複雜供應鏈讓汽車資安漏洞百出? VicOne完整服務打造最強防護機制
- 蕭怡恩/台北訊
-
透過聯網技術賦予車輛更多智慧功能,已然成為汽車業者強化市場競爭力、掌握產業商機的必要策略。不過在享受絕佳乘車體驗的同時,資安風險也隨之而來,由於車載系統與車輛駕駛及用路人安全息息相關,駭客侵入小則損及商譽,大則造成傷亡,因此強化資安防護機制已成為業者必須嚴肅面對的課題,在Lets Talk Online 2.0第五場線上資安議程中,VicOne資深產品經理Peter Yang就為與會者深入剖析最新的車用資安技術與產品策略。
過去汽車架構封閉,與外部系統的連結低,駭客可侵入的漏洞相對較少。如今,在汽車產業出現智慧革命後,整體情況已然不同。Peter Yang指出現在的汽車就像裝了四個輪子的電腦,並且與手機、智慧家庭、智慧交通…等系統的連結將愈來愈深,尤其在資訊發達的今天,駭入車載系統的門檻已快速降低,即便是非專業者也能在網路上輕易找到各種破解方式。
除了車輛本身的破口增加外,汽車產業特殊的供應鏈也給了有心人士大量機會。由於汽車的零組件需求龐大,且各領域的專業需求高,因此汽車的供應鏈廠商數量非常龐大。複雜且大量的供應鏈機制導致資安風險大增,近期汽車產業就出現多起嚴重的資安事件,像是汽車大廠Toyota因供應鏈廠商遭駭客攻擊,日本14家工廠因此停工,汽車供應鏈Tier 1大廠Denso則是因德國子公司的被侵入,資料因而外洩。這些資安事件都讓社會大眾對汽車的安全疑慮快速升高。
要降低車載系統被入侵的風險,業者必須「知己知彼」—釐清供應鏈與系統的破口、了解駭客的各種攻擊手法,對此VicOne已有前瞻的車輛威脅洞察能力。Peter Yang表示,VicOne是資安大廠趨勢科技的子公司,現已將母公司超過30年的產業經驗移轉應用於車載領域,提供車廠與產業供應鏈業者堅實牢靠的保護機制,藉此協助客戶打造安全與智慧兼具的汽車。
為提供全面的防護,VicOne將旗下的解決方案擴及車廠與供應商,該公司的車用資安服務包括可偵測被侵入可能性的滲透式測試(xScope)、弱點管理與惡意軟體後門掃瞄系統(xZeta)、入侵偵測與保護系統(xCarbon)、即時線上軟韌體更新(xSumo)、車輛資安中心偵測與回應平台(xNexus)等。
xScope的對應範圍非常全面,從元件、模組、系統、整車均可測試,在車用ECU入侵與保護部分,xCarbon不僅可偵測及抵擋最新攻擊,並打造兼顧安全與效能的車輛。xSumo相容於現行的OTA法規,符合最新的Uptane、UNECE WP.29與R156標準,並支援各式ECU以及EEA架構,可降低系統整合成本,此外OTA的事件回報機制與VSOC平台鏈結,可確保每一個更新動作安全性。xNexus是為車廠設計,可收集車載內部系統的各種資訊,從「點」串成「線」再形成「面」,透過無疏漏的資訊統合,掌握車載系統運作狀態,藉此觀察車輛的異常行為,以及在攻擊真實發生後釐清事件成因。
雖然資安防護已是汽車母廠以及所有相關供應商的必要作為,然而,如何跨出第一步始終困擾著業者。對此Peter Yang建議循序漸進完成四大步驟,這四大步驟依序是:
(一)、將產品交給VicOne進行滲入性測試,找出未知的潛在威脅。
(二)、整合既有資料測試VSOC(車輛資安監控中心)。
(三)、與VicOne團隊討論並規劃最適合的ECU IDPS方案,並實施POC來驗證可行性。
(四)、讓資安方案落地,在實際運作後,滾動調整、改善做法。
Peter Yang表示,除了訂定在階段計畫與目標外,業者也須找到合適的資安夥伴,VicOne不僅有豐富的資安經驗與汽車專業知識,同時也承諾長期支援,可為客戶提供強大助力,建構安全無虞的車用資安系統。
如欲回顧LetsTalk Online 2.0精彩議程,請至活動網站觀看影片。
