More Related Content
Similar to 构建所需所得的汽车安全基础设施 (20)
构建所需所得的汽车安全基础设施
- 3. 针对车联网的网络安全攻击事件快速增长
2020.1
• 黑客使用廉
价电子设备
盗走印度
4118辆汽车
• Tesla Model X
的ADAS和自动
驾驶系统被黑
客欺骗,导致
触发了刹车冲
向迎面而来的
交通中
• 梅赛德斯奔驰
E级轿车发现
19个漏洞,黑
客利用漏洞可
直接远程控制
车辆,包括打
开车门及发动
机
2020.2
2020.4
• 黑客通过对车
辆TCU进行反向
工程,通过
Telematics连接
渗透了车企数
据中心网络,
从而完全控制
了OEM公司的
网络
• 通过公开提供
的网联汽车部
件的源代码,
黑客发现了戴
姆勒内部系统
的密码和API
Token令牌
2020.5
2020.7
• 本田在欧洲和
日本的网络受
到Snake勒索软
件的攻击后停
止了其许多工
厂的生产,造
成巨额损失
• 信通院在10个
Tier 1和OEM开
发的40多款
ECU中发现了
300多项漏洞
2020.8
2022.9
• 黑客操纵了
YandexTaxi 网
约车服务,莫
斯科上演交通
大堵塞
• 黑客发现了
Hyundai网络
VPN漏洞,并
在暗网中出售
OEMVPN访问
权限
.....
• 意大利超跑制
造商法拉利
6.99GB 内部文
件泄露
2022.10
2022.11
• 车联网服务商
SIRIUSXMAPI
漏洞,未授权
远程控制 本
田、日产、英
菲尼迪、讴歌
汽车
• 重放攻击: 德国
大量交通信号
灯容易受到操
纵
2022.12
• 蔚来汽车数据
泄露被勒索
- 6. 2021年8月31日,汽车信息安全领域首个国
际标准ISO/SAE 21434(道路车辆信息安全
工程)标准正式发布。
国际标准化组织(ISO)是标准化领域中的
一个国际性非政府组织,成立于1947年,
是全球最大最权威的国际标准化组织。中国
是ISO常任理事国,代表中国参加ISO的国
家机构是中国国家标准化管理委员会(由国
家市场监督管理总局管理)。
美国汽车工程师学会(Society of
Automotive Engineers,SAE)是美国及世
界汽车工业有重要影响的学术团体,每年都
推出大量的标准资料、技术报告。该学会每
月要向大约14000多个技术人员、商界人
士、政府官员传递世界上最新的科技动态。
ISO/SAE 21434是唯一一个由两家重量级组
织联合发布的国际性标准。
国际社会对车联网网络安全战略布局
- 10. 车辆生产制造 销售与服务网络 车辆信息安全 车联网安全
互联网车辆全生命周期的信息安全管理
• 用零信任和Purdue模型构
建分层的工业制造安全
• 工业互联网和物联网网络
与安全的可视化
• 零信任体系保障灵活的工
业互联网管理
• 采用安全的SD-WAN高效
和低成本的互联各4S店
• 4S店服务终端零信任安全
和数据防泄漏
• 符合国际和国内信息安全
强制性标准
• 对车内各个域进行加固和
防御
• 对现代应用系统进行高阶
威胁防护
• 符合云数据中心的等保要
求
• 防御攻击,避免用户数据
泄露
贯穿始终的信息安全保障
- 12. 与亚马逊云科技原生集成的安全架构
Fortinet Security Fabric 完整交付在亚马逊云科技平台上
Amazon GuardDuty
Amazon Outposts
Amazon Transit Gateway
Amazon Gateway Load Balancer
Amazon EC2
Amazon CloudFront
集成服务:
FortiCNP
Amazon Outpost
On-premises
- 13. 某知名车企出海案例-南北向隔离
1. 从APP子网去往互联网的流量被路由至同一VPC
的GWLB endpoint;
2. 该endpoint关联了安全VPC内GWLB的endpoint
服务,一旦GWLB收到流量,便将之加密转发至
后端安全实例,即FortiGateVM04V(FGT);
3. 当FGT完成流量的检测后,流量回到GWLB及
GWLB endpoint;
4. 当流量回到最初的VPC后,跟随出向
(Egress)子网路由表,被送往互联网网关
(IGW);
5. IGW将流量送往互联网;
1. 从互联网来的入向流量到达IGW;
2. 跟随入向(Ingress)路由表,流量被路由至
GWLB endpoint;
3. 该endpoint关联了安全VPC内GWLB的endpoint
服务,一旦GWLB收到流量,便将之加密转发至
后端安全实例,即FortiGateVM04V(FGT);
4. 当FGT完成流量的检测后,流量回到GWLB及
GWLB endpoint;
5. 从GWLB endpoint到达APP VPC的流量被本地
路由至APP子网的资源
- 14. 某知名车企出海案例-东西向隔离
1. IP为10.0.1.10的流量想要访问到达APP2 VPC内
的10.1.2.20,其子网路由表通过默认路由
(0.0.0.0/0)将之路由到TGW;
2. APP1 VPC关联了Amazon TGW中的“TGW RT
APP”路由表,其设置通过安全VPC的关联组件
(attachment)来转发所有流量(0.0.0.0/0);
3. 安全VPC内的TGW网卡(ENI)使用其子网路由
表转发所有流量至GWLB endpoint1;
4. GWLB endpoint转发流量至GWLB;
5. 流量被送往GWLB后的安全实例即
FortiGateVM08V(FGT)做响应安全检测;
6. 一旦流量完成检测,其被送回至GWLB;
7. GWLB转发流量至GWLB endpoint;
8. GWLB endpoint使用其子网路由表,通过正关联
着TGW组件(attachment)的TGW网卡
(ENI),转发所有非本地流量至TGW;
9. 当流量到达TGW,其使用关联在安全VPC的
“TGW RT Sec”路由表,通过APP2 VPC的关联组
件关系,找到目标地址;
10. 一旦其到达APP2路由表,会发现数据包目标地址
(10.1.2.20)为本地地址,于是转发其至目标实
例。
Editor's Notes
- 世界各地针对车联网的网络安全攻击事件快速增长,危害逐步加剧,从勒索软件、数据窃取、业务故障扩大到位置追踪,甚至远程操控汽车功能等。
- Customer