在2018年9月13日這個充滿陽光的午后,來自哈曼智聯科技汽車網絡安全部門的商務拓展經理Masakazu Okuda與來自馭勢科技的聯合創始人、產品總經理周鑫先生,阿里云的安全高級專家鐘偉先生進行了小組討論,聊聊針對車輛信息安全未來的展望和趨勢。來自東軟車聯網安全研發中心主任、東軟網絡安全事業部產品總監陳靜相先生主持了會議。在這里分享一下來自哈曼智聯科技的Masakazu的采訪。
提問:信息安全從2015到2018年走了三年多,在中國很多車廠市場都起來了,在這個過程中,肯定有些困惑和實踐,能不能對智能網聯信息安全面臨的現狀和我們談談您的感受。
Masakazu:感謝您邀請我參加這次討論,我叫Masakazu,來自于哈曼智聯科技亞太區。過去三個月以來,我基本每個月都有半個月以上時間在中國,到過中國很多城市,也到日本、韓國、印度見過很多廠商。我感覺到整個行業對于汽車安全的意識在不斷提高,幾乎所有人都認識到對于汽車車載安全,我們必須行動起來,有所作為。這是我首先要跟大家傳達的一個信念,那就是意識非常重要。
到目前為止,作為哈曼來自于汽車網絡安全的團隊,我們都做了哪些工作呢?正是由于公眾意識不斷上升,許多顧客向我們尋求支持,才能讓我們提供更好的車載網絡安全服務,包括關于安全網絡架構的咨詢服務,創建相應的安全標準和車廠要求進行自我約束,我們很多案例都是如此。有些OEM也來找我們做咨詢,讓我們幫助他們制訂從0開始的整體汽車網絡安全設計規劃。
但是,我們也有一個切實的擔憂,那就是我們進展的速度還不夠快,要更快。因為自動駕駛、互聯互通的汽車正勢如破竹的發展,我們需要做好準備。當這些新的技術進入市場,當這些高度互聯的汽車真正上路的時候,我們是否做好了網絡安全的準備?這也是為什么哈曼的車載信息網絡安全團隊是最繁忙的團隊之一,這是我們在全球各地支持的實際案例。
提問:從我來看,其實很多車廠或多或少都在做一些安全防范的工作,有做咨詢滲透攻擊測試的,有做安全防護部署的,有關注智聯設備的,有關注整車的,形形色色的形態。我對現狀有一個看法,信息安全在汽車這個行業是比較陌生的或者是比較新鮮的一個事物。我們如河看待信息安全在車這個市場未來的模式會是什么樣呢?車廠能認同什么呢?安全和汽車業務結合這種商業模式怎么發展?
Masakazu:網絡安全的產品,尤其是針對車載網絡安全提供的的產品不會是一次性一勞永逸的,我完全同意這一點,這也就是為什么哈曼公司不僅提供車載的軟件安全產品,這些安全性產品還與我們的后臺服務器聯系起來,不停的進行系統和服務的優化,為什么我們要同后臺設備聯系起來呢?第一,高度可視化是十分必要的。屬于你的車正在遭受攻擊,而你一無所知,這將十分糟糕。我們希望的是不僅在車內有相應的防護措施,通過提高可視化,顧客也能夠實時、及時地感知自己所處的境況,并快速作出反映。第二,車載網絡安全的測試和產品是變化的、它是流動性非常強的產品,因此需要不斷更新數據庫,并提供持續的服務。
提問:聽完發言,我有個感觸,信息安全獨立作為產品,某種意義上說,它是辯證的,信息安全是任何服務必備的屬性,本身來說,跟業務的關聯性就很緊密,單獨拿出來做一個產品,這件事情對于原有業務的影響也好,或者對于OEM或者消費者也好,現階段來看都會是比較尷尬的角色。當然,我們想說信息安全其實是很大的一個課題,也不是任何一方做的事情,像今天邀請來的嘉賓有做無人駕駛的,有做OS的,還有哈曼這樣專業的安全供應商。我們這個安全生態應該怎么構建?包括怎么合作?我想聽聽您的理解。
Masakazu:談到如何建立一個生態系統促進大家合作,有兩個領域是值得我們注意的。第一是標準化,本月初在以色列特拉維夫召開了ISO大會,在ISO大會上,各國專家匯聚一堂,共同探討創造網絡安全全球標準。哈曼也派出了安全領域的架構師參與其中,為的就是能夠給標準化做出更多貢獻。我們認為標準化不僅對一家公司來說非常重要,而且對所有行業的人來說都非常重要,因為這樣做可以把大家擅長的技術領域的優勢貢獻出來,讓我們共同加速找到更多在真實車輛場景下對網絡安全威脅作出防御的手段。第二,需要拓寬應對安全威脅的維度,讓我們的防護面變的更全面,不論從智聯的角度,還是從IT后門的角度,從威脅可視化的角度。這也是為什么哈曼跟IBM之間開展了合作,我們的產品目前可以有效的同IBM系統連接,更好的提供信息安全的保障。在汽車行業,我們應該共同制定全面的應對措施,以確保當真正的威脅在未來自動駕駛時代出現時候能夠有所準備。
現場提問:談到網絡安全,除了車身本身安全以外,車與云端的連接,車與移動設備的連接,甚至是車與其它車之間的網絡連接安全,您有什么看法嗎?
Masakazu:經常有顧客找到我們,讓我們做安全設計。比如有顧客說我們想實現OTA升級,你得給我們保證OTA投送和升級的安全性。車身與網絡的連接也就是上網,首先要做的第一步就是車聯網的設計要做到最大程度的安全性。什么叫最大程度的安全呢?我們知道黑客們很厲害,他們總是能及時破解最新的安全加密措施,WiFi可以被破解,藍牙可以被入侵。怎么辦?在現有的技術范圍內,一定要采用當前市場上最高端、最先進的安全技術,尤其是在通訊技術方面。除此之外,我們還額外方案對網絡安全進行加固,比如說對于無線網絡連接,我們可以進行入侵檢測,除了標準的加密措施之外,我們還要采用國際一流的防護措施。但是,這些防護措施也不是萬能的,它們也依然可能被破解,但我們的要點不在于100%的阻止這些破解,而是在第一時間感知到這些潛在的惡意攻擊行為,以便快速的作出反制措施。這也是我所強調的,就是要實現多層次的防護。
現場提問:我們現在都在談信息安全,汽車上跟信息安全相關的一件事情就是OTA更新,請問每個主機廠、OEM通過OTA對自身車輛進行軟件Bug進行修復、功能不斷升級,會不會產生一定安全風險?需不需要納入政府監管?
Masakazu:講到OTA,我認為OTA更新對于網絡安全來說是必不可少的。當你的車正在遭受攻擊,IDS也癱瘓的時候,我們最后的解決方案就是根據系統報告,哪一個ECU被入侵了,就對它進行遠程升級、實現漏洞修復和打安全補丁,這就是為什么我們一直強調OTA和其它的網絡安全措施一樣都是必需的。哈曼的汽車OTA更新能力非常出眾,目前已經與19家主機廠合作,在3000萬汽車上實現了超過4000萬次更新,是目前全球部署應用最廣的OTA更新方案。
講到法律監管,我們必須先對OTA有一個統一的看法或者建立一個統一的標準,包括對車載ECU的更新等。OTA其實也是一種服務,比如故障修復或者問題修復。作為行業參與者來講,我們希望能夠促成從政府層面自上而下達成統一的規劃。最終將汽車網絡安全或OTA更新納入監管范圍內整體考慮
京公網安備 11010502049343號