新思科技:車聯網產業的起點是安全

全球正在經歷新一輪科技革命和產業變革，汽車智能化、網聯化、電動化和共享化的發展趨勢日益顯著，智能網聯汽車的市場規模預計將會逐步提高。車聯網產業鏈條長，不只是關乎制造業，還涉及到軟件、通信領域的融合應用，對于促進相關產業的協同創新具有重要戰略意義。車聯網安全存在“木桶效應”，軟件供應鏈任何一環、用戶側手機應用、云服務等出現薄弱點，那駕乘人員和廠商的安全都將受到威脅。

在中國，融合創新的車聯網產業生態基本形成，相關領域通力合作，以實現車與車、云、人、路的互聯。其中，安全是智能網聯汽車發展過程中不可撼動的底座，是車聯網產業駛向未來的起點。

車聯網提速，系牢 “安全”帶

隨著消費者對汽車特性和功能的期望不斷提升，汽車正在從單一的封閉系統空間轉變為“帶輪子的智能設備”。汽車行業正在擴展成為互聯生態系統中更大的一部分。舉個例子，一輛網聯汽車上配備了許多接口，可以連接到云、各種網絡應用、OEM后端、OTA平臺，以及其它車輛和車主的移動設備甚至家庭設備。這使得車輛的攻擊面和應對潛在威脅所需的保護措施從單個車輛擴展到更大的生態系統。

新思科技中國區軟件應用安全業務總監楊國梁表示：“保障駕乘人員的安全始終是汽車工業的最高目標。近年來，隨著智能網聯汽車先進功能越來越多，集成度、復雜性增加，安全問題開始凸顯，由功能安全引發的自動駕駛事故比例逐漸增多。所謂功能安全，即電控系統失效故障導致的不合理安全風險。其根本原因在于汽車代碼數量激增帶來的安全缺陷呈指數級增加。以后每輛汽車都是移動的計算中心，直接后果就是代碼的成倍增加。今天可能是數千萬行代碼，未來自動駕駛可能需要3億到5億行代碼。任何故障和漏洞都可能導致汽車功能失效甚至危害到人身和財產的安全。因此，汽車行業已經開始從‘Safety First’（人身安全至上）轉向‘Safety and Security First’（人身安全及軟件安全至上）。”

現在，網絡攻擊已經不再局限于點和面。供應鏈安全的重要性日益凸顯。

聚焦開源應用，網絡安全“不掉鏈”

什么是供應鏈攻擊？軟件供應鏈攻擊是一種面向軟件開發人員和供應商的新興威脅。目標是通過感染合法應用，分發惡意軟件來訪問源代碼、構建過程或更新機制。尤其是隨著開源應用無處不在，智能網聯汽車企業要充分掌握軟件中的開源信息，包括安全性、合規性、許可和代碼質量風險等，才能制定更加完善的網絡安全計劃，有效防止供應鏈攻擊。

新思科技最新發布的《2023年開源安全和風險分析》報告(2023 OSSRA)顯示，96%被審計的代碼庫包含開源代碼。其中，航空航天、汽車、運輸和物流行業100%包含開源代碼，而且63%的代碼庫中包含高風險漏洞。此外，數據還顯示，2018年至2022年五年間，該行業的開源代碼占比增長了97%。

在對抗軟件供應鏈攻擊時，軟件物料清單(SBOM)應該是首選武器。SBOM旨在幫助管理開源和第三方代碼的使用，提供對應用“成分”的可視性，并標準化信息通信方式。除作為文檔或記錄的基本功能外，新思科技還建議用戶將SBOM視為一個管理系統或者工具、實踐和過程。用戶應該具備溯源意識來識別開源組件，然后將這些組件映射到漏洞數據，以開展高效的供應鏈風險管理。

安全 + 合規，車聯網產業穩步發展的前提

無規矩不成方圓。每個行業的健康發展都離不開標準規范。

智能網聯汽車和自動駕駛汽車領域已經出臺或者正在制定相關法律法規及行業標準，以保護人身安全和隱私數據，包括ISO/SAE 21434，還有OpenChain項目汽車工作組發布的ISO 5230標準等。在中國，工信部印發的《車聯網網絡安全和數據安全標準體系建設指南》提出到2023年底，初步構建起車聯網網絡安全和數據安全標準體系。國內首部推動車聯網發展的地方性法規——《無錫市車聯網發展促進條例》于2023年3月1日起施行。

這些法律法規對汽車的信息安全和網絡空間安全系統管理提出監管要求，有助于推動整個汽車產業安全性的提升。

在面對落地新標準的挑戰時，新思科技建議智能網聯車企至少做到以下五點：

1.在企業內部開設新崗位或者明確新職責，更改流程/任務，以制定專門的合規計劃

2.建立網絡安全活動并部署自動化工具，提升安全測試效率和準確性

3.從小型試點項目開始，在推出前獲得團隊及管理層認可

4.與產品團隊互動，收集反饋并進行改進

5.借助軟件安全構建成熟度模型(BSIMM)等評估，與行業實踐對比，持續改善安全計劃

新思科技首席汽車安全策略師Dennis Kengo Oka博士表示：“整體的網絡安全文化以及是否具有專業技能的軟件安全人員決定了智能網聯汽車企業的核心競爭力。在企業內部構建和部署相關的網絡安全政策、流程和程序以及培養必要的網絡安全能力通常需要時間。車聯網產業對專門的網絡安全人才和可信軟件安全工具的需求只會有增無已。值得注意的是，雖然有許多可用的安全技術解決方案可應用于汽車產品，但由于成本、便利性、交付時間的壓力、缺乏安全技能或適當的風險理解能力，這些解決方案并未得到應用。因此，相關企業更需要的是安全思維模式，將軟件安全內置到流程中，并將適當的安全技術解決方案應用到開發的產品中。”