隨著汽車產業迅速轉型為智慧移動生態系統,網路攻擊的複雜性和規模也在不斷增長,新興的威脅包含連網車輛的漏洞、生成式人工智慧(GenAI)降低威脅攻擊者的門檻、攻擊型態日趨多樣化,以及深網與暗網中的威脅。
連網車隊、電動車充電站和基礎設施、物聯網設備和行動服務的興起,提供攻擊者更多攻擊面。加上GenAI的日益進步,使黑帽駭客能夠比以前更快、更有效地實施大規模攻擊。
根據Upstream Security發布的《2024全球汽車資安報告》,我們可以發現以下趨勢:
1. 從實驗性攻擊到大規模攻擊的轉變
汽車領域的網路攻擊性質發生了顯著變化。過去零星的實驗性攻擊現已演變為大規模且具影響力的攻擊。到2023年,可能影響數千至數百萬行動資產的高規模事件數量比2022年增加了2.5倍。這一轉變顯示出攻擊者能力的增強以及汽車生態系統內部漏洞的增多。
嚴重的網路攻擊,例如OEM或一級供應商的勒索軟體攻擊,導致業務營運中斷或生產延遲;數據洩漏或侵犯隱私的事件也是最常見且代價最高的。隨著商業車隊營運商,例如汽⾞租賃、物流和送貨公司等,越來越依賴網路和軟體進行車輛管理,其網路安全風險倍增。此外,遠端更新比實體更新風險更大,因為無線通訊為大規模網路攻擊打開了大門,這些攻擊可能會同時影響多輛⾞輛,甚至整個⾞隊。
2. GenAI 的雙面刃
有鑑於汽車產業的競爭優勢將繼續受到數位轉型的推動,導入生成式人工智慧(GenAI)為大勢所趨。GenAI既為資安防禦工具提供了新的契機,也為攻擊者開啟了大門,降低了進入障礙。透過利用大型語言模型(LLM),威脅行為者可以快速識別漏洞,並學習如何利用它們執行和自動化複雜的網路釣魚攻擊,產生令人信服的虛假內容(社會工程),並創建可以適應和逃避偵測系統的惡意軟體。其適應性和效率使其有可能繞過傳統網路安全措施而成功地發動大規模攻擊。
API攻擊特別容易受到 GenAI的威脅。攻擊者可以利用GenAI來探索API文檔,並針對後端伺服器發動攻擊,導致資料竊取或拒絕服務攻擊。這些攻擊可能來自生態系統中任何與API通信的實體,包括車輛本身、充電站、行動應用程式和第三方應用程式等。為了防範GenAI帶來的新攻擊方法,應提早部署先進的偵測、調查和解決能力。
3. 攻擊型態日趨多樣化
隨著連網車輛的普及,其複雜的軟體架構使得網路攻擊風險大增。車聯網系統、汽車API和支援基礎設施中存在的漏洞,可能被用來遠程控制車輛和竊取敏感資料,對安全和隱私構成重大威脅。
根據Upstream Security針對2023年的攻擊事件分析,95%的攻擊是遠端執行的,其中85%是長距離攻擊(如基於API的攻擊)。這些攻擊依賴於Wi-Fi、藍牙、3G/4G/5G網絡連線,可能同時影響大量車輛。
後端伺服器和資訊娛樂系統的攻擊事件急劇增加,伺服器相關事件在2023年增長至43%,比2022年高出8%,常見的例如黑帽攻擊者利用後端伺服器中的漏洞攻擊行駛中的車輛。而資訊娛樂系統的攻擊也從2022年的8%倍增到2023年的15%。
EV 充電基礎設施也是攻擊者的主要目標之一。除了網路威脅可能中斷充電過程,與各種充電攻擊相關的新威脅也持續增加,包括車輛到充電網路、電網到車輛和電網到車隊。充電器容易受到實體和遠端操縱,使電動車用戶面臨詐欺、資料外洩甚至勒索攻擊的風險。隨著EV逐漸普及,確保這一關鍵基礎設施的安全性至關重要。
4. 深網和暗網日益興起
深網和暗網已成為汽車網路活動的溫床。威脅者利用這些平台共享知識、工具和策略,顯著增加了攻擊的規模和影響。2023年的統計顯示,與汽車和智慧移動生態系統相關的深網和暗網活動增加了156%,64%的網路攻擊是由黑帽駭客實施的。
根據Upstream Security的分析,針對深網和暗網中的汽車網路安全活動進行研究,其中針對300個最活躍的威脅參與者,發現近一半的活動(48%)針對多個OEM或汽車供應商,而非單一OEM/汽車製造商。監控和減輕來自這些地下網路的威脅,將是未來汽車資安專業人士的重點工作之一。
安全設計與多層次資安防護
除了遵循車輛安全設計原則,進一步部署主動式的多層次資安架構,以保護車輛在其生命週期中的每個階段是必要的。可以使用多種安全解決方案,包括端點安全、網路安全、雲端安全、API安全以及內部分段技術等。
例如,利用汽車雲端技術,偵測範圍可以擴展至廣泛的移動資產和網路威脅,包括車輛遠端資訊處理、OTA更新、遠端命令和診斷等。這種技術還能透過跨車輛、應用程式和其他連網服務的全車隊安全視圖,識別多車輛攻擊。
原始設備製造商(OEM)和充電點營運商(CPO)應持續深化網路安全風險評估並部署網路安全解決方案,以保護戰略性的電動車充電基礎設施。隨著網路威脅的不斷演變,產業必須保持警惕和適應性,確保連網和自動駕駛車輛的安全性和可靠性。
Reference: https://upstream.auto/reports/global-automotive-cybersecurity-report/