【MarketTrend】安全是驱动设计无人驾驶汽车的命门

作者：Palo Alto Networks 副总裁兼亚太区安全总监 Sean Duca

全世界汽车制造商及互联网企业都采用更多领先技术，用以增强互联网设备的连接能力，从而发挥自动化的优势。尽管无人驾驶汽车已成为行业热话，但最近发生在美国的两宗自动驾驶汽车交通意外，又为自动驾驶或无人驾驶汽车的安全问题带来暗涌。即使设备和车辆之间拥有良好的互联，有时也会引起严重的网络安全问题。

随着物联网（IoT）的发展，愈来愈多设备通过云端连接，意味着网络中的任何一处脆弱环节都有可能为攻击者提供可乘之机。攻击者可以对移动中的车辆进行远端胁持，这对网络间谍或者恐怖集团来说尤其具吸引力，因为胁持某个系统，就意味着可以入侵并控制整个车队。

举例来说，2015 年 7 月，两位网络安全研究人员便展示了这种能力，他们在 10 公里之外对行动中的 Jeep Cherokee 实行遥距无线控制。据这两位研究人员推测，路面上行驶中的成千上万的车辆都有可能受到这种攻击。

这次演示后，汽车制造商随即推出安全修补，但需要车主驾车前往汽车销售商处进行手动安装修补，意味着现时绝大多数的车主都处于会高风险状态。

很不幸，世界各地的 IT 部门往往都是受到攻击后才发现漏洞存在，届时可能应接不暇。正因如此，在全新互联网产品上市前，他们需要从一个更周全的角度来考量安全需求。事实上，通过云端，能将个人设备与车辆相联，敏感的个人资料、健康记录、公司资料、国家安全及公共服务都因为生活依赖于互联车辆而变得危险重重，确保这些连接设备的安全已成为关键。

网络安全企业、网络供应商，以及 IoT 产品供应商，对以下三个主要领域的心态方面需要从根本上进行调整。

侦测 VS 防御
许多 IT 行业从业者被灌输防御高级攻击的困难程度相当之高，应该放弃防御而聚焦于对攻击的侦测和回应。但在车互联网领域并非如此，这想法在 IT 环境里亦并不真确。

对已经发生的攻击进行侦测的确比防御容易。可以对易受攻击的系统和应用程序进行日常的侦测和安全修补，但在通常情况下效果微乎其微且为时已晚。对于自动驾驶车辆来说，一旦被胁持，乘客的生命便受到威胁。所以，在攻击发生之前能够侦测到并采取以防御为主的手段，是更安全的方案。

MICRO-SEGMENTATION
一旦攻击者决定胁持某辆车辆或者流动设备，只需要某个公开的无线网络，便能接入该网络中的设备。但是，大多数客户希望能够接入安全的移动网络，这个网络只允许经过授权的连接接入，但对于来自外网的可能性攻击，这些客户准备得都不充足。

微观细分（micro-segmentation）的方式值得推广，借助网络交换机对网络进行分拆，可对外来的连接加以限制，限制所有接入每次只准存取一小部分数据并对它进行漏洞扫描，从而限制攻击规模。这样，只有合法的流量才被允许通过并传送至正确的位置。

安全产品架构
企业需坚持以安全为主导来设计其互联网产品，必须从一开始就假定任何互联网物体都存在风险，然后依据这种假设进行产品设计，而不应仅仅关注产品如何运作。

设计汽车时，厂商需扪心自问—汽车是否需要时刻保持在线状态，还是在必要时刻可以选择断线？汽车的互联网部件是否需要与刹车器、传动装置及其他关键系统进行互动？它是否可以单独只与需要网络连接的导航、娱乐及其他便利装置进行互动？

只有确定这些细节，厂商才能更清楚地了解潜在的安全性漏洞问题，从而做出更加明智的决策打造出更加优质的互联网产品。

物联网时代带来诸多好处，同时也产生了一些不容忽视的风险。做好对潜在攻击的防御工作是推动物联网发展的唯一可行的途径。企业需要恰当地分割其网络流量，并只借助合法使用者及协定防止利用漏洞的行为。此外，在设计互联网产品的过程中，当厂商以安全为导向为物联网设备鉴定漏洞时，需要确保所有安全基站均被覆盖，这一点至关重要。