wǎng)聯(lián)汽車頻遭黑客攻擊，網(wǎng)絡信息安全問題不容樂觀。數(shù)據(jù)顯示，在過去5年時間里，智能汽車被黑客攻擊的次數(shù)增長了20倍，其中有27.6%的攻擊涉及車輛控制。
       據(jù)技術移動公司Upstream數(shù)據(jù)，2010年到2018年針對智能汽車的攻擊數(shù)量激增了6倍。工信部車聯(lián)網(wǎng)動態(tài)監(jiān)測情況顯示，2020年整車企業(yè)、車聯(lián)網(wǎng)信息服務提供商等相關企業(yè)和平臺的惡意攻擊已達到280余萬次。
       伴隨著汽車電動化、網(wǎng)聯(lián)化、智能化和共享化，車內功能大幅增加。由此，更多的信息安全接入點和風險點被暴露。如今，網(wǎng)絡信息安全已成為智能網(wǎng)聯(lián)汽車面臨的最重大的安全風險之一。目前智能網(wǎng)聯(lián)汽車很多技術方興未艾，只有多方共同推進測試，才能推動中國方案的落地。
       在智能網(wǎng)聯(lián)汽車很多技術方興未艾的當下，通過不斷地滲透測試，或許成為了維護車企、供應商與用戶網(wǎng)絡信息安全的一個重要途徑。

黑客，圖片來源：techxplore.com

途徑：滲透測試，有道德的“黑客”
       早在2016年，美國國家公路交通安全管理局（NHTSA）就意識到了網(wǎng)絡信息安全問題將會成為掣肘汽車產業(yè)發(fā)展的一個重要因素，因此在當年發(fā)布了汽車網(wǎng)絡安全指導文件，為車企如何網(wǎng)絡安全問題提供了指南。
       NHTSA認為網(wǎng)絡安全問題應當是汽車廠商和供應商關注的重中之重，新車產品研發(fā)的過程中就該妥善處理。該機構指出車企和供應商應當進行“滲透測試”找到潛在的問題，測試結果報告要指出易受入侵的問題是如何解決的或解釋測試漏洞無法解決的原因。
       何為滲透測試？其是指安全專業(yè)人員在系統(tǒng)所有者的許可下，模擬對網(wǎng)絡或計算機系統(tǒng)的攻擊以評估其安全性的過程。不過，盡管是“模擬”攻擊，但滲透測試員同樣會把現(xiàn)實世界中攻擊者的所有工具和技術都用到目標系統(tǒng)上，只是他們并不以發(fā)現(xiàn)的漏洞或獲取的信息用來牟利，而是將結果上報給所有者，以幫助其提高系統(tǒng)安全性。
       由于滲透測試人員遵循與惡意黑客相同的攻擊策略，所以他們有時候被稱為“道德黑客”或“白帽黑客”。滲透測試可以由團隊或獨立黑客進行，他們可能是目標公司的內部員工，也可能獨立工作或為提供專業(yè)滲透測試服務的安全公司工作。
       某種程度而言，智能網(wǎng)聯(lián)汽車通過滲透測試，除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務合作伙伴的要求之外，更重要的是可以最大限度地減小業(yè)務風險，將風險保持在可控范圍之內，保障車企、供應商與用戶三方的信息安全。 

圖片來源：FUSA

方案：車聯(lián)網(wǎng)大局下，供應商紛紛獻策
       滲透測試作為一種有效檢測與維護汽車網(wǎng)絡信息安全的方式，我國也有許多科技公司涉足該領域。
       騰訊旗下的科恩實驗室在PC 安全、移動終端安全等研究領域有十多年的積累，技術實力和研究成果達到了國際領先水平；近幾年來，更是在智能網(wǎng)聯(lián)汽車信息安全滲透測試中取得豐碩的成果。同樣作為國內軟件巨頭的360在智能網(wǎng)聯(lián)汽車安全方面打造了以360汽車安全大腦為核心，包括360車機管家、360汽車防火墻、車聯(lián)網(wǎng)安全運營平臺等為支撐的整套實時防護體系，同時360還長期跟蹤國內外汽車信息安全標準，推動車聯(lián)網(wǎng)安全標準化，參與討論國際標準國內落地。
       除了軟件巨頭，也有專門致力于解決車輛日益智能化發(fā)展所面臨的網(wǎng)絡安全問題的公司。為辰信安推出了系列化解決方案，覆蓋IVI、TBOX覆蓋IVI、TBOX、智能座艙、中央網(wǎng)關、自動駕駛、控制類型ECU等關鍵零部件，CAN/CANFD、Ethernet等通信協(xié)議，以及FOTA、藍牙鑰匙、遠程控制等關鍵業(yè)務，擁有支持國際/國內密碼算法的密碼模塊、IDPS、安全通信、可信執(zhí)行環(huán)境等方面的基礎產品，并提供網(wǎng)絡安全方面的系列化測試工具，以及滲透測試和咨詢等方面的安全服務。針對傳統(tǒng)安全測試中漏洞檢測低效且不完整。維克多則帶來了一種使用更少測試案例的增強型灰盒滲透測試，能夠在提高覆蓋率的同時降低誤報。
       這些企業(yè)都致力于打造內容完備、成熟可靠，得到大量實際應用的智能網(wǎng)聯(lián)汽車信息安全系統(tǒng)，并能夠提供系統(tǒng)性的解決方案。

 圖片來源：360

展望：方興未艾，企盼人才
       滲透測試作為維護信息安全的一個重要途徑，其對人才的需求量很大，而且這些工作不僅僅是在獨立的安全公司，像微軟這樣的大型科技公司也都有完整的內部滲透測試團隊。
       北卡羅來納州立大學的IT職業(yè)部門調查發(fā)現(xiàn)，僅2020年就有16,000個職位缺口。不過，需要注意的是，滲透測試和漏洞分析師的職業(yè)軌跡雖然有許多共同的技能，但漏洞分析師專注于應用程序和系統(tǒng)在開發(fā)中或部署之前發(fā)現(xiàn)安全性漏洞，而滲透測試人員則是探測活躍系統(tǒng)。與許多需求旺盛的技術安全崗位一樣，滲透測試員可以獲得可觀的薪水。Infosec Institute 對美國各區(qū)域的薪酬和職位做出了很好的概述：總體而言，大多數(shù)滲透測試人員的預期工資都比較高。這顯然是一份非常有潛力、也很有趣的工作。
       維護信息安全被不斷提及，但是據(jù)智聯(lián)招聘調查，我國近年高校教育培養(yǎng)的信息安全專業(yè)人才僅5萬余人，而信息安全相關人才總需求則超過100萬人，缺口高達95%，并且這一需求每年都在成倍增長，人才短缺的問題也成為了掣肘產業(yè)發(fā)展的一個重要因素。
       隨著滲透測試被不斷提及，智能網(wǎng)聯(lián)汽車信息安全的重要性開始凸顯，滲透測試也將促進汽車信息安全系統(tǒng)更快速地完善和落地。在完善與落地前夜，蓋世汽車將于2022年3月17-18日舉辦2022中國汽車信息安全與功能安全大會，了解產業(yè)趨勢，明確發(fā)展方向。

（轉載）