Skip to main content
  • Developers
  • Learning Hub
    • Learning Hub Developers
    Price. Buy. Download. Try.

    工业车辆的网络安全:风险与解决方案

    随着工业车辆自动化和连接性的提升,网络安全风险也随之增加。车队管理者必须识别威胁并采取预防措施来保护资产。了解如何保护您的车队免受网络安全威胁。

     

    Daniel Dawson是双语记者,报道主题广泛,尤其擅长农业和可再生能源领域。

     

    参加我们的网络研讨会

    关键亮点

    • 连接性已成为优化工业车辆管理的关键要求。
    • 遭受网络攻击的可能性会随着连接的扩展而增加。
    • 人工智能工具也可能被用于实施网络安全违规行为。
    • 软件设计、确认、验证和维护是互联工业车辆网络安全的基石。
    • 购买工业车辆时,严格的合同安全要求和详细的软件物料清单 (BOM)至关重要。

    稳步增长的需求、新兴技术与新法规的融合凸显了优先考虑工业车辆网络安全的必要性。

    研究公司Markets and Markets预测,从货物装卸、重型建筑到农业、采矿和林业,整个工业车辆行业的市场规模将在2030年前稳步增长约三分之一。

    随着工业车辆数量的增加,这些车辆的连接性也在提升,从而实现自动化,并借助人工智能提高效率。

    Qt_IV_03_low

    连接性开启网络攻击之门

    为实现这些增强功能,运营技术和信息技术(OT和IT)之间的连接性不断增强,引发了更多网络安全漏洞,也逐渐导致监管力度加大。网络安全研究公司GRIMM Cyber首席执行官Jennifer Tisdale指出,工业车辆的车队管理者面临的风险因车辆的用途、连接程度、类型以及是软件驱动系统还是自动驾驶系统而大不相同。

    广义而言,工业车队管理者可能会面临一系列网络攻击,包括数据盗窃、勒索软件、分布式拒绝服务(DDoS)攻击和供应链漏洞等。Tisdale认为,这些威胁可能会导致运营中断,要想恢复和确保安全,可能需要花费数十万美元,甚至更多

    除了经济损失之外,关键安全功能的中断还可能导致严重的人身伤害甚至死亡,因此网络安全是工业环境中必须考虑的因素。

     

    了解Qt在工业车辆中的应用

    jelte-395516_27

    CYBATI和Dragos Security的联合创始人、伊利诺伊大学信息信任研究所的研究科学家Matthew Luallen指出,工业车辆的连接性越强,就越容易受到网络攻击

    当连接越多、功能越强时,就会产生更多的网关进入车辆的无线控制系统。他说,所有这些重叠的架构层都是随着时间的推移而建立起来的,其中许多可能存在网络漏洞,因为最初设计时并没有考虑到这一点

    GPSSCADA是最容易受到攻击的入口,后者是一种软硬件系统,用于实时监测、控制和自动化工业过程,通常跨越多个地点。

    印第安纳大学布卢明顿分校网络安全应用研究中心执行主任Scott Shackelford指出:

    卫星和通信系统非常容易受到攻击,而GPS也相当陈旧许多卫星是十多年前发射的。它们在设计时并没有考虑到网络安全——这是一个可能被利用的问题。

    Luallen补充说,这些车辆的商业可用性以及相关硬件和开源软件(OSS)使网络攻击者能识别并利用漏洞。生成式人工智能工具的普及只会让这种利用变得更快、更容易。

    扬声器-组合式 4 网络

    识别并解决工业车辆中的漏洞

    Tisdale表示,在识别工业车辆车队的网络安全漏洞方面,没有一个能放之四海而皆准的方法。不过,她补充说,她的团队经常通过以下方式帮助客户识别网络风险

    • 定期评估
    • 安全架构审查
    • 渗透测试
    • 漏洞扫描
    • 事件响应规划,以及
    • 桌面演练

    Shackelford认为,车队管理者应该与制造商和开发商合作,找出漏洞。信息共享与分析中心(ISAC)等资源可以帮助制造商和客户讨论网络威胁信息和最佳实践。

    发现漏洞后,第一步是确定谁将负责监督网络安全。Luallen认为,了解工业车辆内运行的硬件和软件系统以及它们如何相互作用也很重要。应定期查阅通用缺陷列表(CWE)网络信息工程(CIE)等资源。

     

    了解有关质量保证的更多信息

    穆罕默德-礼萨-穆萨维-web-2

    网络安全始于软件

    事实上,软件设计、确认、验证和维护是互联工业车辆网络安全的基石 。伦敦国王学院软件工程教授Mohammad Reza Mousavi表示

    当今汽车技术的大部分创新得益于软件实现的功能。车辆越来越依赖于控制软件的无线更新安全与保障正变得密不可分。如果在连接层面出现安全问题,就会对安全产生影响。

    因此,工业车辆制造商必须与软件开发商和车队管理者合作,确保进行适当的确认和验证流程。

    Mousavi认为,这可能涉及多个不同层面。可以是需求层面,在需求征询过程中尽早考虑安全问题,然后一路将安全性构建到系统中。

    车队管理者还必须有严格的合同安全要求,并在购买工业车辆时要求制造商及其软件开发商提供软件物料清单。Mousavi解释说,软件在不断发展,因此车队管理者、制造商和软件开发商需要共同努力,确定软件和网络安全交叉的最关键领域,并确保任何补丁或更新都不会对交叉领域产生意外影响。

    在考虑系统的用户界面时,这一点尤为重要,因为不当或不知情的使用可能会造成许多漏洞。用户界面不仅会因用户未受过培训而面临风险,还会成为恶意行为(如利用输入字段篡改代码)的便捷入口。

    AdobeStock_483297145-3-web

    在开发过程中编写安全代码可以减轻这些威胁。

    Mousavi认为,很多时候,您尽最大努力去构建一个安全的系统,但由于用户不知道如何操作,他们可能会以您意想不到的方式滥用系统。

    此外,与软件开发商合作的制造商和车队管理者可以通过保持第三方软件集成的透明度来帮助客户提高网络安全性。这种开放性能实现更高效的风险评估和依赖关系识别,这对申请网络安全认证至关重要。

    选择长期扩展支持可使车队管理者无需升级到新软件版本即可享受最新更新和关键安全修复。与使用开源软件、反向移植安全补丁或其他修复程序等常见替代方案相比,这可为最终用户节省时间和金钱。

    一些人认为,除了商业版软件,开源软件生态系统的可用性也有好处,他们认为,如果有更多社区成员使用该软件,就可以测试更广泛的安全漏洞。Mousavi表示赞同:

    默默无闻永远不会带来安全。开源在安全性上不一定是坏事。关键是要围绕开源代码制定适当的质量保证流程。这才是您所需要的。

    注册参加我们即将举办的Visionary Voices of Tech网络研讨会:"通过技术和创新改变工业车辆"。 与来自Novatron英飞凌Calm Tech Institute的专家们一起探索塑造工业车辆未来的创新技术。

    马修-卢阿伦-web-2

    网络安全是商业基础

    Luallen认为,公司需要像对待其他商业风险一样开始考虑网络安全风险。

    用管理财务风险的逻辑来管理网络风险

    虽然有工业车辆车队管理者采取适当措施识别和应对网络安全风险的案例,但专家们并不愿提供具体细节。直到最近,许多司法管辖区还没有关于网络安全的法律报告要求。不过,随着欧盟网络与信息安全指令》和美国《2022 年加强美国网络安全法案》的出台,这种状况开始发生转变。另一个原因是,一家公司可能在某个领域表现出色,但在另一个领域存在更明显的漏洞。

    Tisdale表示,我们看到许多行业的网络安全正在逐步改善,包括重型车辆和农业,以及工业车辆网络安全,例如机场内的自动驾驶工业车辆用例 网络安全是持续的过程,必须优先考虑并适当编制预算,并着眼于长远。