如果您正在寻找企业安全方面的有益经验,那么停车场里可能就有一些这样的经验。几位汽车专家表示,汽车领域是安全领域“最糟糕做法”的一个突出例子。而且,问题只会变得更糟,而不是更好。
在过去的几年里,这些汽车在很多方面都受到了抨击——不断召回、存在安全隐患,以及使用柴油发动机的花招等等——但安全专家已经注意到一个令人不安的趋势。
除非你手边有一块石头,否则很难撬开一辆宝马(BMW),但在保护无线信号、制定标准、制定新法规和法律以及更积极地进行修补方面,都没有付出那么多努力。
专家告诉CSO,汽车领域需要解决这些问题,特别是随着汽车变得越来越高科技,并开始连接我们周围的基础设施,路标,以及彼此之间。它还表明,安全必须与创新保持同步。
[亦是关于cso:一旦您的汽车与互联网连接,谁守卫您的隐私?]
最重要的是,那些在企业安全工作的人应该开始注意,看看问题是如何解决的,因为更改将即将推出。
问题越来越严重了
很容易看到汽车技术的进步。谷歌已经能够在交通中驾驶汽车.在密歇根州,正在进行一项测试汽车可以互相交流.特斯拉了巨大的电动汽车充电基础设施.
然而,作为汽车分析公司的戴夫·沙利文自动宽度指出,总是有麻烦的迹象。日产为他们的叶子电动汽车制作了一个应用,然后发现它很容易隐藏,并迅速地删除它.“对于汽车制造商来说,这是一个全新的世界,”沙利文说。
“他们正在冒险进入一个仍然非常新的和非常新鲜的区域,无法快速更新安全漏洞。这可以在智能手机上轻松修补。”
汽车分析师戴夫·沙利文自动宽度
Automakers而不是激进的补丁时间表,而不是攻击性的补丁时间表,往往会测试更长并遵守刚性安全标准,但不遵循智能手机模型。Sullivan表示,这需要改变,汽车制造商应该支付道德黑客的赏金,以便在汽车中尝试和打破无线安全性,然后发出补丁。他说,这比召回更便宜。
Diogo Mónica是一名安全研究员,也是电气和电子工程师协会公众可见性委员会主席,他告诉CSO目前还没有多大进展。
+也在网络世界有个足球雷竞技app10个很酷的联网汽车功能+
他说汽车公司对渗透测试来说太大了。他同意Sullivan,这导致了大规模的回忆,因为鉴于汽车的补丁周期,当他们在汽车中添加新的应用程序或一些通信功能时,它往往太晚了,并且找到了漏洞。
企业安全课
你可能已经注意到有很多教训要学习。
讽刺 - 鉴于他们辉煌的汽车创新 - 手机良好安全的一个例子是谷歌。Sullivan注意到谷歌如何积极修补Nexus线。使用Chrome OS和Chrome浏览器,互联网巨头也将Automakers羞辱。Google不断更新其软件在后台和修补程序中,但最终用户几乎没有通知。您的典型福特或别克无处可行,安全性的复杂程度。
另一个教训与开放性有关。Mónica注意到汽车制造商如何彻底地报告漏洞,倾向于隐藏在窗帘后面,这会产生恶性循环 - 道德黑客如果发现一个问题,否则他们会失去所有奖励来帮助。
Mónica说:“他们太过依赖隐晦的安全性。”
“他们依赖于难以检查软件实际运行的事实,以提供安全性。这已被证明是做安全的错误方式,汽车是它的完美示例。”
对于企业而言,在发生和利用安全社区寻求帮助时,更好地清理漏洞,然后更具侵略性,包括渗透测试中的安全专家,而不是试图为他们掩盖过程。
Mónica有另一个很好的例子说明什么是坏的。研究人员一直能够破解用来解锁汽车的钥匙链。汽车制造商倾向于为此制作自己的软件并重新设计协议,但Mónica表示他们做得很糟糕。如果这是一个更开放的过程,一个利用现有专业知识的过程,安全将会改善。对于企业管理者来说,这是协作和外部专家参与的经验教训。
应该怎么做
在这种情况下,无所作用不是一种很好的方法。Monique Lance,发言人百眼巨人网络安全该公司表示,网络安全方面的最佳实践需要融入制造过程的每一个阶段,而不是事后才想到的。
[更多:你的下一辆车会自动开走吗?]
兰斯说,在汽车安全方面几乎没有监管,尽管这种情况正在缓慢改变。2015年的间谍车法案要求制定新的汽车安全联邦标准。在密歇根州,有一项终身监禁法案可以把汽车黑客关一辈子。sea发布的J3601指南将安全实践注入到制造过程中。
最重要的教训是什么?做点什么。在安全方面,让一个沉睡的巨人保持休眠并另眼相看绝不是一个好方法。
汽车行业发言人安迪·格里克(Andy Gryc)告诉CSO,正在采取措施。例如,汽车制造商开始逐步淘汰汽车上使用的旧的总线架构(称为控制器区域网络或CAN),转而采用一种更安全的架构,称为E-AVB(以太网音频视频桥接解决方案)。他补充说:“白盒加密或代码混淆等技术才刚刚开始获得关注,在汽车软件设计中大多没有出现。”
可悲的是,Gryc表示,这些变化需要时间来实施。行业中没有足够的动力,所有这些都是关于马力和自动驾驶的。在企业安全中,即使汽车领域没有学到任何内容,也有一些明确的课程。
“你的车安全吗?”也许不是,但企业用户仍然可以学到一些“最初发布”的东西CSO .