自动驾驶汽车安全性的失误

获取全新的 Intel® IoT Developer Kit，这是一个完整的软硬件解决方案，使开发人员能够使用 Intel® Galileo 和 Intel® Edison 板创建令人兴奋的新解决方案。请访问 Intel® Developer Zone for IoT。

最近，一家自动驾驶汽车公司公布了确保其车辆免受黑客攻击的计划。然而，他们的计划实际上并不能保证安全。这种失误凸显了许多不同行业普遍存在的问题：制造商对网络安全缺乏足够的理解，无法生产出抵御攻击的产品。在自动驾驶汽车领域，其后果可能是灾难性的。

在这篇题为《为什么有些自动驾驶汽车将避免使用互联网》的文章中，该公司首席执行官告诉《金融时报（付费墙）》：“我们的汽车只在需要时与外界通信，因此没有一条持续的、可被黑客入侵的线路进入汽车”。他们选择让汽车在很大程度上离线运行，以防范网络威胁。

听起来很有效

乍一看，这似乎是一种有价值的黑客防护机制。但事实并非如此。“控制”在于减少互联网连接，这在未连接时确实提供了一定的安全价值。但这正是逻辑出现问题的地方，最终，它并没有显著降低被攻击的几率。

人们似乎理所当然地认为，通过减少系统的整体漏洞可以提高安全性。但并非总是如此。仅仅因为你消除了 50% 的漏洞，并不意味着你将遭受侵害的几率减半。情况更复杂，因为存在其他依赖关系。这种错误甚至在初级安全专业人员中也很常见，他们被教导将风险视为一个纯粹的方程式（R=T x V x I）。风险等于威胁乘以漏洞乘以影响，当用于特定目的且使用得当时，这是一个很好的方程式。减少任何数量的漏洞，其结果风险也会随之降低。然而，这个方程式并非适用于所有问题或讨论。

回到自动驾驶汽车安全问题。间歇性连接是一种降低可用性的策略。对攻击者来说，这只是一个网络延迟问题，很容易克服。有大量的先例和历史证明了这一点，我在此不一一赘述。相反，让我们通过一个类比来以不同的方式思考这个问题。

建造一堵墙

想象一下，你的任务是保护你的村庄免受劫掠者的侵害。你聘请了一位安全专家来大大降低匪徒进入你的小村庄并制造混乱的风险。村庄周围建造了一半的墙，所有人都看得到。这位安全专家随后自信地宣布，他已经将漏洞减少了一半，因此将成功攻击的几率降低了 50%。错。劫掠者只需要绕过这堵墙就能进入村庄。这可能会让他们放慢速度，因为他们在笑着绕过防御工事，但这并不能阻止或阻止攻击。

这里提出的正是同样的建议，这就是为什么减少自动驾驶汽车的互联网连接是一种无效的安全控制。此类策略过去已被证明是徒劳的。

漏洞利用

逻辑问题的根源在于从均等漏洞的角度看待安全。并非所有弱点都相同。可能存在一百个漏洞，但只有 5 个被用于破坏系统。只有修复这 5 个（被利用的）漏洞的努力才很重要，而其他 95 个对即时实现安全的目标毫无意义。

网络攻击者会等待连接来破坏设备，就像小偷会绕过锁着的门从开着的窗户进入一样，劫掠者也会绕过墙壁进入村庄而不受阻碍。攻击的几率并没有显著降低，只是发生的时间会推迟。

问责制

在这种情况下，这家汽车公司宣传的安全设计特性实际上是无效的。然而，他们自己并没有意识到。作为消费者，我们必须让制造商对他们生产的产品安全、可靠和隐私负责。对于可能存在生命安全风险的设备，这一点尤其重要。当公司在市场营销和公开宣传中表现出对网络安全知识和经验的缺乏，这很可能是由于技能不足或高层领导优先级问题，同时又对他们产品的安全性表现出信心时，就应该引起关注。这是一种危险的组合。

确保安全

至关重要的是，要在设计和核心功能（硬件、固件、操作系统/实时操作系统、软件、端点、网络等）中建立最佳安全能力，以保护乘客和行人免受数字泄露可能导致的灾难性事故的影响。安全必须有效、经济且不影响可用性。

理解网络安全可能充满挑战，但许多汽车公司正在大力投资自动驾驶汽车，以使其成为现实。作为这项投资的一部分，他们必须聘请合适的网络安全专业人员来制定适当的战略、架构和能力。值得庆幸的是，我知道该领域有许多人正在研究超越减少互联网连接的更全面的解决方案，以管理可能影响我们所有人的广泛风险。我相信现在是所有汽车制造商共同努力，制定统一的能力，以满足日益增长的安全、隐私和可靠性期望的时候了。

想了解更多？关注我的 Twitter (@Matt_Rosenquist) 和 LinkedIn，了解网络安全方面的见解和动态。