肖枫:汽车网联安全或成为产品差异化竞争核心
6月21-22日,2017中国安全产业峰会暨首届汽车安全产业论坛(ASC2017)在北京召开。道路交通安全历来是各类生产安全事故的重灾区。在不断完善被动安全系统的同时,尽快加速发展智能主动安全技术,对于解决交通事故高发的问题,减少人员的伤亡具有重要意义。
本届峰会由中国安全产业协会、车载信息服务产业应用联盟以及车云网联合主办。特邀数百名国内外主管机构领导、专家、行业大咖探讨全球汽车安全技术、产业发展趋势和商业模式,围绕“政策与监管”、“ADAS及自动驾驶方案”、“商用车安全”、“UBI保险”、“电动车安全”、“网络信息安全”、“数据安全”、“电动车共享”、“人工智能”等话题展开讨论。
核心提示:
斑马汽车工程副总裁肖枫发表了以《互联网汽车安全信息威胁分析》为主题的演讲,他表示,智能化、网联化、电动化功能的加入会给汽车安全带来一定挑战,整个安全能力会成为汽车差异化竞争核心的价值,因为没有人愿意为自己的生命安全付出代价。同时他还说道,从汽车互联安全分析的角度来说分为云、管、端三个层面,这也代表了互联网汽车安全的整条链。他认为,只有融合构建互联网汽车整个安全防护的生态,最终才能达到真正的互联网汽车的安全。除此之外,建立安全体系也是十分有必要的,这其中包括产品安全的体系、软件安全的体系、硬件安全的体系,当这些体系建立之后,大家才能真正享受互联网汽车带来的乐趣。如何建立安全体系?他认为,应往两大方向去发展,一个是从被动的安全防御,另一个是一个主动的安全防御。并且他还强调,“这是一个持续的过程,并不是做一次就结束的过程”。
以下为演讲实录:
大家好!我是来自斑马的肖枫,今天主要给大家介绍一下互联网汽车的安全防护,大概主要是一些可能的安全问题以及防护的策略是如何的。
因为今天讲安全作为主要的话题,所以我这边主要介绍斑马在安全方面主要做了什么。因为汽车目前从传统的机械化往电机化,智能化、网联化,自动化这些方向发展,新能源、电子化的汽车产品也越来越多。智能化就是让大家每天都能体验到你的车变得越来越聪明,然后网联化,基本上现在车都在往联网的地方去发展,刚才好多嘉宾已经谈了,大家希望过了几年以后你坐在车里面可以享受着音乐,打着游戏,这是一个发展的整个方向。
但是大家在发展方向愉快的同时,安全也在有巨大的挑战,这些业务的加入会带给汽车安全一些挑战,整个安全能力会成为汽车差异化竞争核心的价值。因为如果来把这些业务引进了汽车,它带来了危险大家都会后退,没有人愿意为自己的生命付出这些代价。
我们目前斑马做的是互联网汽车,从一些术语的定义来说,我们可以看作广义性的车联网,比目前的车联网更往一个广的方式去发展。我们在汽车的一个整车好多点上面列了好多一些可能被引起攻击的一些落地点,主要的大概因为对这方面都有了解了,主要通过一些接触物理攻击,可以通过汽车ACE口进行攻击,也可以通过手机,现在这些好多都发生了,你在停车场别人通过无线的方式来侵入到你的车里。还有最著名的总线攻击,也通过车的总线进行攻击,还有一些ECU,包括车辆性车感知系统的攻击。也就是说任何的设备只要连接了网络攻击的可能性就会加倍,这些大家都能够感知到,这是目前车联网安全就会形成这些很多攻击点。
车联网比较狭义,一般它会在一个车厂的私网里面,和公网之间基本是隔离的。如何走向互联网化过程就指整个汽车的联网都会在公网上。这也就是互联网汽车一个最漂亮的地方,从安全分析的角度来说,从三个层面,云一个层面,管一个层面,端一个层面,云也就是我们在最上面整个互联网平台连入的CP/SP,包括最主要的互联网汽车平台,还有一些是额外的。额外的就是你可以通过我们的汽车作为热点来上网,上你自己喜欢的各种网络,所以大家可以看见,整个服务会非常的复杂,它比以前的车联网领域扩张了很多以前没有加入的一些新的服务。
然后再从最下面一层是各种物理上面能够连入车的各种途径,可以通过wifi、蓝牙、USB、4G、GPS各种可能性的无线互联都可以连入我们的车里面。同时下一步整个车会和家里面的整个智能家庭都可以连,也就是说你的车可能离开家比如说5公里,从你车的仪表上面或者中控上面就会显示你家里面的温度可能比较低,通过一种方式把空调打开,把温度起来,预示着下一步都在往前走。但是这些所有带来变化的过程中都隐含着安全性的考虑,这些大家都是可以理解的。在左边和右边这些是可能被侵入的点,比如说远程升级、各种应用,你的手机,还有各种LD的设备。右边是汽车本身的一些组件,这些点都是整个互联网汽车安全防护面上所需要做的工作。
云、管、端是整个互联网汽车安全的整个链。然后我举了三个例子,看看目前一些黑客如何通过这三个层面来侵入到汽车引起的一些安全事件。这有一些大家可能都知道,第一个是从云的角度,Nissan的Leaf,应该在去年它的手机APP因为有漏洞然后导致,实际上通过APP的应用发现了TSP云接口的安全漏洞,然后导致通过这个,它就可以控制你的车。因为这个例子Nissan把他所有的后台全部暂停了,引起了整个服务的停顿,这是一个非常典型由于云上面的设计有漏洞导致的安全攻击。
第二个部分是大家非常著名的克莱斯的Jeep,他的安全自由光事件,由于安全的问题克莱斯应该招回了大概有30万的车,因为安全全部被召回,因为每个车都通过4G链接网络,但是运营商的网络对接入的每一个车需要隔离。但是这部分Jeep就没有做得特别好,所以导致黑客可以从一辆车侵入了到另一个车里面,就通过隔离的缺失,通过运营商网络来接入。进入了另一辆车了以后,通过暴露的DBUS接口命令接入,最后通过攻击CAN总线实现破坏,这是非常典型由于管线上的漏洞导致了安全的侵入。
Tesla是典型端的问题。Tesla在车机端通过wifi的页面,本地的网络解析里面存在漏洞,它的权限没有控制好。这样导致在本地端,它相当于绕过了多重安全性,完整性的角页以后侵入本地端,作为达到汽车总线的破坏。
然后这边是互联网汽车一个安全防护的生态,因为斑马是一个做互联网汽车,所以我们对安全的理解并不仅仅是从某一个安全产品,我们更从一个防护的生态来做这件事情。安全不光是一个产品来做,它需要有技术,它需要加标准,它需要加管理,它需要加行业,只有融合构建互联网汽车整个安全防护的生态,最终才能达到真正的互联网汽车的安全,才能让真正互联网汽车的车主放心的去享受目前互联网上所有的一些业务。所以我就列了一下大概大的防护生态里面具体的一些细节,比如说安全产品,安全产品可以是端上的安全加固,然后包括检测和风控的一些安全运行,包括安全的通信和安全的隔离,目前有好多安全的产品都需要尽快的把它融入到互联网车的云、管、端每一个层级上面。同时我们必须要建立安全的标准,我们必须要形成,因为这是一个生态不是一个独立的点,我们必须在互相的安全包括ECO级,每一个点都能够有一种标准,互相之间互联互通这样达成安全的标准。同时我们需要有一种方式来去验证这种标准,这种产品,结合在一起能不能和它标榜的一样那么安全,所以需要建立安全的攻防实验室,能够无时无刻的甚至通过众包攻防的方式来攻击产品和标准,看看能不能达到安全的目标,如果达不到需要进行改进。这是一个相当于时时不停改进的过程,而不是一次做完的过程。
安全的体系有产品安全的体系、软件安全的体系、硬件安全的体系,当这些体系建立之后,大家才能真正享受互联网汽车带来的乐趣,不用担心它的危险。
具体说一下体系的建立过程中我们在一步步怎么走,我们目前主要是从两个大的方面来走,一个是从被动的安全防御,另一个是一个主动的安全防御,从两个角度在往前迈进。然后被动的安全就相当于是我们需要尽快的把一些安全的产品,包括云平台的安全防御,网络端的安全防御,终端的安全防御尽快的做好,把那些安全的产品迅速的运用起来,把他们作为车规划,尽量用到车上,让大家能够用起来。然后最右边这些是渗透安全的防御,我们需要尽量的多做,这样让大家在不停的成长过程中,安全的体系也是不断迭代更新的。
这是主要介绍被动安全防御我们目前在做的,斑马在努力做的一些事情,一些产品和服务。但是刚才我反复强调了这是一个持续的过程,而不是一次做完就结束的过程。一般就是说道高一尺魔高一丈,我们需要不停的努力,这是相互的过程。所以整个应用我们在做APP的加固,因为手机上有应用可以对车进行控制,现在车的一个钥匙慢慢会变成手机上的一个小功能,大家就不用再带钥匙了,带个手机,手机就是你的车钥匙,而且比较容易的会克隆成多个钥匙,你可以授权给很多权去用,甚至比你物理钥匙更安全。因为它里面关键的IP每次都会在变,而你买了一个车以后固定的物理钥匙它是不变的。
被动防御是相当于你攻击已经产生的时候得去防御这些攻击,但实际上做得更漂亮一点,就某种情况会更有效的是你要有主动性,怎么能够在防御发生之前你已经感知到防御的产生,然后你做相应的一些处理来防止攻击产生。这是大家最希望,也是未来的趋势,就像你生病的时候生了病才吃药,但是你已经生了病了,大家都在做保健,早上做运动,吃什么保健餐,为什么?实际上在做主动的防御,希望这些事情不要发生,不是真正的生病。这一样,对安全来说也是类似一些理念,所以这个我们建立在整个阿迪的网络安全动态感知技术上,我们做了车规级的一些改进。这个比较复杂,实际上总体的理念来说,我们可以判断车你在运行的分分钟钟,是不是有人在企图做一些操作,这些操作不是常规的一个驾驶员正常操作的时候产生的这种行为,我们在做大数据的分析,分析这种模式会不会是一种潜在可能的攻击,包括以后这些都会对你产生影响。
你开车的时候,比如说你今天身体不舒服或者有什么问题,你操作的行为和你普通时候的行为是不一样的。然后它会通过一种方式来提醒你,一种服务来帮你不要到最后那一点产生危险。所以这就是整个云端网络的安全事态的一些感知。在这一点上,我们目前还做的不多,目前主要是依托与阿里本身的整个网络安全事态的一个基础,在一步步的把车相关的一些安全算法,感知的一些能力加上去。后面会做得越来越好,这就是一个大看板。实际上在运行的时候,每一辆车你都可以从大看板上看出它的一些行为是不是正常,是不是有可能在被攻击,然后相应的做出处理。