车企频受黑客攻击勒索 核心应用安全防护亟需加强

2022 年并不太平，就在人们还在朋友圈发布 " 阳阳阳 " 的信息之时，安全业界被一则重磅声明打破宁静。12 月 20 日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在该公司官方 APP 发布声明，对日前网络上有人出售蔚来相关数据的情况进行了回应。在该声明中，蔚来承认了确实存在用户基本信息和车辆销售信息泄露的情况，并遭遇到了黑客约 225 万美元的重金勒索。

蔚来的这一次用户数据泄露又一次为车企敲响了信息安全的警钟，近几年 汽车 行业遭遇黑客攻击和勒索的情况屡见不鲜。无独有偶，2022 年 3 月，日媒报道称该日本电装株式会社（Denso）超过 15.7 万分订购单、电子邮件和设计图纸等共计 1.4TB 的资料疑被泄露，并被黑客索要赎金。而在今年 8 月，德国汽车零部件巨头大陆集团被曝出遭遇了网络攻击，在拒绝支付赎金后，黑客威胁称要将包括大陆集团预算、 投资 和战略规划，以及客户相关信息在暗网出售。除此之外，包括现代、起亚、沃尔沃、通用、大众、英伟达等汽车和供应商企业，在今年来都被曝出遭遇黑客攻击的事件，其中不乏交过赎金后依旧遭 " 背刺 " 的丑闻。如此多的被攻击勒索新闻往往给人一种错觉，随着车辆智能化程度和企业数字化水平的不断加深，它的弱点也就越来越多。事实如此吗？

黑客越来越狡猾 手段越来越先进

此次蔚来汽车的数据泄露事件，关乎到用户的权益，更关乎行业发展进程，也从侧面佐证，安全防护能力将成为未来车企的核心竞争力之一。不管是传统车企，还是新能源车企，提升安全防护能力，杜绝此类事件的再次发生，都显得至关重要。

目前车企面临最主要的网络安全风险来自于黑客技术的快速迭代，而一些攻击方式也在 " 与时俱进 "，新技术的开发也会引入新的漏洞。数智中国网络安全研究院资深专家吴纯勇表示，在相关技术的不断加持下，当前黑客攻击手段越来越先进，部分车企在专业的信息安全组织、安全管理机制、必要的安全技术和安全运营人员等方面都比较缺乏。伴随着当下的 5G 及其即将到来的 6G 时代，汽车智能化、网联化程度将会越来越高，车内联网的部件越来越多，面对越来越开放的车内环境，车企及相关零部件厂商该如何保障汽车的信息安全，这是一个重大的课题，每个车企都应该谋求安全能力的升级迭代。

吴纯勇表示，" 吃瓜 " 群众往往会将车企的安全问题简单联系成车辆的安全性不够，但实际上，安全是一个综合问题，出现安全问题可能有诸多原因，并不一定代表车辆的联网部件被攻破，有可能是因为内部人员的被钓鱼攻击甚至是内部人员的泄露，还可能是被黑客利用曲线攻击攻破，比如车企的软件供应链安全隐患、网站等 Web 应用系统被攻破进而造成数据泄露等。" 因为攻防的不对等，车企在明，黑客在暗，安全问题需要具体问题具体分析，不能以偏概全，更不能一叶障目，车企需要做的就是不断修炼内功，运用新型安全防护手段，提升网络安全能力。" 吴纯勇呼吁。

知名安全研究机构烛龙实验室负责人李雨侧面佐证了吴纯勇的观点：" 当前黑客攻击手段日新月异，新型攻击手段的运用往往让政企客户防不胜防，疲于应对，尤其是对安全意识薄弱、安全能力不足的企业来说，出现安全问题只是早晚的问题。" 他表示，黑客往往攻击的是企业的薄弱环节，对新型攻击手段和防护手段的不了解，往往造成黑客与企业之间的信息差，当前 0Day、内存马等已经成为黑客最常使用的攻击手段之一，但很多车企尤其是一些国内车企对此知之甚少。

至于该如何加强车企安全防护水平，李雨建议，车企应该加强安全意识的培训、安全新产品、新技术的研究，守其所必攻。未来黑客的重点之一是核心 Web 应用系统，这不仅适用于车企，很多企业都需加强核心 Web 应用系统的防护，具体到车企，车辆自身安全是一方面，其他应用系统的防护也必须加强，因为任何一处被攻破，最终受损失的都是用户，尤其是在用户数据等核心信息比较集中的系统是防护的重中之重。

靖云甲 ADR 可助车企加强应用防护

车企应建立起相关的网络安全或数据安全的配套防护措施和防范的管理体系，确保敏感信息不被截取、泄露。在数据生命周期中的采集、传输、存储、处理、交换等各个环节中，" 应用 " 是最高频、最重要、最关键的数据安全场景。

边界无限副总裁、产品总负责人沈思源表示，边界无限靖云甲 ADR 基于 RASP 技术，以 Web 应用为核心，以 RASP 为主要安全能力切入点，打造 Web 应用全方位安全检测与响应的解决方案，是边界无限帮助用户构建云原生时代安全基础设施体系的起点和战略支点，更是 " 灵动智御 " 理念的实践，可以帮助车企建立健全整体应用安全防护体系。靖云甲 ADR 引入多项前瞻性的技术理念，通过对应用风险的持续检测和安全风险快速响应，帮助企业应对来自业务增长、技术革新和基础设施环境变化所产生的等诸多应用安全新挑战。

0Day、内存马等新型攻击手段的运用，高危漏洞、特定漏洞、API 资产模糊不清、传统安全产品容易被绕过等安全隐患，将给企业的安全防护带来极大的挑战。网络黑客针对应用的攻击手段在不断升级，广大政企客户应用内生安全的基因并未被激发，还是采取传统的边界防护手段，没有进行应用运行时的动态防御，沈思源表示。

边界无限靖云甲 ADR 拥有精准细化的资产清点、紧跟形式的安全研究、海量可靠的漏洞运营、轻量无感的性能损耗等优点，尤其是在应用资产管理、供应链安全、API 资产学习层面，其表现优异。靖云甲 ADR 跨 IT 架构统计应用资产，实现安全能力同步管控，为应用提供安全风险评估；动态采集应用运行过程中的组件加载情况，快速感知资产动态，全面有效获知供应链资产信息；自主学习流量 + 应用框架，具体来说，靖云甲 ADR 会通过插桩对应用内部框架定义的 API 方法以及应用流量进行 API 全量采集，同时利用 AI 检测引擎请求流量进行持续分析，自动分析暴露陈旧、敏感数据等关键问题。

以车企需要重点关注的 API 资产管理为例，边界无限靖云甲 ADR 的优势凸显。API 作为业务资产具体的承载，通常将成为安全团队重点关注的关键资产。靖云甲 ADR 通过插桩对应用流量进行全量采集，利用 AI 检测引擎对请求流量进行持续分析，从而实现对 API 资产的自动发现，实现 API 资产的可观测性。同时，靖云甲 ADR AI 检测引擎会对 API 的参数及请求头等关键内容进行风险评估，为 API 安全优化提供辅助性的策略。此外，靖云甲 ADR 通过建立自主学习模型，实现 API 的自动发现，漏洞挖掘；自动生成 API 访问策略，通过调用追踪的方式建立可视化的 API 风险见解，为 API 提供实时防御。

0Day 漏洞攻击是黑客惯用的手段之一，靖云甲 ADR 可天然免疫 90% 以上的 0Day 漏洞，沈思源介绍说，在前文提到的内存马是无文件攻击的一种技术手段，攻击者通过应用漏洞结合语言特性在 Web 系统注册包含后门功能的 API，并且此类 API 在植入之后并不会在磁盘上写入文件，代码数据只寄存在内存中，给传统的安全设备检测带来巨大难度。这令广大企业在网络攻防演练及实际网络攻击中倍感头疼。攻击者利用无文件的特性可以很好的隐藏后门，利用包含后门代码的 Web API 来长期控制业务系统以及作为进入企业内部的网络跳板。边界无限靖云甲 ADR 采用 " 主被动结合 " 双重防御机制，对外基于 RASP 能力对内存马的注入行为进行有效防御，对内通过建立内存马检测模型，通过持续分析内存中存在的恶意代码，帮助用户解决掉埋藏内存中的 " 定时炸弹 "。针对内存中潜藏的内存马，靖云甲 ADR 提供了一键清除功能，可以直接将内存马清除，实现对内存马威胁的快速处理。靖云甲 ADR 还可以通过主动拦截 + 被动扫描，有效阻断内存马的注入；对已经被注入的内存马提供源码和特征检测信息，无需重启应用即可一键清除。这些都在业界处于领先水平。

冰冻三尺非一日之寒，安全能力的提升需要日积月累的巩固和加强，边界无限已经准备好为广大车企乃至各行各业的企业用户加强应用安防护能力保驾护航。