전기 자동차 및 소프트웨어 정의 자동차 보호

자동차 해킹은 증가하고 있으며 전기, 자율 및/또는 ... [+] 소프트웨어 정의 차량은 잠재적 위협을 기하급수적으로 증가시켰습니다. 따라서 사이버 보안 커뮤니티는 배우고, 공유하고, 반응하기 위해 모입니다. (사진 제공: Sean Gallup/Getty Images)

게티 이미지

“푸틴은 멍청이다. 우크라이나에 영광”

최근 모스크바 근처의 장애인 충전소에서 해킹된 전기 자동차 충전기가 읽은 내용입니다. 그리고 전 세계 많은 사람들의 얼굴에 미소를 가져다주는 만큼 지난 주에 모인 여러 연구원과 개발자가 한 요점을 강조합니다. 에스카 2022 (매년 자동차 사이버 보안의 심층적인 기술 개발에 초점을 맞춘 컨퍼런스): 자동차 해킹이 증가하고 있습니다. 사실 당 업스트림 자동차 보고서, 사이버 공격의 빈도는 225년부터 2018년까지 무려 2021% 증가했으며 85%는 원격으로 수행되고 54.1년 해킹의 2021%는 "블랙햇"(악성) 공격자입니다.

이 회의에서 다양한 실제 보고서를 듣는 동안 몇 가지 사실이 분명해졌습니다. 이 중요한 영역에 항상 요구되는 초점을 기반으로 한 좋은 소식과 나쁜 소식이 모두 있다는 것입니다.

나쁜 뉴스

가장 간단한 용어로 나쁜 소식은 기술 발전으로 인해 Day One 이벤트의 가능성이 더 높아진다는 것입니다. Sandia National Laboratories의 수석 연구원인 Jay Johnson은 "전기 자동차가 더 많은 기술을 만들고 있다는 것은 더 많은 위협과 위협 표면이 있음을 의미합니다."라고 말했습니다. "46,500년 기준으로 이미 2021개의 충전기를 사용할 수 있으며 2030년까지 시장 수요에 따르면 약 600,000개가 있을 것으로 예상됩니다." Johnson은 계속해서 XNUMX가지 주요 관심 인터페이스와 식별된 취약성의 예비 하위 집합을 권장 사항과 함께 설명했지만 메시지는 분명했습니다. 지속적인 "무기 요구"가 있어야 한다는 것입니다. 그는 이것이 모스크바에서 DoS(서비스 거부) 공격과 같은 것을 피할 수 있는 유일한 방법이라고 제안합니다. Johnson은 "연구원들은 계속해서 새로운 취약점을 식별하고 있으며 인프라에 대한 조직적이고 광범위한 공격을 피하기 위해 이상, 취약점 및 대응 전략에 대한 정보를 공유하는 포괄적인 접근 방식이 정말로 필요합니다."라고 말했습니다.

전기 자동차 및 관련 충전소만이 새로운 기술과 위협이 아닙니다. "소프트웨어 정의 차량"은 반신형 아키텍처 플랫폼입니다(* GM이 15년 이상 전에 채택한 것으로 추정됨).GM
및 OnStar) 일부 제조업체는 수십억 달러가 낭비되고 있습니다. 지속적으로 각 차량을 재개발합니다. 기본 구조에는 차량 두뇌의 많은 부분을 오프보드로 호스팅하는 것이 포함되며, 이는 소프트웨어 내에서 재사용 및 유연성을 허용하지만 동시에 새로운 위협을 제공합니다. 동일한 Upstream 보고서에 따르면 지난 몇 년 동안 공격의 40%가 백엔드 서버를 대상으로 했습니다. Kugler Maag Cie의 전무 이사인 Juan Webb는 "자신을 속이지 말자"고 경고합니다. 가장 취약한 링크가 존재하고 가장 경제적인 영향을 미치며 침투할 수 있는 곳이면 어디든 해커가 공격할 것입니다.”

거기에서 escar에서 논의된 것 중 일부는 (당신의 관점에 따라) 나쁜 소식-좋은 소식이었습니다. UNECE 규정 이번 주부터 모든 신차 유형에 적용됨: 제조업체는 유럽, 일본 및 한국에서 판매 인증을 받은 차량에 대해 강력한 사이버 보안 관리 시스템(CSMS) 및 소프트웨어 업데이트 관리 시스템(SUMS)을 보여야 합니다. Kugler Maag Cie의 사이버 보안 전문가인 Thomas Liedtke는 "이러한 인증을 준비하는 것은 쉬운 일이 아닙니다."라고 말합니다.

좋은 뉴스

무엇보다도 가장 좋은 소식은 회사들이 집회의 외침을 듣고 앞서 언급한 Black Hat 적들과 싸우기 위해 필요한 엄격함을 최소한으로 주입하기 시작했다는 것입니다. "2020-2022년에 위협 분석 및 위험 평가 또는 TAR을 수행하려는 기업이 증가했습니다.AR
A"라고 Liedtke는 말합니다. "이러한 분석의 일부로 원격 제어 공격 유형에 초점을 맞추는 것이 좋습니다. 이러한 유형은 위험 가치가 더 높기 때문입니다."

그리고 이 모든 분석과 엄격함이 처음에는 효과가 있는 것처럼 보입니다. IOActive의 Samantha("Sam") Isabelle Beaumont가 제공한 보고서에 따르면 12년 침투 테스트에서 발견된 취약점의 2022%만이 "중요한 영향"으로 간주되었지만 25년에는 2016%, 1%만이 "중요 가능성"으로 간주되었습니다. Beaumont는 "현재의 위험 개선 전략이 성과를 거두기 시작하는 것을 보고 있습니다."라고 말합니다. “산업이 더 나은 건물을 짓는 데 점점 더 좋아지고 있습니다.”

산업이 끝났다는 뜻인가? 확실히. Johnson은 "이 모든 것은 진화하는 사이버 공격에 대비하여 설계를 강화하는 지속적인 프로세스입니다."라고 제안합니다.

한편, 나는 내가 얻은 마지막 희소식을 축하할 것이다. 러시아 해커들은 나의 소셜 미디어 피드가 아니라 러시아 자산을 해킹하느라 바쁘다.

출처: https://www.forbes.com/sites/stevetengler/2022/06/28/cybersecurity-risks-protecting-the-electric-and-software-defined-car/