进入2023年，跟着咱们踏上边际核算的旅程，大多数(假如不是悉数)职业都在数字化层面上开展。但轿车职业正在阅历另一个层面的技能创新。联网轿车产量的添加、新的主动驾驶功用以及使轿车能够主动泊车和主动驾驶的软件的鼓起，都是席卷轿车职业的数字化开展的模范。

　　依据 AT&T 2022 网络安全洞悉 (CSI) 陈述，  75% 的安排方案施行边际安全革新，以协助减轻影响轿车、货车、车队和其他联网车辆及其制作商的危险。而且有充沛的理由。

　　在网络进犯方面，这些轿车功用和前进为网络犯罪分子供给了一系列新时机。要挟行为者以多种办法瞄准轿车职业，包含久经考验的实在办法和新的进犯前言。

　　在本文中，您将了解进入 2023 年轿车职业面对的 8 大网络安全要挟，以及该职业能够采纳哪些办法来避免要挟。

　　近年来，针对轿车职业的网络进犯数量呈现了惊人的激增。这种针对车辆的网络进犯的新盛行，是由于与几年前比较，现在道路上联网车辆的数量急剧添加，以及车辆网络黑客常识和东西的激增。经过广泛衔接的无线网络，数据搜集的添加产生了进犯向量，从OEM后端服务器到车辆电子操控单元(ECU)，乃至是信息文娱单元的蓝牙功用

　　跟着轿车越来越多地装备衔接功用，长途要挟更有或许产生。最近的一份陈述显现，82% 的针对轿车职业（包含消费车辆、制作商和经销商）的进犯是长途进行的。此外，一半的车辆偷盗触及无钥匙进入。

　　轿车制作商、经销商和顾客在轿车网络安全方面发挥着重要作用。但跟着职业持续选用互联技能，安排采纳积极主动的网络安全办法将变得越来越重要。

　　提到轿车要挟，黑客运用许多办法来盗取车辆和驾驶员信息并导致车辆功用呈现问题。接下来，让咱们讨论一下本年轿车职业面对的 8 大网络安全要挟。

　　长途无钥匙偷车贼越来越遍及，由于有了新的技能办法来解锁和发动车辆。此外还有用于操作车辆的东西和技能，这些东西和技能随后在互联网上出售。因而，轿车偷盗和轿车闯入已成为曩昔10年网络事情的首要影响要素。轿车被盗时，车主除了要接受苦楚之外，轿车稳妥公司还负责处理丢失，并为许多轿车被偷的司机付出费用。这一现象在许多国家已经成为一个严峻的问题，由于它也标明，它的影响是当今轿车国际最深化的问题之一。从数量上看，轿车偷盗和入室偷盗占该职业事端总数的四分之一以上。除了上述偷盗轿车的频率外，2019冠状病毒病还导致了车辆偷盗的添加。2021年前9个月，仅在美国洛杉矶就有17195辆轿车被盗，创下十多年来年度被盗车辆最高纪录

　　作为最杰出的要挟之一，无钥匙轿车偷盗是轿车职业的首要关注点。今日的钥匙扣使车主能够经过站在车辆邻近确定和解锁车门，乃至无需实体钥匙即可发动轿车。

　　启用无钥匙发动和无钥匙进入的轿车简单遭到中间人进犯，这种进犯能够阻拦轿车与遥控钥匙自身之间的数据衔接。黑客运用这些体系经过诈骗组件以为它们就在邻近来绕过身份验证协议。然后进犯者能够在不触发任何警报的情况下翻开车门并发动车辆。

　　跟着全球向环保技能转型，电动轿车正变得越来越盛行。充电站答应电动车车主在公共泊车场、公园乃至他们自己的车库等便当地址为车辆充电。

　　当您在充电站为电动轿车充电时，数据会在轿车、充电站和具有该设备的公司之间传输。该数据链展现了要挟行为者能够运用电动车充电站的多种办法。歹意软件、诈骗、长途操作，乃至禁用充电站都是黑客运用电动车充电站基础设施的办法的比如。

　　近年来，针对轿车职业的网络进犯数量呈现了惊人的激增。这种针对车辆的网络进犯的新盛行，是由于与几年前比较，现在道路上联网车辆的数量急剧添加，以及车辆网络黑客常识和东西的激增。经过广泛衔接的无线网络，数据搜集的添加产生了进犯向量，从 OEM 后端服务器到车辆电子操控单元(ecu)，乃至是信息文娱单元的蓝牙功用。

　　现代轿车需求超越 1 亿行代码才干运转。大部分代码都进入了车辆的固件和软件，支撑导航、USB、CarPlay、SOS 功用等。这些信息文娱体系还为犯罪分子翻开了通往轿车 ECU 的大门，危及生命并危及对车辆的操控。

　　制作商需求留意许多代码缝隙，而且跟着信息文娱体系持续变得愈加杂乱和精细，将会发现更多缝隙。

　　另一种影响轿车职业的常见进犯类型是旧式的暴力网络进犯。轿车职业中衔接和主动化的车辆和企业面对的许多要挟，与常见的云安全要挟类似 ，但这并没有下降它们的损坏性。

　　暴力进犯是针对网络的久经考验的实在网络进犯，意图是破解凭证。在轿车职业中，暴力进犯或许会产生深远的影响。制作商、经销商和一切者都或许成为此类进犯的受害者。当凭证遭到损坏时，整个体系很简单成为杂乱进犯的方针，终究或许导致固件毛病、大规模数据走漏和车辆偷盗。

　　黑客获取进入方针网络的凭证的另一种办法是经过网络垂钓等社会工程学进犯。进犯者将向轿车公司员工发送一封电子邮件，他们在其间假充受信赖的发件人，并附有官方外观的 HTML 和签名。有时进犯者会直接要求供给凭证，但一般情况下，进犯者会在电子邮件中放置一个带有歹意代码的链接。

　　当接收者点击链接时，歹意代码被履行，网络犯罪分子能够在方针体系中自在周游，拜访敏感数据，并从内部进行进一步的进犯。

　　稳妥加密狗、智能手机和其他第三方衔接设备也对轿车职业构成网络安全要挟。这些售后商场设备直接衔接到车辆体系，为黑客供给了另一种主张进犯的办法。

　　关于那些想购买二手车的人来说，这种要挟也需求考虑许多。许多人挑选经过轿车经销商出售或买卖二手车，顾客能够在经销商那里找到二手车的买卖。联网设备或许会在轿车体系中留下歹意软件和后门程序，让下一位车主也面对危险。

　　勒索软件是当今科技领域最遍及的要挟之一。不幸的是，轿车职业也不破例。勒索软件对轿车职业 是一个严重要挟，包含原始设备制作商、顾客和经销商。历史上轿车职业遭受了屡次勒索软件进犯，原始设备制作商、一级公司和轿车服务供给商持续成为要挟行为者的方针。例如2021年2月针对亚洲原始设备制作商的进犯，DoppelPaymer 团伙要求用 2000万美元交换解密器。此外，在 OEM 能够处理该问题之前，客户有好几天无法购买车辆。另一起事情产生在2021年2月，其时东欧的一家轿车同享服务公司遭到勒索软件进犯，包含该公司客户在内的11万人的个人数据被走漏到一个在线黑客网站，并在一个在线暗网论坛上发布出售。被盗数据包含用户名、个人辨认号码、电话号码、电子邮件和家庭地址、驾照号码和加密暗码。

　　勒索软件进犯简直占了曩昔一年一切黑帽黑客进犯的三分之一。这些进犯一般以公司的IT服务器为方针，企图敲诈企业。尽管如此，有必要供认，假如他们能够拜访后端it服务器，他们也能够操控体系并促进对车辆的进犯。上述进犯损坏了美国一切OEM经销商的服务，以及OEM的链接应用程序、电话服务、付出体系和经销商运用的内部网站

　　要挟行为者能够绑架安排的数据作为人质，以交换大笔赎金。假如没有适宜的信誉维护服务，轿车企业或许会堕入财政窘境。这些进犯会影响 IT 体系和运营，并或许导致价值昂扬的停机。

　　轿车职业运用杂乱的供应链收购用于制作新车、进行修理和供给服务的组件。这个供应链给职业带来了巨大的危险，由于每个衔接的端点都是一个等候产生的缝隙。

　　现代轿车每辆车大约有 100个 ECU。其间许多都是由可信的Tier-1、Tier-2和外围供货商出产的。每一个都很重要，但每一个都有或许让黑客浸透内部体系，获取其他车辆的信息，拜访中心服务器，乃至损伤司机或乘客。在轿车职业，轿车原始设备制作商及其供应链公司和供货商或许难以遵从和办理产品的资料清单，无论是信息文娱体系仍是特定的ECU。因而，联网轿车的硬件组件中或许包含软件缝隙。这些供货商制作的部件会在OEM无法正确辨认缝隙来历的情况下进入车辆。即便顾客的确想要车辆部件的详细信息，追寻它们也将是一项艰巨的使命。

　　但供应链进犯也会涉及顾客。包含歹意代码的更新补丁能够推送到互联轿车，坏人能够损坏固件，歹意软件能够让供货商的运营彻底中止。在直接关系到顾客健康和福祉的问题上，顾客别无挑选，只能信赖轿车制作商和监管安排。一般情况下，原始设备制作商和联邦安排乃至无法取得深化的部件数据和它们构成的潜在要挟。例如，2021年1月，一名黑客成功侵略了一家欧洲一级巨子用于亚洲首要OEM轿车的信息文娱单元。他们发现了信息文娱体系的一个缝隙。经过刺进USB设备，他们能够取得体系的root shell拜访权限，并取得办理员拜访权限，以装置未经授权的软件。黑客发现，欧洲出产的信息文娱体系缝隙还或许影响到2015年今后出产的别的四款车型和商业车型。

　　此外，只在轿车职业运用的二级供货商芯片上发现了100多个缝隙。这些芯片终究被放入一级产品中，而一级产品又被放入车辆中。这些缝隙或许会影响多个OEM，由于一个一级供货商或许向很多OEM供给产品，而一个二级供货商或许为多个一级供货商供给服务。此外，在2021年8月，一份研究陈述发表，一家二级供货商已承认存在一个缝隙，答应进犯者取得对北美电动轿车OEM主动驾驶体系代码履行的特权操控。这种进犯包含解锁一个引导加载程序，一般对顾客禁用，用于实验室条件。这种进犯也适用于欧洲OEM的信息文娱体系，由于它也运用了二级供货商的硬件。

　　网络安全应该是整个轿车生命周期的中心方针。但相同重要的是，轿车制作商要进步网络安全专业常识，以监控道路上的联网和主动驾驶车辆。

　　美国国家公路交通安全办理局 (NHTSA) 最近发布了其引荐的现代车辆网络安全最佳实践，以协助加强车辆的底层数据架构并避免潜在的进犯。

　　他们表明，轿车职业应遵从美国国家标准与技能研究院 (NIST) 的网络安全结构，该结构侧重于五个要害功用：辨认、维护、检测、响应和康复。NHTSA 针对车辆的主张是依据了 NIST 结构，但却是专门针对轿车职业编写。

　　最终，联邦交易委员会 (FTC) 还拟定了针对联网和主动驾驶车辆的法规。依据新的保证规矩，经销商应在 2023 年 6 月之前满意其安排和车辆的网络安全合规要求。