【端点安全】汽车黑客是真实的 - 汽车行业的网络安全

Chinese, Simplified

84%的汽车工程师担心他们的系统跟不上威胁。

 

Illustration of a car protected by identity management

今天的车辆无可否认是复杂的,工程师正在努力确保每辆车的安全性都能保持新功能。

Forescout估计“现代汽车中的软件超过1亿行代码” - 比航空电子软件大15倍。这意味着黑客有很多入口点,无论是通过移动应用,手机网络,互联网接入,车辆的控制器局域网(CAN)总线,甚至是车载诊断端口。

“今天的车辆无可否认是复杂的,工程师正在努力确保每辆车的安全性都能保持新功能。”



2019年的Synopsys和SAE研究显示,84%的受访汽车专业人士担心他们目前的网络安全计划无法跟上他们所支持的技术。更糟糕的是,近三分之一的受访者表示他们没有相关的网络安全计划或团队来解决这一问题。

随着消费者期待新的硬件,软件和内容在旅途中受到娱乐和了解,开发人员很难兼顾越来越多的优先事项 - 并且在这种复杂的环境中创建有效的解决方案。

这篇文章深入探讨了汽车专业人士面临的具体,不断变化的风险,并提供了三种避免它们的具体策略。

汽车黑客:一个不断增长的目标



几十年来,无线电和人类对话足以招待司机。今天,无论地点和通勤时间越来越长,我们都希望保持联系。现代汽车配备车载信息娱乐(IVI)系统和导航系统,可访问各种第三方应用程序甚至车载互联网和WiFi接入。这为破口提供了更大的表面积。

扰乱某人的娱乐可能会令人讨厌,但如果黑客利用该入口点进入制动或转向,后果可能会很严重。

这不仅仅是一种可能性,最近黑客闯入了两个GPS跟踪应用程序(ProTrack和iTrack),获得了对个人数据的访问权限,能够实时监控车辆位置并停止引擎。因为所有客户都被分配了123456作为默认密码,被称为“L&M”的黑客告诉Motherboard他能够通过应用程序的API蛮力“数百万用户名”。尽管“L&M”是在获得奖励之后,再加上提高对漏洞的认识,但主板确认他可以通过一次触摸在多个国家造成交通拥堵(并且可能是事故)。

“扰乱某人的娱乐可能会令人讨厌,但如果黑客利用这个切入点来进行制动或转向,后果可能会很严重。”





在另一个案例中,由于API上的认证执行不力,安全研究人员能够侵入日产Leaf的配套应用程序NissanConnect,远程控制气候设置,耗尽汽车电池,并监视最近旅程中的数据。

用户熟悉锁门或隐藏贵重物品的需要,但他们对汽车现在需要的网络安全工具不太熟悉。这为工程师和CTO提供了通过提供安全用户可信赖来区分其产品的机会。

在不断发展的行业中改善网络安全



没有一个通用的解决方案,但关键领域的变化可以提高用户安全性。

1.实施威胁检测。



您越早收到威胁或可疑活动的警报,您就会做出更好的反应。

这说明了建立强大的入侵检测系统的重要性。 Auth0提供异常检测,提供强力检测和突破密码检测,可以帮助保护ProTrack和iTrack客户免受L&M的黑客攻击。

Auth0 Anomaly Detection view in the dashboard

使用Auth0,管理员可以在其仪表板中轻松设置异常检测的首选项。您可以快速了解系统中的可疑活动,立即接收警报,并设置阻止恶意访问尝试的控件。

IVI,浏览器和互联网访问的引入都扩大了车辆的攻击面,为黑客提供了更多的方法来隐藏他们的攻击。

黑客不会留下破碎的窗户和空的控制台。如果没有快速查看威胁的系统,它们就会隐藏起来,数据可能会暴露在外,并且公关灾难可能会增加。如果你没有及早发现瑕疵,类似的车辆可能会同样容易受到攻击。

2.创建更简单,更安全的登录。



许多现有的汽车已配备远程启动功能,但用户可以远距离控制的功能范围只会随着汽车连接的增加而增加。

用户可以远程执行的操作越多,黑客就越能获得访问权限。具有容易被盗的凭据的远程接口存在危险的漏洞。

凭借价值22美元的设备,北京的研究人员能够偷偷摸摸地延长钥匙扣的有效射程,说服他们靠近的汽车。通过欺骗钥匙的信号,他们能够在驾驶员不知情的情况下进入车辆。即使是由广泛的安全团队和加密密钥支持的特斯拉Model S,也可以使用克隆的密钥卡对安全研究人员进行控制。

在被黑客攻击的日产Leaf的情况下,安全研究人员只用挡风玻璃上的VIN控制汽车的功能。

提供应用程序和在线访问门户的汽车公司和第三方技术提供商可以通过更严格的身份验证措施来保护其客户。多因素身份验证(MFA)和生物识别等功能可以帮助保护访问权限,并阻止黑客寻找快速方式。

例如,使用多因素身份验证,用户需要的不仅仅是他们的名称和密码才能登录.Access需要额外的凭据,例如语音片段,指纹或移动设备。 Auth0 Guardian简化了跨设备的身份验证,可以保护您的系统,同时保持良好的用户体验。

Auth0 multi-factor authentication MFA option views

Auth0 Guardian通过消除对一次性代码的需求,使多因素身份验证变得简单。相反,管理员只需点击按钮即可下载应用程序并批准登录请求。当您处理大量登录请求时,Guardian会使该过程更加高效,因此您可以专注于开发和分发新功能。

除了在访问后监控其行为之外,在登录时确认用户身份至关重要。没有这层保护,不诚实的用户更容易进入系统并造成严重破坏。

3.确保您的安全解决方案是可扩展的。



车辆,如移动设备,在旅行,连接和重新连接时会冒险。

一些用户希望将手机,平板电脑和计算机连接到他们的汽车界面 - 进一步扩大切入点。当他们停放在餐馆,露营地或加油站时,他们可能还想将他们的汽车连接到本地WiFi网络。有些车甚至提供内置WiFi热点。安全需求不仅会随着新功能的发生而发生变化,还会带来新的使用方式和地点。

随着您的公司和用户群的发展,拥有可以适应的基础架构非常重要。

为了能够在汽车行业保持活力,您的威胁检测,身份验证和身份管理系统必须足够灵活,以支持您的业务目标转变。您的技术应该使您的成功,而不是阻碍您的进步。

外包身份提供商可以承担与不断变化的标准和威胁同步的负担。当您的IT团队忙于日常运营时,可能很难创建满足您当前需求的系统,并且还能够根据未来的优先级进行转换。

Auth0为其合作伙伴提供100多种预先构建的规则和扩展(以及编写原始代码的能力),使您可以根据需求的变化定制用户管理系统。

Auth0 User Management System graphic

 

规则可以丰富用户配置文件,在发生特定登录时通过API通知其他系统,拒绝访问白名单用户等等。 有关完整列表,请参见此处。

推动前进:与能够应对不断变化的威胁的系统合作



OAuth设备流程是一种新兴的标准,用于保护云端API,而车载系统等设备可直接覆盖。 当访问他们喜欢的流媒体服务时,此流程用于验证客厅中的人,坐在电视机前的沙发上。 OAuth Device Flow还允许我们简化任何具有输入约束的设备的身份验证,例如没有内置浏览器或键盘,例如车载信息娱乐系统。

Illustration of a car velocity and acceleration panel

随着越来越多的汽车系统公开用于远程访问的API,使用现代身份验证功能(包括威胁检测和多因素身份验证)保护这些入口点至关重要。在基于Web的应用程序中实现时,这些功能提供了经过验没有浏览器和有限输入功能的车载系统如何利用这些功能?设备流程提供了一种标准机制,用于将基于浏览器的身份验证扩展到受输入约束的设备,允许用户通过辅助设备(如智能手机)登录其帐户。这提供了一种安全便捷的方式来确保合适的用户可以控制。

这个协议可以分层为许多能够为“智能汽车”提供动力的API吗?现在和将来可以为汽车行业提供哪些选择,以提供更安全,更智能的驾驶体验?我们已准备好帮助您解决可能性。

联网车辆为黑客提供了明确的目标。考虑到软件的数量和复杂性以及对新功能的不断增长的需求,保护这些系统可能看起来令人生畏,但您无需单独解决这些问题。

通过正确的工具和策略,您可以阻止网络犯罪分子,为司机提供安全的车辆,并使您的公司在竞争激烈的领域中脱颖而出。

关于Auth0



Auth0是身份即服务(IDaaS)的全球领导者,为每个市场领域的数千名客户提供他们的网络,移动,物联网和内部应用所需的唯一身份解决方案。其可扩展的平台每月无缝地验证和保护超过25亿次登录,使其受到开发人员的喜爱并受到全球企业的信赖。该公司位于华盛顿州贝尔维尤的美国总部以及位于布宜诺斯艾利斯,伦敦,东京和悉尼的其他办事处为其遍布70多个国家的全球客户提供支持。

 

原文:https://auth0.com/blog/car-hacking-and-cybersecurity-in-automotive-industry/

本文:http://pub.intelligentx.net/node/508

讨论:请加入知识星球或者小红圈【首席架构师圈】

SEO Title
Car Hacking is Real - Cybersecurity in the Automotive Industry