部落格與觀點

Gartner®在市場趨勢報告「Market Trend: Connected and Autonomous Vehicle Data Enhances Software Life Cycle Management Transformation」中提到了VicOne的車用資安方案可透過聯網汽車收集到的車載數據檢測可疑行為並實現遠端汽車安全監控。VicOne在車輛整個生命週期的不同階段都能提供強大、靈活、合規的解決方案，滿足車輛的網路安全需求。

2022年10月開始美國加州的數位車牌已經合法，車主可以開始客製化自己的車牌並且透過手機應用程式來追蹤車輛位置。而數位車牌管理系統中發現的漏洞也可能招致安全的危害。VicOne分析並建議安全擁抱新的汽車科技。

繼去年 12 月中國一電動汽車製造商遭駭導致數據洩露，1月初又有兩家汽車製造商 (OEM) 成為可能資料外洩的受害者：Toyota印度的合作廠商遭駭造成部分Toyota印度的客戶資料外洩，以及Volvo公司內部系統資料包含員工資料、存取憑證等疑似外洩放在暗網銷售。VicOne團隊研究兩起事件並分析汽車製造商可能遭駭的途徑以及提供必要的資安方案來保護車廠和供應商的資料安全。

資料外洩事件又一樁。中國電動汽車大廠蔚來(NIO)據報遭駭客入侵竊取近40萬車主與2.28萬員工個資，被勒索225萬美元的等值比特幣。VicOne呼籲電動車車主以及車用供應鏈夥伴們要留意個資保護及警覺資料外洩可能造成的危害。

Sirius XM的衛星廣播服務含有一個身分認證漏洞，駭客可遠端存取採用此服務汽車品牌中的車載資訊系統。雖然目前漏洞已經被修補，但同時說明了有心的攻擊者可以循此方式來挾持車載資訊系統也增加車用供應業者的受駭風險。看VicOne 如何協助減少此類的資安風險。

這是VicOne的第一份年度車用資安報告，除了回顧2022年整體汽車產業的重大資安事件，也預測了汽車產業於生產服務供應階段需注意的資安威脅趨勢，並為連網汽車安全上路提出建議。

針對汽車產業面臨到的攻擊門檻低以及供應鏈脆弱的安全防護問題，VicOne的車用安全評估方案自建各種攻擊模擬情境，從設計階段就協助汽車製造商及相關零組件供應商把關資訊安全，並且為未來的威脅做好準備。

OpenSSL 在11月釋出3.0.7版本，用以修補CVE-2022-3602、CVE-2022-3786，影響範圍包含OpenSSL 3.0.0-3.0.6。汽車製造廠商和相關軟體供應商使用OpenSSL進行安全通訊，除了應掃描系統確認內部應用程序是否使用受影響的版本，VicOne並建議部署更全面的車用資安策略來保護聯網車輛以防範漏洞危害。

車載入侵檢測和預防系統 (IDPS) 透過檢測出電子控制單元 (ECU) 級別的攻擊並即時反應每個攻擊來保護連網汽車和電動車。

首發成功導入車用IDPS於桃園虎頭山創新園區自駕巴士，提升自駕巴士控制系統安全性。

優步將上週的多因素身份驗證 (MFA) 疲勞攻擊與駭客組織集團 Lapsus$ 串聯起來。

汽車供應鏈正面臨許多障礙，從需要遵守新法規、處理漏洞和為即將到來的威脅做準備。 究竟能怎樣強化它來應對這些挑戰呢？