去年末,蔚来数据泄漏被勒索225万美元等额比特币事件,再度为智能汽车行业的安全问题敲响警钟。
尽管此次蔚来泄漏的数据并非出自车辆信息系统的漏洞,但随着汽车走向“新四化”,对外接口数越来越多的车辆被黑客攻击的概率大幅提高,近年来车辆因被攻击导致数据泄漏、行驶安全受影响的事件层出不穷。
2022年这一年,就有丰田汽车远程车载信息通信服务T-connect泄露近30万名客户的个人信息,还有特斯拉被19岁黑客入侵控制25辆特斯拉汽车的解锁车门、启动无钥匙驾驶、控制喇叭和灯光等操作权限。
另一方面,除了攻击事件与日俱增,智能汽车各种软件系统本身的安全,在各类自动驾驶相关的事故中也被打上了问号。
2021年,蔚来汽车半个月内接连发生两起致死事故,其中一起事故发生时,蔚来的自动辅助驾驶系统NOP处于被激活状态。此外,特斯拉、理想、小鹏都曾不同程度因自动驾驶事故引发舆论争议。
在智能汽车时代,信息安全与系统安全已然成为各大主机厂无法回避的责任。目前,智能汽车行业的安全建设水平如何?怎样建设完备的智能汽车安全保障体系?存在哪些难题和挑战?围绕这些关键问题,雷峰网开启智能汽车安全“十人谈”系列报道,尝试厘清智能汽车安全建设的思路及路径。
本文为该系列的第一篇,由国汽智控CEO&CTO尚进从汽车信息安全角度分享。
尚进是国内少数具备汽车和安全背景的从业者。他在清华大学汽车系本硕博连读,博士论文曾获“全国优秀博士学位论文”,他还是南加州大学计算机系硕士,先后在Sonicwall、飞塔、Juniper、山石网科等全球一流网络安全公司工作,被称为“安全圈里最懂汽车、汽车圈里最懂安全的人”。
“今天汽车的信息安全防护市场规模很低,说是0都可以,没有哪个主机厂真正来做建设。”尚进认为,尽管在业内推行全面的信息安全防护体系仍面临着重重阻碍,但信息安全和数据安全在今日无疑是保证智能汽车安全的刚需。
因自动驾驶域拥有车内最大、最复杂的软硬件系统,最多的对外连接与数据源,智能汽车的数据安全首要做在自动驾驶域,这考验着安全团队对防护对象——自动驾驶与智能汽车的了解程度。若以此为标准,目前国内大多数安全厂商、互联网公司都做不了车内信息安全。
尚进认为,安全可以从两个角度来看,其一是攻击和防护,另一为安全技术和安全平台。
安全平台也就是防护对象。从上世纪80年代第一代防火墙技术诞生以来,网络安全行业发展至今30余年,防护范围逐步扩大,从网络扩展到路由器、交换机和云端,如今最热门的防护对象则是智能汽车。
过去,由于汽车的智能化有限,汽车信息安全并非是个紧迫问题,汽车厂商也无需为此组建一支专业团队。新四化(电动化、网联化、智能化、共享化)的到来,颠覆了传统的汽车行业,新技术与汽车的融合,带来了行业新增长。
与此同时,也衍生出了新问题。汽车变得更加智能的另一面是,传感器、对外接口增多,采集到的个人数据和场景数据也成指数级增长,而配套的信息安全建设却极其滞后。
在这个背景下,越来越多的汽车厂商发生数据泄露、车辆被黑客控制的事故。与汽车信息安全相关的法规建设加速提上日程,对汽车厂商提出信息安全的合规要求。
监管之下,汽车信息安全建设不得不起步。尚进直言,由于缺乏积累,智能汽车的信息安全,与发展了30多年的黑客技术相比,简直是小巫见大巫。
所幸建设并非必须从零做起。
尚进认为,新四化将汽车演变成“四个轮子+一个数据中心”的形态,汽车从分布式电子电气架构走向集中式架构,新的产业链将基于“硬件——操作系统——应用”的模式,这些变化让汽车行业与ICT行业越来越相似,汽车的生态越来越像PC、手机。
“智能汽车跟企业网、数据中心的拓扑类似,里面的硬软件架构也差不多,处理器、软件提供的服务,以及也要访问云端的相似性,决定了攻击汽车和ICT行业的黑客是同一帮人、同一帮技术。”
他表示,智能汽车行业应该借鉴ICT行业,迅速搭建起信息安全防护体系和生态,比如车也要做边界,做处理器防护。实际上,无论车内通讯、车外通讯、安全服务(包括云安全、手机安全、应急响应等),在ICT行业都有成熟技术可以借鉴、移植。
既然已有较成熟的经验可以借鉴、移植,汽车信息安全防护体系的建立是否还存在其他难点与挑战?
尚进认为,技术的实现确实不难,但最大的挑战在于能否实现ICT行业经验与智能汽车的充分融合,这考验着安全团队对防护对象,即自动驾驶与智能汽车,是否有足够的了解。
以自动驾驶域为例,引入数据安全防护技术与体系后,应当保证整个系统依然达到车规级,以及自动驾驶的性能不受影响,而这需要安全团队真正了解自动驾驶,把数据安全放到合适的位置。
智能汽车与普通数据中心不同的一个特点在于,智能汽车的自动驾驶域是个非常强大的多级处理单元,采集到数据后,会对数据进行感知、规划、控制等计算处理,会产生新的数据,因此除了对数据进行全生命周期的防护和管控外,也需要对自动驾驶的全生命周期进行数据安全防护。
尚进的观点非常简单且直接:“如果以对防护对象的了解程度作为标准,目前国内大多数安全厂商、互联网公司都做不了车内信息安全,因为他们没有真正进入到汽车供应链体系。”
以下为新智驾与尚进的对话节选,新智驾做了不改变原意的编辑和整理。
Q:您的本硕博都是汽车工程专业,为什么后面又会选择做安全?
尚进:单从职业轨迹来看,我是2016年从网络安全圈转行到汽车圈,其中的跨度非常大,算是安全圈里转行最彻底的人。
这其实有赖于我在学生时期打下的基础,本硕博10年,在清华大学读的正是汽车系,师从管迪华教授。
那时候,我对机械类课程谈不上喜欢,本科时期甚至曾有转系的念头。但坚持在汽车系读下来,我逐渐体会到了推导、试验验证、理论提升这个科研过程的魅力。
为了体验更具创新性的科研,博士期间,我选择了汽车动力学理论里最需要研究和最具挑战性的轮胎力学作为研究方向,毕业论文主题是“利用模态参数对轮胎纯侧偏特性建模”。在这篇论文中,我推导出了新的基础计算模型,并成功计算出了多个经典试验成果。因为这些成就,我的博士论文后来入选了“全国优秀博士学位论文”。
博士毕业后,我到了美国计划做更深入的研究,但很快便发现美国在汽车研究上并不能提供比在清华时更优秀的科研体验,这让我决心去转变方向。
2001年,计算机专业非常流行,我转到南加州大学读计算机系,8个月后就拿到了硕士学位。毕业后,我加入美国网络安全公司Sonicwall,正式踏入了安全行业。
在而后的14年,我先后在飞塔、Juniper、山石网科等网络安全公司工作,设计和实现了分布式弹性云虚拟和物理防火墙,获得网联安全行业最著名的NSS-Lab评比测试综合第一名。
硅谷风潮涌动,我周围谈论自动驾驶和电动车的声音越来越多,逐渐意识到这股风潮中所蕴藏的机遇,所以我就当机立断回归到汽车行业。
2016年前后,为近距离接收最前沿的自动驾驶技术,国内车企纷纷在硅谷建立研发中心,这其中就有广汽研究院。当时广汽研究院的院长王秋景是我在清华的同门师兄,他找到我帮忙推荐广汽硅谷研发中心的负责人人选。几次引荐,王秋景院长都不满意,最后我接下了这个担子,创建了广汽硅谷研发中心,也顺势回到了老本行。
我为广汽硅谷研发中心设定了包括自动驾驶和信息安全在内的发展路线。实际上在加入广汽之前,我就已经在中国工程院院士李克强的提议下,为国内汽车信息安全建设提建议,开始全面研究智能网联汽车的发展和核心技术。
重回汽车行业后,我也主导了汽车信息安全首批国家标准《汽车网关信息安全技术要求》的拟定。
Q:网络安全行业整体已经发展30余年,而汽车信息安全才刚刚起步,您认为应该怎么做汽车信息安全?
尚进:我曾经总结了几点到今天依然适用的观点。第一,安全是a long journey that never ends,我是在参加黑帽大会时听到的,对这句话很有体会。道高一尺,魔高一丈,安全是永远做不完的。我算是有点改行了,但是我的很多朋友已经在安全行业工作了近30年,到现在都还在这个圈子里。因为安全本质上是跟人斗,人和人斗是无止境的。
第二,安全有两大维度,一个是攻和防,另一个是安全技术和安全平台。安全平台也就是防护对象,我们的防护对象不断发生变化,首先是网络、路由器、交换机,后来在云端,今天在汽车,但是安全技术维度没有变化,技术虽然越来越多,但它是一个叠加,而不是迭代,技术永远不会过时,旧工具到今天依然很有用。
从安全性来讲,还是传统技术拥有最明确的市场。现实中,占了80%的高频攻击,用传统技术就能很好防住,低频的是新的、更高级的攻击,遇到这类攻击事件几乎所有技术都无法实时防住。
第三,在安全行业,“不知攻焉知防”的说法很流行,但不够准确。实际上,攻击和防护是两拨人,两种思路,攻击就像是给一座楼“打洞”,从某种程度来讲,攻击方不需要对这座楼很了解,不断地攻击就能把楼打垮,找到漏洞;防护讲究纵深防御,就像盖楼,要形成一个很好的架构体系,得对防护对象本身很了解。我们很容易被攻击所吸引,但是防护才应该是核心,汽车安全也应该注意这一点。
汽车行业正在经历与ICT行业融合的过程。对于智能汽车的安全问题,最大的挑战在于对融合的理解不够,对自动驾驶和智能汽车的了解不够。如果以对防护对象的了解程度作为标准,目前国内大多数安全厂商、互联网公司都做不了车内信息安全,因为他们没有真正进入到汽车供应链体系,对自动驾驶和智能汽车的了解有限。
第四,刚刚已提到,遇到低频的高级攻击事件,所有的安全手段都防不住,所以不能为了做更多的安全防护而牺牲性价比,要讲究平衡。
Q:很多网络安全行业的理念都能为汽车行业所用,具体来看,汽车行业应该怎么借鉴其他行业已有的经验?
尚进:从智能汽车的发展来看,智能汽车正在演变成“四个轮+一个数据中心”的形态,比如车本身就有边界、有内网、有对外连接。
什么叫数据中心?一个典型的数据中心是,物理上很大的服务器,中间高速网路沿,又有很多指向各地的小执行器,智能汽车在往这个方向发展,特斯拉就是这样。抽象来看,智能汽车的拓扑其实跟企业网、数据中心的类似,里面的硬软件架构也差不多,处理器、软件提供的服务,以及也要访问云端的相似性,决定了攻击汽车和ICT行业的黑客是同一帮人、同一帮技术。
黑客技术已经发展了30 多年,但智能汽车的安全防护才刚刚开始,就像是一个成年人对小学生,这怎么办?我刚刚在讲安全的维度时已经提到,安全平台在变,但是安全技术没有变化,这种情况下很多安全技术都是可以移植使用的,所以我们应该借鉴ICT行业迅速地把车的防护体系建立起来。
从另一个角度来看,智能汽车使用的安全技术战略、产品与ICT行业的几乎没有变化,就谈不上是创新,依然在红海里。
Q:近几年智能汽车的信息安全问题越来越受重视,您怎么看待这个趋势?
尚进:几年前,黑客攻击汽车其实是很丢人的事情,技术那么厉害,却去攻击没有防护的车辆,你觉得这值得炫耀吗?信息安全圈有个特征,安全是讲究成本的,没有攻击方就不需要做安全。实际上,传统车辆或者现在一般的智能车都没有攻击价值,因为车辆里面没有什么值得攻击的东西。所以尽管汽车信息安全的概念很早就有了,但是这个市场一直很差。
现在情况变了,因为自动驾驶的发展,以及数据安全问题越来越受重视。去年,国内乘用车L2级别辅助驾驶的装机量将近30%,车辆上有了更多的功能、摄像头和传感器,每天采集惊人的数据量。
另外一点,车是高速移动的,每天会开很多地方,而且摄像头是主动采集数据,个人不知道自己什么时候被拍下,政府也不知道哪个地点会被拍下,敏感数据非常多。这些特征使得数据安全变成汽车信息安全,甚至是整个信息安全行业最大的热点和刚需。
很多人都会混淆“数据安全”这个词,其实“数据安全”包含了两个概念,一个是security,一个privacy。现在大家谈论的更多是privacy问题,比如个人和地方的隐私保护,这不是数据泄露的问题,而是数据管理的问题,哪些要上传,哪些要脱敏,哪些要加密等等。针对数据安全,在ICT行业也已经有很成熟的技术,可以借鉴移植过来。
Q:做汽车的数据安全,技术可以移植,那么是否还有需要克服的难题?
尚进:这需要先回答一个问题,车内数据跟哪个零部件或者功能关系最大?是自动驾驶,因为大部分数据都是围绕着自动驾驶转的,所有的摄像头都是为自动驾驶服务的,自动驾驶是我们车内最大、最复杂的一个软硬件系统,有着最多的对外连接,也是最容易被黑客攻击的。那么讲车内的数据安全,首要是做在自动驾驶域,反过来讲,做自动驾驶就一定要做数据安全。
数据安全技术本身没有难度,最大的难度是怎么和自动驾驶融合。大概来讲,自动驾驶包括感知、规划、控制,在这几大流程都可能会有数据安全的问题,怎么把数据安全很好地融合进来是一个难题。
Q:在车内数据安全方面,国汽智控现在合作的主机厂有哪些?落地周期多久?
尚进:现在上车的有比亚迪、长安、广汽、上汽等主机厂。跟主机厂的开发周期,也就是我们共性产品落到不同车型上的额外开发周期,其实不需要多长时间,一两个月就可以出来。由于产品以软件为主,本身也能够在上车之后进行功能升级,以及分级分类数据库升级。
车内数据安全建设,是两个行业的融合,大多数情况是我们的客户对安全不懂,我们更多是引导主机厂,主机厂一般不会对具体的技术提出质疑。
Q:除了向供应商采购数据安全产品,会有主机厂选择自建团队做这块的研发吗?
尚进:有些车企可能会说参与进整体的产业链建设,但很少车企会做安全技术开发。一方面是安全技术已经很成熟,另一方面是融合的挑战很大,有门槛,需要对两个行业都懂,这样的人才太少了。另外,自己做的性价比也不高。
Q:数据安全得到空前重视,汽车信息安全的市场应该有所改善,现在整体的市场规模有多大?
尚进:实际上,不能说市场改善很多。安全属于纯成本支出,车主不会买单,主机厂对此的预算不高,也注定主机厂不会真正投入做建设。搭建完备的信息安全防护体系,也牵扯到产业链上众多的供应商,做起来很麻烦。目前,业内普遍的做法是使用开源的代码来搭简单的防护手段。
现在,市场大的反而是更吸引人的攻击测试产品,防护产品的重视程度比较低。从这点来看,今天的汽车信息安全防护市场规模很低,说是0都可以。
Q:主机厂用开源代码做安全防护,但是车辆的研发周期较长,进入量产后很难再做代码升级,会出现量产之后代码过时、防护手段失效的情况吗?
尚进:用开源的代码,就要符合开源的体系,一定要有升级的本事,这就牵涉到一体化和操作系统。那么升级的是什么,是应用,这就需要一个坚固的、不需要经常升级的操作系统,这也是国汽智控在做的。以数据安全为例,数据安全核心引擎做得坚实,但是数据安全的分级分类库是可以升级的,不能割裂开。
Q:如何打造一个系统性的汽车信息安全防护体系?
尚进:建立起完整的汽车信息安全防护体系还需要全产业链的参与,而非具体某家安全厂商所能为。
安全服务需要搭建共享的漏洞库与应急响应体系,也就是“打补丁”。任何防护技术都不能100%避免被攻破,所以我们有时候最强大的依赖是打补丁。打补丁的要诀之一是快速,出现漏洞后,要能够在短时间内在全球的计算机里进行更新,这是安全防护的最后一道屏障。
智能汽车同样需要实现这个功能,但在传统的供应链模式下,打补丁依然是个难题。以特斯拉和沃尔沃为例,特斯拉最好的车一两年前打补丁需要一个月以上,沃尔沃最好的车需要半年。
冗长的时长来自于汽车的供应链体系。漏洞出来后,主机厂需要定位到具体哪个供应商的软件,通知其更新,再上传、测试,整套流程下来耗费数月的时间。在信息安全领域,这是绝对不能接受的。
所以我建议,汽车的产业链都应该融入信息安全的防护体系中,软件供应商连接上漏洞库,向上与主机厂建立快速的OTA更新机制,实现以天数计算的更新。
因为经常宣讲汽车信息安全,我偶尔会提醒对话人,国汽智控并非一家做汽车信息安全起家的公司,而是自动驾驶操作系统tier 1.5。
我把国汽智控提供的数据安全和信息安全产品视为自动操作系统不可或缺的组成部分,数据安全与信息安全是保证智能汽车安全的必要条件,这也是国汽智控开发相关产品的出发点。
没有数据安全就没有智能汽车安全,安全永远不是商业的风口,但会永远存在。
雷峰网 雷峰网(公众号:雷峰网)