转自helpnetsecurity,蓝色摩卡译

Upstream Security的2020年《汽车网络安全报告》分享了深入的见解和统计数据,这些数据来自对过去十年中367起公开报告的汽车网络事件的分析,重点是2019年发现的漏洞和见解。

 

与汽车相关的网络安全事件激增

“随着汽车行业攻击的迅速增加,OEM和智能移动提供商需要对威胁形势有广泛的了解和清晰性,以帮助他们设计适用于其车辆和云环境的适当安全体系结构,”

Upstream Security副总裁Oded Yarkoni说。 “我们的年度汽车网络安全报告显示,整个行业面临的威胁是真实的,而且越来越普遍。”

《 2020年汽车网络安全报告》介绍了2019年AutoThreat Intelligence研究团队的一些关键发现以及该行业未来使用的解决方案:

互联汽车已在接管:3.3亿辆汽车已联网,美国市场上的顶级汽车品牌表示,到2020年,只有联网自动汽车将被出售。仅此一项事实增加了每次攻击的潜在破坏力。大规模袭击可能会破坏整个城市,导致灾难性的损失。

汽车网络安全事件的数量急剧增加:自2016年以来,年度事件的数量增加了605%,仅和去年比较,一年就增加了一倍以上。

大多数事件是由罪犯执行的:2019年,有57%的事件是由网络罪犯进行的,以破坏业务,窃取财产和索要赎金。仅有38%是研究人员的结果,其目的是警告公司和消费者发现的漏洞。

在所有事件中,有三分之一涉及无钥匙进入攻击:在过去十年中,前三大攻击媒介是攻击候进入系统(30%),后端服务器(27%)和移动应用程序(13%)。

从汽车公司到消费者,每个人都受到影响:

 

在过去的十年中,智能移动系统中的每种类型的公司都受到了影响。这包括原始设备制造商,车队,远程信息处理和售后市场服务提供商,以及乘车共享服务以及财产和私人信息被盗的消费者。

三分之一的事件导致了汽车盗窃和入侵:过去十年中,事件的前三大影响是汽车盗窃/入侵(31%),对汽车系统的控制(27%)以及数据/隐私泄露(23%)。

2019年的绝大多数事件都涉及远程攻击:2019年的事件中有 82%涉及短程和远程远程攻击,这些远程攻击不需要物理访问车辆,并且可以在世界任何地方进行。

意识在提高:列出了更多的汽车漏洞,迄今为止已列出了66个CVE。随着企业越来越多的汽车公司采用漏洞赏金程序来发现漏洞,该漏洞赏金程序在企业信息安全中非常流行。

这些漏洞赏金猎人向发现漏洞并将漏洞报告给所有者公司的研究人员(白帽黑客)然后提供补偿。此外,政府官员和消费者要求法规和法律保护他们免受汽车领域的网络犯罪的侵害。

业界正在采用多层安全性方法:这涉及新的法规和标准,设计安全性,车载和基于云的汽车网络安全解决方案,以及将SOC扩展到VSOC(车辆安全运营中心)以进行早期检测和快速修复。