陪同软件界说汽车危害的新缝隙和通讯技能成长,新型收集安全进犯模式正于不停涌现。据Upstream追踪汽车收集安全趋向显示:2024年,要害及高危缝隙占CVE(常见缝隙与危害)总数的61%以上。
Upstream年度陈诉是追踪汽车收集安全趋向的优质信息来历。《2025年Upstream全世界汽车收集安全陈诉》为该系列第七版,包罗160页数据和信息来历援用。Upstream拥有重大且连续扩大的收集安全部据库,每个月监测超3,000万个资产并追踪400亿条API(运用步伐编程接口)动静,同时已经记载超1,000亿车辆行驶里程。近期,Upstream已经对于1,130多个活跃收集威逼举动者举行特性阐发。xtIesmc
自2010年以来,Upstream已经追踪到1,877起汽车相干收集安全事务。2024年,Upstream阐发发明409起新公然披露的收集安全事务,较2023年的295起有所上升。xtIesmc
汽车收集安全仍将是汽车行业面对的最严重挑战,即便投入年夜量资源开发并部署周全解决方案,其防护难度仍居高不下。陪同软件界说汽车(SDV)危害的新缝隙和通讯技能成长,新型收集安全进犯模式正于不停涌现。收集安全技能、产物和办事需连续迭代进级,法例尺度系统也需按期更新完美,同时需对于新兴和现有收集威逼实行及时动态监测。xtIesmc
常见缝隙及危害数目增加常见缝隙与危害(CVE)是权衡收集进犯可能患上逞的弱点指标。CVSS(通用缝隙评分体系)是一种开放尺度化的要领,用在评估CVE的严峻性。CVSS帮忙构造按照缝隙的严峻水平、引入时间和情况属性,优先协调结合相应办法。基在CVSS评分,缝隙从高到低分为严峻、高、中、低或者无四个等级。xtIesmc
图1展示了已往六年汽车相干CVE数目的增加趋向——从2019年新增24个CVE增加至2024年新增422个。累计CVE数目从2019年的24个激增至2024年的1,147个。2024年新增CVE占CVE总数的37%。xtIesmc
xtIesmc
图1:汽车常见缝隙与危害增加制表:EgilJuliussen,2025年4月数据来历:UpstreamSecurity2025年收集安全陈诉,2025年2月xtIesmc
Upstream仅存眷直接影响汽车和智能出行生态体系的CVE(如主机厂、一级供给商、同享出行、挪动物联网装备及车队)。Upstream解除了与供给链中可能利用的通用IT硬件或者开源软件组件相干的CVE。xtIesmc
Upstream追踪每一个缝隙的来历和严峻性。图2展示了2024年422个新增缝隙的来历漫衍与严峻水平。图2左边饼图出现了2024年引入这422个收集安全缝隙的五年夜企业种别,包括汽车主机厂(OEM)、一级供给商(Tier1)、二级供给商(Tier2)、电动汽车供给装备公司(EVES)和其他企业。xtIesmc
xtIesmc
图2:汽车常见缝隙及披露(CVE)的来历及严峻性制图:EgilJuliussen,2025年4月数据来历:Upstream2025收集安全陈诉,2025年2月xtIesmc
2024年新增缝隙的CVE严峻性等级如图2右边饼图所示,分为四个级别。2024年,要害及高危缝隙占CVE总数的61%以上。xtIesmc
汽车行业收集安全事务趋向收集安全事务于汽车行业连续增加。跟着受收集进犯影响的车辆数目和相干出行办事规模扩展,收集进犯的影响呈上升趋向。xtIesmc
Upstream按照潜于影响范围对于2021-2024年间公然披露的汽车收集安全事务举行了阐发,影响规模涵盖车辆、用户、挪动装备等。Upstream将事务按影响水平分为四个等级:xtIesmc
低影响:可能影响10个如下资产的事务;中等影响:影响至多1,000辆车辆或者挪动资产的事务;高影响:影响数千辆车辆或者挪动资产的事务;年夜范围影响:可能影响数百万挪动资产的事务。表1基在四个影响等级汇总了Upstream对于2021-2024年趋向的阐发。首行列出了每一年阐发的事务数目。xtIesmc
xtIesmc
表1:按潜于范围划分的已经公然收集安全事务xtIesmc
2021年及2022年,高影响或者年夜范围事务占收集安全进犯总数的20%-22%。到2023年,高影响或者年夜范围事务的占比翻倍至近50%,2024年到达60%。这类向年夜范围进犯的改变对于遭遇收集进犯的车辆数目及挪动资产范围孕育发生了庞大影响。xtIesmc
今朝,年夜范围影响种别具备至多的潜于进犯次数,基在四个种别的加权平均值,其占比远超95%。于409起进犯中,年夜范围进犯占19%(77起潜于进犯)。按每一起进犯可能影响100万资产计较,这共计至少达7,700万资产。其他三个种别的潜于影响资产总数约为100万摆布。xtIesmc
图3展示了汽车相干收集事务类型的漫衍环境。横向柱状图显示了2024年各种型事务占收集事务总量的比例。因为部门事务具备多重影响,各种型百分比总及可能跨越100%。xtIesmc
数据隐私泄露是最年夜的种别,占所有事务的60%。此类数据的吸引力源在车辆和挪动体系中存储的信用卡和相干数据日趋普和。办事营业中止是第二年夜事务种别(占53%),这显然与打单软件的增加直接相干。xtIesmc
xtIesmc
图3:2024年汽车收集安全事务类型统计(总计409起)制表:EgilJuliussen,2025年4月数据来历:UpstreamSecurity2025年收集安全陈诉,2025年2月xtIesmc
汽车体系把持和车辆节制是第三年夜种别,占2024年岁件的35%,较2022年的5%年夜幅增加。Upstream数据显示,敲诈相干事务于2023年及2024年占比相似(19%-20%),此前该比例从2022年的4%激增。暗网上最热点的敲诈信息之一是里程调校(正式名称为里程表敲诈)。按照NHTSA数据,美国每一年有超45万辆汽车以虚伪里程表读数售出,致使消费者丧失超10亿美元。xtIesmc
打单软件进犯事务不停增多打单软件进犯正成为汽车行业和其他行业的一年夜问题。2024年共发生409起收集安全事务,此中108起(占26%)属在打单软件种别。年夜部门打单软件相干常识源自暗网及深网。歹意进犯者愈来愈多地针对于汽车及出行行业实体(包括原始装备制造商、供给商及电动汽车充电基础举措措施)倡议打单软件进犯。供给链的所有环节均对于原始装备制造商、办事提供商以和出行装备及运用步伐组成危害。打单软件进犯可能严峻影响运营可用性及出产,或者泄露敏感客户信息和体系凭证。为打单财帛,进犯者凡是于暗网上运营“泄露网站”,用在公然被盗数据并分享与进犯和受害者相干的信息。2024年,多起汽车经销商打单软件事务使打单软件进犯及泄露网站成为庞大新闻。xtIesmc
例如,2024年10月,一家知名经销商沦为俄罗斯打单软件团伙的进犯方针。进犯者采用两重打单计谋,窃取了发票、管帐记载、小我私家信息、雇佣合同、认证文件和内部文件等敏感企业数据。赎金付出刻日事后,该团伙经由过程暗网平台公然被盗数据,进一步进级进犯。其他打单软件事务信息可经由过程简朴的互联网搜刮获取。xtIesmc
收集进犯载体的多样性2024年的收集进犯较往年更为繁杂频仍,进犯方针涵盖车辆、后台体系,以和智能出行平台、装备及运用步伐。进犯载体注解,任何毗连节点均可能遭遇收集进犯。图4展示了进犯手腕的多样性。xtIesmc
xtIesmc
图4:汽车收集安全进犯向量的多样性(2024年按进犯向量统计的事务)制表:EgilJuliussen,2025年2月数据来历:UpstreamSecurity2025年收集安全陈诉,2025年4月xtIesmc
基在云的体系(如长途信息处置惩罚及运用办事器)遭受收集进犯事务年夜幅增长。办事器相干事务占比从2022年的35%、2023年的43%上升至2024年的66%。进犯者可能经由过程使用后端办事器缝隙,于车辆行驶时倡议进犯。xtIesmc
网联汽车与智能出行办事利用年夜量表里部API,每个月处置惩罚数十亿次交互。OTA(空中下载技能)与长途信息处置惩罚办事器、主机厂挪动运用、车载信息文娱体系、出行物联网装备、电动汽车充电治理和计费运用均高度依靠API。API也组成了广泛且年夜范围的潜于进犯面,致使包括小我私家信息窃取、后端体系操控或者长途车辆节制于内的多种收集进犯。xtIesmc
API进犯具备高成本效益,可实现年夜范围进犯。其技能要求相对于较低,利用尺度技能,且无需非凡硬件便可长途实行,这使其连续增加。API进犯占比从2023年的13%上升至2024年的17%。xtIesmc
车载信息文娱相干事务于2023年从2022年的8%年夜幅增加至15%,但于2024年略有降落。电子节制单位(ECU)卖力引擎、转向、制动、车窗、无钥匙进入和多种要害体系。黑客试图经由过程同时运行多个繁杂体系来操控ECU并节制其功效。ECU收集进犯事务占比为8%,较2023年的9%略有降落。xtIesmc
安全的充电基础举措措施对于电动汽车普和至关主要。当前很多充电桩、充电基础举措措施体系和相干运用存于物理及长途操控缝隙,使电动汽车用户面对敲诈与打单进犯危害,同时也影响充电收集靠得住性。电动汽车充电收集进犯占比从2023年的4%上升至2024年的6%。xtIesmc
择要与瞻望汽车收集安全进犯已经成长为多维度增加的财产,涵盖缝隙数目、进犯者范围、进犯繁杂水平晋升以和汽车收集安全行业介入者的应答办法等多个层面。按照Upstream数据网络与阐发,图5总结了汽车收集安全事务年度和累计增加趋向。xtIesmc
图5左侧柱状图显示年度汽车收集安全事务从2017年的57起增加至2024年的409起。右侧柱状图展示累计收集进犯数目,从2017年的不足180起爬升至2024年末的近1,900起,增幅跨越十倍。xtIesmc
xtIesmc
图5:汽车收集安全事务增加制表:EgilJuliussen,2025年4月数据来历:UpstreamSecurity2025年收集安全陈诉,2025年2月xtIesmc
多项技能趋向正孕育发生庞大影响——软件界说车辆(SDV)新增年夜量软件代码,这些代码将于API及云办事器范畴带来响应缝隙。人工智能(AI)技能正成为影响收集安全进犯的要害因素,同时也被用在发明、阐发并抵御海量繁杂进犯向量。xtIesmc
深网与暗网信息和东西的影响于2024年显著加强,打单软件进犯数目增至108起,占409起总事务的26%。xtIesmc
收集安全进犯向量连续多样化。长途信息处置惩罚、网联汽车运用和出行运用的浩繁后端办事器已经成为最年夜进犯向量,2024年占比达66%(2023年为43%)。xtIesmc
API是缝隙增加的主要因素,其用在差别软件平台、运用步伐和所有软件相干体系间的通讯。基在API的通讯每个月利用次数达数十亿次,纵然缝隙比例极低也可能迅速激发庞大问题。xtIesmc
打单软件进犯是重要收集安全威逼,2024年对于汽车行业造成重创。少数乐成的进犯便可致使数万万美元丧失。Upstream陈诉总结了这些乐成进犯案例。xtIesmc
Upstream阐发注解,汽车行业收集防备能力与新兴收集进犯能力之间的差距正于扩展。这类差距部门源在当前基在UNECEWP.29及ISO/SAE21434的法例部署成效,但Upstream认为这些法例营建了虚伪的安全感。汽车行业需重点及时监控长途信息处置惩罚和其他云办事器,以和海量API相干通讯动静,因将来挑战多集中在这两年夜范畴。该评估值患上行业参考。xtIesmc
本文翻译自国际电子商情姊妹平台EETimesEurope,原文标题:AutomotiveCybersecurity:AttacksKeepsGrowingxtIesmc
-leyu乐鱼电子