软件定义车队面临网络安全的曲折之路

当以色列 REE Automotive 设计其 P7 电动汽车底盘时,它是从软件开始工作的:扁平的车辆底盘完全可配置,每个轮胎附近有四个独立的模块,用于转向、制动、悬架和动力传动系统,每个模块均由电子驱动控制单元(ECU)可通过软件定制。

它具有线控驾驶、线控转向和线控制动以及数据收集即服务的功能,使该公司能够根据客户的应用定制车辆,但也有可能使该平台成为黑客的攻击目标。

该汽车技术公司的首席信息安全官表示,确保车队安全是一项重大工作,需要设计和开发团队、工厂车间以及联网车辆本身的网络安全。网络安全团队不仅要监控网络威胁,还要管理供应链、工厂运营技术(OT)以及用于监控和更新平台的车辆网络的安全。

担忧基本上分为两部分:我们的网络(支持平台的创建),但这还不够。 我们需要弄清楚威胁是什么,并通过我们的 SOC 对每辆车进行全天监控。

然而,此类安全工作还面临另一个挑战:“维修权”努力的成功开放了各种消费者和企业技术,允许客户修复他们购买的设备。例如,马萨诸塞州通过的一项法律要求汽车制造商和汽车技术制造商共享车辆产生的信息和数据,以便消费者和第三方能够维护、修理甚至改装他们的车辆。

虽然国家公路交通安全管理局 (NHTSA)最初裁定现有的联邦安全法规优先于法律 - 称“联邦法律不允许制造商销售其明知存在安全缺陷的车辆” - 州和联邦各国政府最终就实施达成了协议:监管机构裁定,汽车制造商将被要求向第三方提供在其拥有的车辆上本地访问数据和系统的能力,但远程诊断和更新网络可以保持关闭。

电动汽车带来巨大的灵活性和风险

该协议是否会帮助拥有大量车辆(尤其是电动汽车)的公司仍然是一个悬而未决的问题。软件定义汽车真正随着电动汽车的发展而腾飞,特斯拉的成功例子,最重要的基于软件的功能可能仍将保留在电动汽车上。

汽车供应链咨询公司表示,电动汽车制造商可以使用软件从初始设计开始构建自己的平台,这些软件可以更新以改变车辆的配置和性能,直至部署及其他阶段。

有效、快速响应网络安全事件的能力可能仍属于这些制造商,而不是第三方。

如果存在真正关键的零日漏洞,并且需要尽快修补,那么(汽车制造商的)产品网络安全团队就会主持这场演出,协调整个企业的利益相关者,并加快修补问题的时间表。今天这不是一个容易的过程,这是肯定的。

然而,一些制造商可能会将网络安全功能外包。联合国通过了一项产品安全修正案,要求联合国欧洲经济委员会成员国对车辆中使用的网络安全管理系统进行监管批准。

连接只会增长

车辆联网已有数十年历史,无论是作为车载维护系统还是驾驶员辅助系统的一部分。然而,软件定义的车辆已经扩展了这种连接性,例如通过智能手机应用程序远程启动以及跟踪消费者的有限诊断,本质上将汽车变成了物联网(IoT)设备。随着汽车制造商通过 API 提供更多的可访问性,更多的风险也会随之而来。

向生态系统开放可能带来最大的风险,”她指出特斯拉汽车的各种网络安全黑客攻击。 当原始设备制造商开始向其他第三方应用程序开放 API,这些应用程序现在可以向您的车辆发送命令时,会发生什么?……车辆正在成为技术中心。

允许公司访问其中一些数据以进行车队管理可能就足够了,而马萨诸塞州维修权法中的协议允许一些第三方提供车辆维修服务,尽管成本可能很高。随着 SDV 创新步伐放缓,这些限制未来是否会得到改善还有待观察。

对于 NHTSA 和汽车制造商来说,提出一些警告是公平的,但话虽如此,有一种安全的方式来共享诊断信息,并且软件定义的车辆实际上提供了一种通过这些安全通道来实现这一点的方法。

网络攻击大多数情况下不太可能造成灾难性的

汽车制造商最近对网络安全的关注在过去十年中带来了更加安全的平台。但奥勒表示,未来的重点需要放在提供安全保障上,同时为客户提供更高的透明度。随着企业客户和个人车主要求其设备具有更高的可维护性和可重用性,汽车制造商也需要跟进。

设计得当的平台还可以大大降低广泛网络攻击的风险。该公司已经为一些制造商处理威胁情报和事件响应,大多数事件与安全无关,但根据该公司的“ 2024 年汽车网络安全报告”,该公司确实将所有事件的一半归类为大规模或高严重性。

我们看到的绝大多数事件并不一定会危及安全,因为需要有一个理由来危及你的安全,而攻击者不会那样做,他们是为了赚钱。相反,该公司发现了很多针对可用性的攻击。他们操纵应用程序,让你无法在早上启动卡车或进入卡车。它可能是勒索软件,也可能是其他形式,但可用性和车队是必须讨论的问题。

其他攻击还利用叫车应用程序造成莫斯科交通拥堵,以及攻击远程启动应用程序。这些可用性问题与诊断系统(例如维修权所需的信息)关系不大,而与管理系统关系更大。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/306823.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Hadoop】下载安装及伪分布式集群搭建教程

目录 1.概述 2.环境准备 3.hadoop安装 3.1.下载安装配置 3.2.伪分布式集群 3.3.注意事项 4.Hadoop集群的组成 1.概述 hadoop有三种安装模式 单机模式,只在一台机器上运行,存储用的本地文件系统而不是HDFS。 伪分布式模式,存储采用HD…

LDF、DBC、BIN、HEX、S19、BLF、ARXML、slx等

文章目录 如题 如题 LDF是LIN报文格式文件,把这个直接拖到软件里面,可以发报文和接收报文 DBC是CAN报文格式文件,把这个直接拖到软件里面,可以发报文和接收报文 BIN文件烧录在BOOT里面(stm32)&#xff0c…

lua学习笔记21完结篇(lua中的垃圾回收)

print("*****************************lua中的垃圾回收*******************************") text{id24,name"仙贝"} --垃圾回收关键字collectgarbag --获取当前lua占用内存数 k字节 返回值*1024就可以得到具体占用字节数 print(collectgarbage("count&…

是时候将 DevOps 可见性扩展到网络边缘了

尽管部署前运行了大量测试,但在部署应用程序后,性能问题经常让 DevOps 团队感到困惑。经过进一步调查,最常被忽视的问题是应用程序本身的分布式特性。从多个位置访问应用程序的最终用户永远不会拥有相同水平的互联网服务,因此在纽…

Harmony鸿蒙南向驱动开发-Regulator接口使用

功能简介 Regulator模块用于控制系统中某些设备的电压/电流供应。在嵌入式系统(尤其是手机)中,控制耗电量很重要,直接影响到电池的续航时间。所以,如果系统中某一个模块暂时不需要使用,就可以通过Regulato…

OpenAI现已普遍提供带有视觉应用程序接口的GPT-4 Turbo

OpenAI宣布,其功能强大的GPT-4 Turbo with Vision模型现已通过公司的API全面推出,为企业和开发人员将高级语言和视觉功能集成到其应用程序中开辟了新的机会。 PS:使用Wildcard享受不受网络限制的API调用,详情查看教程 继去年 9 月…

java Web 中小企业门户网站用eclipse定制开发mysql数据库BS模式java编程jdbc

一、源码特点 JSP 中小企业门户网站是一套完善的web设计系统,对理解JSP java 编程开发语言有帮助,系统具有完整的源代码和数据库,系统主要采用B/S模式开发。开发环境为TOMCAT7.0,eclipse开发,数据库为Mysql5.0,使…

jenkins+sonar配置

安装插件 Sonar Scanner 用于扫描项目 配置sonar scanner jenkins集成sonar 1、sonar生成token 生成完保存好,刷新后无法查看 2、jenkins配置全局凭据 3、jenkins配置系统设置

Spring Boot集成Graphql快速入门Demo

1.Graphql介绍 GraphQL 是一个用于 API 的查询语言,是一个使用基于类型系统来执行查询的服务端运行时(类型系统由你的数据定义)。GraphQL 并没有和任何特定数据库或者存储引擎绑定,而是依靠你现有的代码和数据支撑。 优势 GraphQL…

蓝桥杯嵌入式(G431)备赛笔记——RTC

// RTC time// 声明一个变量 rtc_tick 用于记录上次 RTC 处理的时间 u32 rtc_tick 0;// 声明结构体变量 D 用于存储 RTC 的日期信息 RTC_DateTypeDef D;// 声明结构体变量 T 用于存储 RTC 的时间信息 RTC_TimeTypeDef T;// RTC_proc 函数,用于处理 RTC 时间 void R…

uniapp 开发小程序如何检测到更新点击重启小程序完成更新?

官方文档:uni.getUpdateManager() | uni-app官网 示例代码: const updateManager uni.getUpdateManager();updateManager.onCheckForUpdate(function (res) {// 请求完新版本信息的回调console.log(res.hasUpdate); });updateManager.onUpdateReady(fu…

一、flask入门和视图

run启动参数 模板渲染 后端给前端页面传参 前端页面设置css from flask import Flask, render_template,jsonify# 创建flask对象 app Flask(__name__)# 视图函数 路由route app.route("/") def hello_world():# 响应,返回给前端的数据return "h…

MariaDB介绍和安装

MariaDB介绍和安装 文章目录 MariaDB介绍和安装1.MariaDB介绍2.MariaDB安装2.1 主机初始化2.1.1 设置网卡名和ip地址2.1.2 配置镜像源2.1.3 关闭防火墙2.1.4 禁用SELinux2.1.5 设置时区 2.2 包安装2.2.1 Rocky和CentOS 安装 MariaDB2.2.2 Ubuntu 安装 MariaDB 2.3 源码安装2.3.…

数据结构:线性表————单链表专题

🌈个人主页:小新_- 🎈个人座右铭:“成功者不是从不失败的人,而是从不放弃的人!”🎈 🎁欢迎各位→点赞👍 收藏⭐️ 留言📝 🏆所属专栏&#xff1…

类和对象二

一、运算符重载 为了使自定义类型可以使用加减等运算符,CPP提供了一个功能叫运算符重载。 关键字:operator操作符 运算符重载最好定义在类对象里,这也可以避免访问不到私有成员的问题。 代码演示: 在类里定义之后,…

java包目录命名

包目录命名 config controller exception model common entity enums reponse request repository security service util

大数据之ClickHouse

大数据之ClickHouse 简介 ClickHouse是一种列式数据库管理系统,专门用于高性能数据分析和数据仓库应用。它是一个开源的数据库系统,最初由俄罗斯搜索引擎公司Yandex开发,用于满足大规模数据分析和报告的需求。 特点 开源的列式存储数据库…

2024年mathorcup(妈妈杯)数学建模C题思路-物流网络分拣中心货量预测及人员排班

# 1 赛题 C 题 物流网络分拣中心货量预测及人员排班 电商物流网络在订单履约中由多个环节组成,图 ’ 是一个简化的物流 网络示意图。其中,分拣中心作为网络的中间环节,需要将包裹按照不同 流向进行分拣并发往下一个场地,最终使包裹…

外观模式:简化复杂系统的统一接口

在面向对象的软件开发中,外观模式是一种常用的结构型设计模式,旨在为复杂的系统提供一个简化的接口。通过创建一个统一的高级接口,这个模式帮助客户端通过一个简单的方式与复杂的子系统交互。本文将详细介绍外观模式的定义、实现、应用场景以…

云原生(八)、Kubernetes基础(一)

K8S 基础 # 获取登录令牌 kubectl create token admin --namespace kubernetes-dashboard1、 NameSpace Kubernetes 启动时会创建四个初始名字空间 default:Kubernetes 包含这个名字空间,以便于你无需创建新的名字空间即可开始使用新集群。 kube-node-lease: 该…