【物联网整车网络安全资产分析】
随着数据成为全社会的生产要素,数据流动治理也成为被关注的热点问题。我们看到23年上半年的数据安全处罚记录中包含多个数据跨境、违规公开、用户信息泄露的典型案例。从数据生命周期管理的角度而言,大部分企业拥有数据存储、员工数据访问、泄密的治理能力,但对应用数据传输的管控较为薄弱。
数据流动治理在「治」而不在「防」,需要在顶层的理论框架指导下分步骤实施,同时数据的可见性也依赖应用基础数据的采集质量与分析方式,与运维可见性如出一辙。
通过API窃取数据、绕过权限与业务流程进行 “批量注册”等行为将直接导致业务损失。这也是API安全建设相比传统Web安全的明显差别之一——更加关注数据流动、业务行为的治理而非单纯漏洞视角的技术问题。理解业务、赋能业务对安全团队来讲存在很大的挑战,然而安全建设有机会掌握更多的底层基础数据,对这些数据的分析、加工更有利于理解业务行为,放大技术团队的价值。
整车网络安全资产分析奠定安全基石
随着智能网联汽车技术的发展,整车所处的车联网环境越来越复杂,需要保护的资产越来越多,涉及到的威胁点也越来越多。
车辆本身涉及到的核心资产比较多,比如T-Box、IVI、智能座舱、汽车网关、车载计算平台等。基于以上任核心资产,都有多种方法破坏其安全属性,造成不同程度的影响。比如,通过系统或软件漏洞获取IVIroot权限,破解IVI与T-Box或网关的通信,进一步实现控制ECU。
网络安全专家花无涯表示:也可以监听车辆与云平台的通信,实现远程控车。移动终端APP可以让车辆用户更方便快捷地控制车辆,用户可以通过控车APP实现获得车辆的位置、跟踪车辆轨迹、打开车窗和车门、启动引擎等操作。控车APP几乎成为新一代车辆的标配,但也成为引入汽车行业中的一个风险因素。控车APP涉及到第三方提供服务,应用本身代码的漏洞、与平台通信过程中的漏洞、APP的接口调用漏洞等均可以成为攻击向量。
花无涯表示,为了可以更好的保证智能车联网的链条基础安全,识别整车资产信息是首位的。整车网络安全问题的来源是信息的交互,通过梳理通信边界、整车拓扑结构、信息交互场景以及车辆相关功能列表可以识别出核心资产。
