在日前举办的第三届汽车行业无人驾驶及网络安全周(AutoSec China Week)上,来自产业链内的各决策层高管、技术专家齐聚一堂,分析探讨了汽车网络安全与无人驾驶行业的趋势变化、最新技术手段,以及当前行业内所面临的痛点和最佳解决方案。梆梆安全研究院院长卢佐华女士也在本届峰会的论坛上,分享了新技术应用下对智能网联汽车安全的思考。
图1:第三届汽车行业无人驾驶及网络安全周
随着全球工业、能源、IT等领域的发展变化,世界各国都在加紧对智能网联汽车的研究工作。有数据显示,智能网联汽车市场发展快速,预计到2020年L1、L2级自动驾驶的渗透率将达40%,到2025 年20%以上量产的汽车将有望实现不同级别的智能驾驶,而及至2040年很可能所有的新车都将配备自动驾驶功能,其中L4、L5级自动驾驶的渗透率有望达到50%。
梆梆安全研究院卢佐华院长认为,信息技术发展到今天,从硬件资源、系统平台、应用软件、网络连接等多方面来看,可以说已进入软件定义汽车的时代,软件代码已经成为一辆智能网联汽车建设发展的重要基础组成。因此,软件代码层面的安全漏洞、安全隐患挑战是智能网联汽车健康发展所必须要予以正视的问题。卢佐华院长表示,提升软件可靠性对于解决上述智能网联汽车网络安全隐患极为重要。具体到技术层面,则需要考虑采用静态分析技术实现对智能网联汽车内部操控程序代码高效地安全编程规则自动化检查。
图2:梆梆安全研究院卢佐华院长发表主题演讲
梆梆安全的静态分析工具能够通过优化流程管理的方式来保证将安全开发集成到智能网联汽车的软件开发生命周期(SDLC)里,并借助清晰的漏洞问题跟踪图示帮助智能网联汽车软件开发者找寻到更好的问题修改方案。高质量的分析则可以大幅度提升智能网联汽车的性能/质量/安全性,减少由于误报产生的人力资源浪费,大大减少开发浪费的时间和费用,高效的帮助开发工程师实现学习和能力的积累。
卢佐华院长提出,解决智能网联汽车的网络安全问题是一项综合性工程,除了要提升智能网联汽车的软件可靠性,还要降低智能网联汽车的软件运行风险,保护好智能网联汽车的固件程序安全。梆梆安全的固件安全检测平台能够自动化识别和分析智能网联汽车内部固件的安全性,通过对固件格式识别与智能解包、安全漏洞扫描、文件信息安全分析和组件分析等技术,自动化的实现固件安全检测和固件比较分析,检测固件中可能存在的安全风险和已知漏洞,避免因后门账户或恶意软件等引起设备控制权限的泄露,从而提高智能网联汽车固件的安全性。
此外,还需要基于大数据分析平台实现对汽车安全态势的实时感知,监控汽车行驶过程中的安全状态,监测车载终端的安全状态,通过持续的安全运营,抵御来着外界的恶意攻击,实现智能网联汽车的信息安全目标。
万物互联时代下,智能网联汽车的安全性考量已经延伸到网络空间,在大量新技术应用于智能网联汽车之时,更需要紧抓网络空间里智能网联汽车的安全本质,从程序代码层面即实现对智能网联汽车的安全赋能。
来源:freebuf.com 2019-09-27 11:15:27 by: 梆梆安全
请登录后发表评论
注册