不可否认，当今的汽车是复杂的，工程师们正在努力确保每辆车的安全性跟上新的功能。Forescout估计"现代汽车中的软件超过1亿行代码"，是航空电子软件的15倍。这意味着黑客有很多切入点，无论是通过移动应用程序、手机网络、互联网接入、车辆控制器局域网（CAN）总线，甚至是车载诊断端口。"不可否认，当今的车辆非常复杂，工程师们正在努力确保每辆车的安全性跟上新的功能。"在推特上留言2019年Synopsys和SAE的一项研究显示，84%的受访汽车专业人士担心他们目前的网络安全计划跟不上他们支持的技术。更糟糕的是，近三分之一的人表示，他们没有相关的网络安全计划或团队来解决这一问题。由于消费者期待新的硬件、软件和内容，以使他们在旅途中保持娱乐和知情，因此开发人员很难处理越来越多的优先事项，并在这种复杂的环境中创建有效的解决方案。这篇文章深入探讨了汽车专业人士面临的具体的、不断演变的风险，并提供了三个具体的策略来避免这些风险。汽车黑客：一个日益增长的目标几十年来，收音机和人与人之间的交谈足以使司机感到愉悦。今天，我们希望无论位置如何，通勤时间越来越长，都能保持联系。现代汽车配备了车内信息娱乐（IVI）系统和导航系统，可以访问一系列第三方应用程序，甚至可以访问车内互联网和WiFi。这就为漏洞提供了更大的表面积。扰乱某人的娱乐活动可能会让人恼火，但如果黑客利用这一入口点进入刹车或转向系统，后果将是可怕的。这不仅仅是一种可能性，最近一个黑客闯入了两个GPS跟踪应用程序（ProTrack和iTrack），可以访问个人数据、实时监控车辆位置并停止引擎。因为所有的客户都被分配了123456作为默认密码，这个被称为"L&M"的黑客告诉主板，他能够通过应用程序的API对"数百万个用户名"进行暴力破解。虽然"L&M"是为了获得奖励，加上提高了人们对其脆弱性的认识，但主板公司证实，他一次触碰就可能在多个国家造成交通堵塞（可能还有事故）。"如果黑客干扰了进入点，可能会造成可怕的后果。"在推特上留言在另一个案例中，由于API认证实施不力，学习大数据，一名安全研究人员得以侵入日产聆风的配套应用程序NissanConnect，远程控制气候设置，耗尽汽车电池电量，并监视最近旅程中的数据。用户熟悉锁门或隐藏贵重物品的必要性，但他们不太熟悉他们的汽车现在需要的网络安全工具。这为工程师和CTO提供了一个机会，通过提供用户可以信任的安全性来区分他们的产品。在不断发展的行业中提高网络安全没有一刀切的解决方案，但关键领域的变化可以提高用户的安全性。1实施威胁检测。你越早收到威胁或可疑活动的警报，你就越有能力做出反应。这说明了建立一个强大的入侵检测系统的重要性。Auth0提供了异常检测，它既提供了暴力检测，也提供了密码泄露检测，这可能有助于保护ProTrack和iTrack客户免受L&M的黑客攻击。使用Auth0，管理员可以轻松地在他们的仪表板中设置异常检测的首选项。您将快速发现系统中的可疑活动，立即接收警报，并设置阻止恶意访问尝试的控件。IVI、浏览器和互联网接入的引入都拓宽了车辆的攻击面，给黑客提供了更多进入和隐藏攻击的方法。黑客不会留下一个破碎的窗口和一个空控制台。如果没有一个快速发现威胁的系统，它们可以隐藏起来，数据可以保持暴露，公共关系灾难也会增加。如果你不及早发现缺陷，类似的车辆也可能同样脆弱。2创建更简单、更安全的登录。许多现车已经配备了远程启动系统，但是用户可以远程控制的功能范围只会随着汽车联网程度的提高而增加。用户可以远程操作的越多，如果能够获得访问权限，黑客可以做的就越多。具有容易被盗凭证的远程接口存在危险的漏洞。有了价值22美元的设备，北京的研究人员能够秘密地扩大遥控钥匙的有效范围，让一辆汽车相信他们离得很近。通过欺骗钥匙的信号，他们可以在司机不知情的情况下进入车辆。即使是特斯拉模型，在一个广泛的安全团队和加密密钥的支持下，也让安全研究人员使用克隆的遥控钥匙来控制。在被黑客攻击的日产聆风（nissanleaf）的案例中，安全研究人员只是通过挡风玻璃上的VIN来控制汽车的功能。提供应用程序和在线访问门户的汽车公司和第三方技术提供商可以通过更严格的认证措施保护客户。多因素身份验证（MFA）和生物特征识别等功能可以帮助确保访问安全，并阻止黑客快速进入。例如，对于多因素身份验证，用户需要的不仅仅是其姓名和密码才能登录。访问需要附加凭据，如语音片段、指纹或移动设备。Auth0 Guardian简化了设备间的身份验证，从而在保证系统安全的同时保持积极的用户体验。卫士通过删除多个身份验证码，只需一次即可完成。相反，管理员只需点击一个按钮即可下载应用程序并批准登录请求。当您处理大量的登录请求时，Guardian使该过程更加高效，因此您可以专注于开发和分发新功能。在登录时确认用户身份是非常重要的，此外，一旦用户有了访问权限，就要监控他们的行为。没有这一层保护，不诚实的用户更容易进入系统并造成严重破坏。三。确保您的安全解决方案是可扩展的。车辆，如移动设备，韩国云服务器，服务器云服务，在行驶、连接和重新连接时，淘客联盟，会面临风险。一些用户希望将手机、平板电脑和电脑连接到汽车的接口上，从而进一步扩大接入点。当他们把车停在餐馆、露营地或加油站时，他们可能还想把车连接到当地的WiFi网络。有些汽车甚至提供内置WiFi热点。安全需求不仅随着新功能的变化而变化，而且随着使用这些功能的新方式和新地点的变化而变化。随着公司和用户群的发展，拥有能够适应的基础设施是很重要的。为了能够跟上汽车业这样一个动态的行业，您的威胁检测、身份验证和身份管理系统必须足够灵活，以支持您不断变化的业务目标。你的技术应该使你成功，而不是阻碍你的进步。一个外包的身份提供者可以把跟上不断发展的标准和威胁的负担从你肩上卸下。当您的IT团队忙于日常操作时，大数据怎么学，很难创建满足您当前需求并且能够根据未来优先级进行转换的系统。Auth0为其合作伙伴提供了100多个预先构建的规则和扩展（以及编写原始代码的能力），允许您根据需要的变化定制用户管理系统。规则可以丰富用户配置文件，在特定登录发生时通过API通知其他系统，拒绝访问用户白名单，等等。有关完整列表，请参阅此处。向前推进：与能够领先于不断变化的威胁的系统合作OAuth设备流是一个新兴的标准，用于保护像车内系统这样的设备可以直接接触到的云api。当人们坐在电视机前的沙发上访问他们最喜欢的流媒体服务时，这个流被用来验证他们的身份。OAuth Device Flow还允许我们简化对任何具有输入限制的设备的身份验证，例如没有内置浏览器或键盘，如车载信息娱乐系统。随着越来越多的汽车系统公开了用于远程访问的api，使用现代身份验证功能（包括威胁检测和多因素身份验证）来保护这些入口点将是至关重要的。当在基于web的应用程序中实现时，这些功能提供了经验证的好处。没有浏览器和有限输入功能的车载系统如何利用这些功能？设备流提供了一种标准机制，用于将基于浏览器的身份验证扩展到输入受限的设备，允许用户通过辅助设备（如智能手机）登录到其帐户。这提供了一种安全、方便的方法来确保正确的用户处于控制之中。这个协议是否可以建立在为"智能汽车"提供动力的众多API之上？当前和未来，汽车行业可以提供哪些选择，以提供更安全、更智能的驾驶体验？我们随时准备帮助您解决各种可能性。联网车辆为黑客提供了明确的目标。考虑到软件的数量和复杂性以及对新功能的不断增长的需求，对这些系统的安全保护可能会让人望而生畏，但您不必独自解决这个问题。有了正确的工具和策略，你可以阻止网络犯罪