车企纷纷建立「安全部队」,但仍需「基建」厂商打好基础。
2023 年,最不开心的汽车企业,很可能是韩国现代。并不是公司产销量下降了,而是旗下 KIA 汽车在北美的被盗量激增数倍。
原来,在短视频 App 上,「用一个 USB 启动 KIA 汽车」,已经成为年轻人单量挑战赛的一个火热项目,鉴于短视频在欧美有多火,可以想象韩国现代汽车的北美经销商头有多大。
如果说 KIA 汽车被盗还是青少年的恶作剧的话,随着新能源车逐渐开始转向「下半场」智能化,汽车越来越接近「带轮子的 iPhone」的状态。而在这时,这样一台可移动的大型「智能设备」的安全问题,开始逐渐浮出水面。
如何免除消费者在使用智能汽车时的安全恐惧,保护智能车内的数据和行驶安全,不仅引起了车企的关注,也让作为数据平台的云计算巨头开始思考,更好的解决之道。
2024 年 1 月 16 日,电动汽车百人会即将联合腾讯云发布《智能网联汽车数据安全年度洞察(2023)-企业免疫力建设》报告(以下简称「报告」),或许可以让人们一窥「智能汽车安全」的一些问题和解决方法。
车企成立「安全部队」
不论是新能源车还是智能汽车,中国目前都是当之无愧的领头羊。而在汽车智能化时代,数据的重要性和安全性,也已经成为中国车企的关注点。
相比于一般智能设备,智能汽车,尤其是具备智能驾驶功能的智能车,由于配备了大量传感器,每天可以收集大量车辆、用户和环境数据。数据等。上汽集团董事长陈虹根据相关研究机构数据估算,一辆自动驾驶测试车辆每天产生的数据量最高可达 10TB。
经过移动互联网「洗礼」过的消费者,对于数据隐私和数据安全的认识已经逐渐成熟。2023 年广州国际车展前夕,《广州日报》发起了一项调研,显示 43% 的用户会把信息安全/隐私安全纳入了购车的首要考虑因素。
消费者所关心的,也是车企需需要看重的。事实上,包括、蔚来、上汽、东风等新老车企,都已经开始对智能汽车的安全领域有所投入。除了在团队内部数据安全部门,车企们也在积极和外部团队和组织协作,来确保数据安全。
当然,作为刚刚成为行业关注的话题,车企们在数据和安全保护上,能做的还有很多。
在上文提到的「报告」中,电动汽车百人会联合腾讯安全对车企提出了几个关于安全的重要建议:
- 车企在边界安全、端点安全、安全运营上已初步建立管理和防护体系,而在数据安全治理和应用开发安全上仍有较大的提升空间;
- 监管对企业研发、生产等数据的分类分级未提出明确要求,导致重要数据划定和识别与部分具体业务的贴合度不高;
- 受到汽车数据安全需求驱动,云厂商、传统老牌安全厂商均开始布局汽车信息安全相关业务,专注于汽车安全领域的初创企业也持续涌现。汽车产业作为国民经济的重要支柱产业,产业链长、关联度高、带动性强,未来,在汽车大数据产业发展的带动下,汽车安全防护有望处于安全技术产业的领跑位置。
「基建」云厂商发力,构筑安全体系
针对当下智能车在数据和安全领域的挑战和难题,腾讯作为安全和云计算平台,从云原生、公有云、私有云等多个方面,谋求构建起一个智能汽车安全层面的基础设施。或者,用腾讯安全团队的说法是,「三道防线」:
1 基础安全能力
腾讯一体化汽车安全防护解决方案可帮助车企快速构建起基础的云原生安全防线。在公有云安全方面,腾讯打造了云原生安全防护体系,可全面检测、防御和处置公有云存在的安全隐患,并对安全事件进行技术回溯分析,强化车企自身的安全防护体系建设。
针对私有云安全,打造了以 SOC 为中心的自适应云原生安全方案,能深度检测车企内部潜在风险和面临的外部攻击,并为主机厂提供及时的安全警告。同时可对海量数据进行多维度分析、及时预警并智能处理,实现全网安全态势可知、可见、可控,建立集团化视角网络安全监测与协调指挥能力。
2 车联网安全
腾讯的车联网安全检测平台可以帮助车企实现车辆各零部件上线前和后续迭代的合规检测,解决车企对车辆零部件系统的软件资产统一管理难题,自动化、全方位审计系统安全风险,保障车辆安全基线。
在车辆研发阶段,遵循安全开发生命周期(Security Development Lifecycle)、安全左移(Shift Secu- rity Left)理念和原则,腾讯大力支持车企尽早进行安全介入和安全管控。腾讯 DevSecOps 解决方案整合应用开发安全编码规范、安全设计要求、软件成分管理等最佳安全实践,帮助车企全面提升应用的安全韧性。
在测试验证阶段,腾讯安全科恩实验室研发的系统安全审计平台 sysAuditor,支持系统级安全基线审计、漏洞审计、开源许可审计,捕获攻击链、敏感信息等安全威胁,帮助车企减少威胁处理成本、提升测试人员安全水平、打造安全竞争能力。
3 业务安全
腾讯车联网安全运营中心可为车企提供一站式、可视化、自动化的车联网安全运营管理。当安全事件来临时,安全运营中心帮助车企构建统一监测和威胁检测体系,针对实时用户风险操作和数据泄漏等威胁,搭建检测机制,并实现统一检测和全局管理;在安全事件爆发后,安全运营中心构建了完整的响应处置体系,对安全事件进行及时阻断和配置加固,从而确保事件可溯源。
对于营销风控中存在的黑产风险,腾讯可为车企提供全路径多点防控营销安全方案。同时通过专属的安全风控模型和 AI 关联算法,快速识别和拦截恶意请求,从而精准打击羊毛党。还可根据风险评估,自行定义对应的处理机制,确保真实用户获得更多权益,大幅提升主机厂回收数据的真实性、运营的有效性并形成完整的营销闭环。
事实上,腾讯构建的这套智能汽车安全解决方案,来自多年来和包括宝马、丰田、特斯拉等超过 20 家整车厂合作的经验而来。
早在 2016 年,腾讯安全科恩实验室曾经利用安全漏洞,对特斯拉 Model S、Model X 实行远程攻击,实现了对特斯拉驻车状态和行驶状态下的远程控制。后来的美国黑客大会上,腾讯团队又找到特斯拉智能驾驶系统 Autopilot 的漏洞,再次突破特斯拉的安全屏障。
这只是一个例子,事实上腾讯和宝马、奔驰、上汽等大公司不仅有安全上的合作,更有共同打造联合实验室等经验。
腾讯云安全总经理李滨认为,对数据的保护应该是企业所有安全工作的价值原点,而要实现数据的保护,车企需要从边界、端点、应用开发、安全运营、数据安全治理等各个维度建立起全面、主动的数字安全免疫力。
