首页 » 行情 >

【2021世界智能网联汽车大会】周鸿祎:智能网联汽车的安全挑战与应对之策

2021-09-26 20:16:09来源:盖世汽车

9月25日至28日,2021世界智能网联汽车大会在北京召开。本届大会围绕产业再造、融合应用、和合共生三个篇章展开,设有开幕式、主论坛,以及7场主题峰会、6个特色专场和2场闭门会,共邀请包括1位图灵奖国际专家、7位国内外院士、近150位国际国内智能网联汽车及ICT领域专家、企业家参与演讲探讨。以下是360集团创始人董事长周鸿祎的演讲实录,供参考。

世界智能网联汽车大会

图为:360集团创始人董事长 周鸿祎

演讲内容:

尊敬的各位领导,特别是造车行业都是我的前辈,各位嘉宾、各位同仁朋友大家下午好,非常高兴来到世界智能网联汽车大会,在汽车制造领域我是门外汉,按照北京市出租车司机的标准,我连猪都不如,因为我不会开车,北京出租车司机经常说把猪绑驾驶座上都会开车。所以我期待智能网联汽车能解决我开车的问题。最近智能网联汽车不但是风口,也成为重点关注的领域,感谢大会给我一个交流和学习的机会。

刚才王院士提的观点非常脑洞大开,给我一个启发,我突然知道汽车工业的敌人是谁了,就是现在所谓的元宇宙,因为现在宣扬大家在屋里不出来就可以互相见面。做了一个网络安全20多年的人来解释一下,我们非常支持智能网联汽车,我们也毫不怀疑这代表了汽车工业的未来,但是做安全的人都有点变态,因为我们老要琢磨什么东西比较危险,琢磨危险可能是今天我要分享的观点,不是为了妨碍智能网联汽车的发展,而是为了更好的给智能网联汽车保驾护航。

近年来,数字化已经成为国家产业战略,国家强调推动制造业的数字化转型,实现数字产业化和产业数字化,我觉得智能网联汽车就是传统先进制造业和数字化产业高度融合的一个交汇点。数字化有三个特征:一切皆可编程、万物均要互联、大数据驱动业务,其本质是软件定义这个世界。如果具体到汽车产业,我们可以讲软件在重新定义汽车,汽车要连接网络,驱动汽车的既不是石油,也不是电池,而是大数据,未来脱离了大数据,可能很多智能网联汽车,很多自动辅助驾驶功能就不能使用了,所以智能网联汽车可以说既是制造业的数字化升级,也是数字产业对新型制造业的赋能,是数字产业化和产业数字化的交汇地带。

软件定义汽车不是数字化技术在汽车上简单利用,我觉得是对汽车结构的根本性改革,原来汽车是四个轮子上的沙发,现在汽车是一堆黑盒子,各自独立,互联网封闭的控制模块,未来我们的汽车核心是若干台高性能电脑,车身和其他部分相当于高端的设备。但是我们可以看到最近网络攻击已经成为一种新的威胁,特别是有国家背景的黑客组织发起的网络攻击,已经对我们的国家安全、社会安全、城市安全带来的威胁程度更大。

从去年到今年上半年,网络安全重大事件频发,各种攻击手段层出不穷,威胁不断升级,从供应链攻击到勒索攻击,勒索软件导致美国供油出现了问题,攻击目标不分国家个人、企业,每个节点都会成为攻击的跳板,随时可以造成黑天鹅事件。所以汽车的全数字化不仅颠覆了汽车的结构,同时也重新定义了汽车行业的安全,我们汽车行业最终是安全的产业,汽车行业发展了100年,在网络安全上出现新的变化,最大的改变是汽车的网络安全和物理安全变得密不可分,网络安全的问题可以直接导致物理安全后果,主要有下面四个方面的安全问题。

第一个是软件定义汽车之后,代码数量增加,车载系统安全缺陷迅速提升,本质上汽车发展的重点不是马力,而是算力,漏洞不可避免,导致今天只要是软件构造的系统,有漏洞就有可能被人利用、被人攻击,过去一辆车代码数是百万行,现在随着智能座舱,可能是千万级的代码,未来随着人工智能汽车级别提升,可能代码要上亿行,可以想象一下再加上车里众多的传感器,都被车载电脑统一控制,车载电脑的安全隐患是非常巨大。

第二个挑战万物互联最牛的就是把物理世界和虚拟世界连通,但是这也使得所有在虚拟世界里的攻击都会造成物理世界的伤害,我们修复世界知名汽车品牌的19个漏洞,通过服务器的控制,可以远程控制这个车厂2017年以后出场的全球600多万辆汽车,可以远程开启车窗。今天所有智能网联车都会无条件的连接到车企云端服务器,不断上传行使状态数据,接受远程指令,来进行软件功能的更新,这对云端攻击提供可乘之机。目前所有看到同行对汽车发展的攻击来讲,90%的攻击都是通过车联网,通过云端的网络对车子终端发起了攻击。

第三个挑战制造车企的企业网联程度不断提高,供应链安全隐患巨大,到了工业互联网时代,一方面内部的生产网络、办公网络、设计网络要联网,另外一方面从原来2B的封闭网络要面对2C的消费者提供互联网服务,不怕神一样的对手,就怕猪一样的队友,一个厂商保护的再好,成百上千条供应链在产业上出现了问题,提供给你有缺陷的产品,这是未来供应链攻击会成为对车企巨大的威胁。

第四个挑战大数据驱动智能,大数据驱动业务,数据安全的风险攀升。因为未来智能汽车包括王坚提到的智能数字化和城市数字化结合,如果真的做到车路协同,车跑在路上更需要依赖很多核心的大数据,如果各种勒索攻击把车厂的中央大数据攻陷了之后,可能就意味着很多智能汽车就不能跑了,每辆智能车都是大质量的传感器,收集了很多涉及到国家安全、个人隐私的数据,车厂掌握这些数据,车厂未来会成为大数据的主要玩家,这些数据如何保障用户的隐私,防止泄露的风险。所以基于新的场景,我认为智能网联汽车的安全包括四层网络安全,第一层是车载网络安全,第二层是车联网络安全,第三层是车云网络安全,第四层是车数网络,本质就是车厂大数据网络安全的安全。

通过以上的分析,我们发现今天当你面临智能网联汽车的安全,已经从当年买两个杀毒软件就能轻松解决问题的时代已经变了,它是复杂的安全系统性问题,系统性的问题需要体系化方案,如果希望车厂说在车上装安全软件,或者在车厂里买安全设备,就能解决问题,肯定是痴人说梦。传统的网络安全碎片化的产品堆砌,缺乏顶层设计,没有体系化的作战能力,是无法应对车联网列举的复杂的安全需求。360做了差不多20年的网络安全,虽然是免费杀毒不赚钱,因为用我们的软件人全球最多,通过对安全大数据进行分析,我们建立了全世界规模最大的安全大数据分析平台和独有的攻击基因库,并且练就了一支东半球最大的网络攻防团队,超过四千人安全专家团队,成为行业里攻防兼备,漏洞挖掘,攻击检测核心能力最强的公司,在16年的时间中,累计投入了超过200亿收入网络安全新场景、新威胁的新战法和框架,以新战法打造新框架,以新的框架来为客户构造新的能力,来应对数字化条件下的复杂安全场景和大安全的挑战。

新的战法,简单概括来说就是一个指导,两个融合,以作战、对抗、攻防、斗争思维为指导,核心强调的是安全体系和数字体系相融合,攻击面的放守和资源管控能力的融合,具体的包括数据致胜、单点分析、外防攻击,内控资源、安全基建等核心汇聚全网全企业的大数据,建立全球的视角,提供分析,才能真正监测到车企、车云、车辆终端有可能发起的网络攻击。

基于这套战法360构建了一套安全能力框架,可以支撑工业互联网、车联网安全场景,打一个比方,原来的安全公司面对车企是卖药,有什么病我们都按单抓药,实际上车企没有自己的能力,我们现在提出的方案是帮助车企建医院,不仅提供医疗设备,还提供基础设施和运营体系,帮助企业寻求自身的医疗能力,提升自身的安全能力。这个能力我不多讲了。

最后简单汇报一下360在智能网联汽车方面做的工作,从2014年起成立专门的团队,并且与10多家车企建立了汽车联合实验室,累计发现汽车漏洞多达1500个,保护上千万车辆的安全。我们也从三个方面在推动网联汽车安全生态的建立,我们牵头制订了网联车安全标准制定及生态发展。我们也发布了车联网安全守护计划,将免费将能力开放给车企使用。360一方面是生态的推动者,更是参与者,今年投资了哪吒,打造智能网联汽车安全解决方案的样本。汽车互联网的安全比我们想象的复杂,很难想象开车100公里跑着,突然问你要不要阻拦一个不当的行为,我觉得这个行为本身可能是更不安全。所以只有深入车企一线,才能真正了解智能网联汽车的安全究竟有哪些问题,我们需要把哪吒汽车作为试验田,探索成熟以后输出给其他车企,我们为哪吒建立车联网安全能力,帮助建立安全基础设施,例如威胁情报的分析能力、网络安全漏洞的挖掘能力、实战攻防的演习能力,并且在车联网特别是大数据保护方面不断完善,取得初步成果。

这是最近我们对智能网联汽车安全很粗浅的思考,世界的数字化发展一日千里,对网络安全的挑战与日俱增,沙滩上难以建立万丈高楼,面对智能网联汽车给中国智能汽车提供了百年的难得机遇,我们希望与诸位一起共同为全球汽车产业的数字化发展保驾护航,谢谢大家。

更多会议内容,欢迎点击以下链接进入观看:

网站:https://auto.gasgoo.com/NewsTopicLive/358.html

移动端:https://m.gasgoo.com/news/topiclive/358