VicOne发表「VicOne 2023年汽车网路威胁情势报告」,报告指出在分析威胁情势的过程中,我们注意到今年上半年网路攻击所造成的损失金额已突破110亿美元,相较於前两年,可谓史无前例地暴增。仔细研究之後就会发现,这些网路攻击绝大多数都是瞄准了汽车供应商,显示此一趋势正在崛起。
|
有超过90%的汽车网路攻击是针对供应链中的其他公司。 |
令人担??的是,这些攻击超过90%并非针对车厂本身,而是供应链中的其他厂商,因为骇客常常发现资安严密的公司较不容易渗透,因此转而瞄准警觉性较低公司。一旦供应链被中断,车厂同样亦受到冲击,所以防范网路攻击的工作已经不再只是保护好单一企业就行,而是要强化整个供应链。报告内容重点还包括:
●汽车产业的网路攻击逐渐增加:利用供应链中的漏洞已成为网路攻击中普遍的趋势,特别是针对第三方供应商
●汽车数据越值钱 网路犯罪活动越活络:目前的法规在汽车数据方面的规范仍在完善中
●法规仍是汽车产业发展的关键力量:车辆合规落实网路安全以及有效执行网路安全评估皆是目前挑战
这份新的VicOne报告解析了汽车日益提高的复杂性以及新增的连网能力、自动化和先进驾驶辅助系统(ADAS)的所衍生的网路资安问题。报告指出,业界因网路攻击(如勒索病毒)以及外泄资料或个人身分识别资讯(PII)曝光所蒙受的损失正在成长,同样成长的还有系统停机所带来的成本。VicOne 2023年汽车网路威胁情势报告的统计仅纳入技术和营运相关的有形成本,不包含品牌、公关、销售及行销费用等无形成本。
该报告列出几个可能导致汽车资料外泄的重要漏洞,并在表格中列出这些常见的弱点列表(CWE)漏洞。越界写入(OOBW)、越界读取(OOBR)、缓冲区溢位、用後释放和不当的输入验证漏洞是VicOne记录到最常见的一些问题。而大多数问题是在晶片组或系统单晶片(SoC)上发现,其次是第三方管理应用程式以及车载资讯娱乐(IVI)系统。第三方供应商,包括物流、服务供应商,以及叁与车辆元件、配件或零件生产的公司,已日益成为攻击的焦点。