近三分之二的汽車行業(yè)領(lǐng)導(dǎo)者認(rèn)為�����,他們的供應(yīng)鏈容易受到網(wǎng)絡(luò)攻擊�����。人們對聯(lián)網(wǎng)汽車�、軟件更新和車與車通信的擔(dān)憂巨大�,被認(rèn)為是未來兩年最大的汽車網(wǎng)絡(luò)安全挑戰(zhàn)。本文介紹了汽車行業(yè)存在的重大網(wǎng)絡(luò)安全問題以及保護(hù)汽車供應(yīng)鏈的方法����。
近三分之二(64%)的汽車行業(yè)領(lǐng)導(dǎo)者認(rèn)為,他們的供應(yīng)鏈容易受到網(wǎng)絡(luò)攻擊��,許多企業(yè)沒有為互聯(lián)汽車時(shí)代做好充分準(zhǔn)備���。這是根據(jù)卡巴斯基對汽車行業(yè)至少1000名員工的大型企業(yè)C級(jí)決策者進(jìn)行的200次采訪得出的最新研究結(jié)果��。它揭示了汽車公司在生產(chǎn)的幾乎每個(gè)階段——從廠商到供應(yīng)商——遭遇的廣泛攻擊��。
信息娛樂系統(tǒng)及其連接���,蘊(yùn)含著最大的網(wǎng)絡(luò)安全問題
軟件提供商提供的信息娛樂系統(tǒng)和連接技術(shù)的整合是汽車行業(yè)面臨的最大供應(yīng)鏈風(fēng)險(xiǎn),根據(jù)汽車威脅情報(bào)報(bào)告�,34%的受訪者將此列為他們最關(guān)心的網(wǎng)絡(luò)安全問題。連接程度越來越高的信息娛樂系統(tǒng)是許多驅(qū)動(dòng)程序的主要賣點(diǎn)�,但它們也帶來了一系列新的漏洞。
報(bào)告發(fā)現(xiàn)�,人們對聯(lián)網(wǎng)汽車、軟件更新和車與車通信的擔(dān)憂巨大�,被認(rèn)為是未來兩年最大的汽車網(wǎng)絡(luò)安全挑戰(zhàn)。受訪者提到的最大攻擊擔(dān)憂是網(wǎng)絡(luò)釣魚�����、Wi-Fi/藍(lán)牙和勒索軟件攻擊�����。據(jù)卡巴斯基稱�����,在過去12個(gè)月里����,Conti��、LockBit和Have是汽車網(wǎng)絡(luò)攻擊中最常見的勒索軟件�����。
盡管認(rèn)識(shí)到企業(yè)面臨的風(fēng)險(xiǎn)�,但汽車高管似乎很難將威脅情報(bào)的真正影響與具體的業(yè)務(wù)運(yùn)營聯(lián)系起來,近三分之一(29.5%)的受訪者表示�,他們目前看不到網(wǎng)絡(luò)情報(bào)投資的價(jià)值�����,更重要的是���,與解釋和理解網(wǎng)絡(luò)安全術(shù)語相關(guān)的持續(xù)問題加劇了高管的挑戰(zhàn)�����,研究發(fā)現(xiàn)�,超過三分之一(35%)的受訪者表示,令人困惑的行業(yè)術(shù)語是更廣泛的管理團(tuán)隊(duì)對網(wǎng)絡(luò)風(fēng)險(xiǎn)以及他們應(yīng)該如何應(yīng)對的整體理解能力的最大障礙����。
新的汽車網(wǎng)絡(luò)安全法規(guī)即將出臺(tái)
從2024年7月起,UN155/156(由聯(lián)合國歐洲經(jīng)濟(jì)委員會(huì)WP.29規(guī)定)將要求所有原始設(shè)備制造商(OEM)及其供應(yīng)鏈包括多層網(wǎng)絡(luò)安全解決方案�,以防御當(dāng)前和未來的網(wǎng)絡(luò)攻擊,這是有史以來第一個(gè)在網(wǎng)絡(luò)安全方面要求車輛類型審批的法規(guī)��,正在開發(fā)的車輛從開發(fā)和生產(chǎn)到客戶使用都需要遵守這些新法規(guī)��,如果做不到這一點(diǎn)��,可能會(huì)導(dǎo)致汽車生產(chǎn)被關(guān)閉�����。
然而��,調(diào)查結(jié)果表明,汽車行業(yè)在很大程度上仍然落后����,42%的受訪者表示��,他們目前沒有在最后期限之前制定計(jì)劃�����,另有63.5%的受訪者表示,他們不太參與合規(guī)規(guī)劃����,盡管64%的受訪者同意應(yīng)對網(wǎng)絡(luò)威脅是一個(gè)戰(zhàn)略性的董事會(huì)問題,超過三分之二的受訪者表示����,整個(gè)行業(yè)需要更多地了解這些標(biāo)準(zhǔn)的含義及其對企業(yè)的意義。
汽車網(wǎng)絡(luò)攻擊的附帶損害可能是嚴(yán)重的
卡巴斯基汽車研究主管克拉拉·伍德告訴記者,汽車供應(yīng)鏈容易受到網(wǎng)絡(luò)攻擊,因?yàn)槠涔逃械陌踩涂煽啃砸?,以及從分層的OEM網(wǎng)絡(luò)獲取的數(shù)據(jù)范圍�,每個(gè)OEM帶來不同的組件����。“相互通信的零部件數(shù)量之多�,如果沒有得到適當(dāng)?shù)谋Wo(hù)���,就可以成為切入點(diǎn)�。供應(yīng)鏈的任何中斷或損害都可能產(chǎn)生嚴(yán)重后果�����,但就汽車而言,潛在的附帶損害可能非常嚴(yán)重,包括生命損失。”
伍德表示�,隨著自動(dòng)駕駛���、互聯(lián)汽車�����、電動(dòng)汽車和共享移動(dòng)性等尖端功能和服務(wù)的引入,該行業(yè)迅速發(fā)展�,很可能成為惡意行為者的重點(diǎn)目標(biāo)�����。他們的動(dòng)機(jī)可能各不相同��,包括通過勒索軟件和知識(shí)產(chǎn)權(quán)盜竊等策略獲得經(jīng)濟(jì)利益,破壞性攻擊,甚至純粹由惡意動(dòng)機(jī)驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊。
保護(hù)汽車供應(yīng)鏈需要分層、全面的方法
伍德說�,在現(xiàn)代數(shù)字環(huán)境中保護(hù)汽車供應(yīng)鏈需要分層、全面的方法��。“過去���,公司通常專注于保護(hù)他們的直接系統(tǒng)和網(wǎng)絡(luò)���。然而��,隨著互聯(lián)設(shè)備和數(shù)字通信的激增��,這種方法已經(jīng)不夠了。”
她補(bǔ)充說,網(wǎng)絡(luò)安全應(yīng)該無縫地整合到運(yùn)營的各個(gè)方面,以一種協(xié)作的方式����,讓所有供應(yīng)商����、合作伙伴和利益相關(guān)者共享相同的網(wǎng)絡(luò)風(fēng)險(xiǎn)定義�,并站在同一立場上����,以確保他們都遵守最高的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。攻擊可能從鏈中的任何一點(diǎn)開始��,來自任何供應(yīng)商�,無論多么小,因此主動(dòng)審查合作伙伴網(wǎng)絡(luò)絕對至關(guān)重要�����。
培訓(xùn)和提高認(rèn)識(shí)計(jì)劃對于確保企業(yè)中的每個(gè)人以及外部合作伙伴了解網(wǎng)絡(luò)安全最佳實(shí)踐至關(guān)重要����。此外,定制的威脅情報(bào)報(bào)告可以為來自黑暗網(wǎng)絡(luò)的新興威脅和特定于汽車行業(yè)的趨勢提供有價(jià)值的見解�,使安全運(yùn)營中心能夠更有效地保護(hù)其網(wǎng)絡(luò)。“在基本層面上����,補(bǔ)丁管理、網(wǎng)絡(luò)分割和定期安全評(píng)估是不可替代的���,它們?yōu)榉€(wěn)固的網(wǎng)絡(luò)安全戰(zhàn)略奠定了基礎(chǔ)����。”伍德說����。然后��,可以通過持續(xù)監(jiān)測供應(yīng)鏈和制定明確的事件響應(yīng)計(jì)劃來加強(qiáng)這一點(diǎn)�,以便在發(fā)生安全漏洞時(shí)迅速有效地做出反應(yīng)���。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯�����,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net。
來源:信息安全D1net
在線咨詢
在線咨詢
0371-63319761