近日,英国国家网络安全中心发布了一份报告,公开曝光了英国网络安全领域中存在的一些漏洞和隐患。报告指出,尽管长期以来英国在网络安全领域的投入和研究已经获得了一定的成果,但在面对新型网络攻击和安全威胁时,英国网络安全还存在着不少弱点和薄弱环节,需要加强保障和防范措施。
在网络安全领域中,漏洞处于最为危险的地位,它们可能是网络攻击者进行攻击和入侵的“后门”和“通道”,给网络安全埋下了隐患和威胁。英国国家网络安全中心在报告中指出,英国网络安全领域中存在的漏洞主要涉及到两个方面:防范和处置。
在防范方面,英国网络安全中心发现,尽管各种安全软件和设备在英国网络安全领域得到了广泛应用,但是英国企业和机构普遍存在的信息化水平不高,往往会给安全软件和设备提供大量“不利土壤”,增加了外部攻击者进行攻击的成功概率。此外,英国企业和机构对员工进行安全教育和培训的力度不够,导致在员工内部中存在着不少安全漏洞和风险。
在处理方面,英国国家网络安全中心指出,英国网络安全领域中的处置机制和应急响应能力还有待提高。英国网络安全领域中依然存在着对安全态势的“盲点”,在面对重大安全事件时,需要付出的成本和代价也较高,易导致安全事件局面失控、影响恶劣。
基于以上情况,英国网络安全中心呼吁英国和企业加强网络安全保障,完善网络安全措施,提升网络安全能力。为此,英国国家网络安全中心提出了以下五个方面的建议:
1. 提升信息化技术水平。加强对企业和机构的信息化技术培训和教育,提升信息化技术的应用水平,为安全软件和设备提供良好的支持环境。
2. 完善安全设备和软件。鼓励企业和机构采购高质量、高安全性的安全软件和设备,保障企业和机构网络的安全和稳定运行。
3. 强化员工安全教育和管理。加强对员工的安全教育和管理,提升员工安全意识和安全卫士意识,减少内部安全漏洞和风险。
4. 提高安全数据的收集和处理能力。完善网络安全监测和检测技术,在发现安全漏洞和问题时,及时采取有效措施,避免漏洞转化为安全事件。
5. 提升网络安全响应能力。建立完善的安全事件处置机制和应急响应能力,加强国际合作和信息共享,提升保障能力和应对能力。
加强网络安全保障已经成为全球安全领域的重要议题。在英国,加强网络安全保障已经成为和企业的共同责任和使命。英国网络安全中心的报告为英国网络安全领域的加强和完善提供了有益的参考和指导,相信未来,在国家网络安全主管部门和企业机构的共同努力下,英国的网络安全将会有更长足的进展。
相关问题拓展阅读:
- 超过200万辆奔驰曝出安全漏洞:智能汽车如何抵御黑客攻击?
- 欧洲药品管理局遭黑客攻击,网络安全该如何得到保障?
超过200万辆奔驰曝出安全漏洞:智能汽车如何抵御黑客攻击?
在车联网领域,也许安全人员已经提前扑灭了数场不为人知的“森林大火”,但终有一天我们也许会面临一次前所未有的汽车安全威胁。但只要全球汽车产业链能够精诚合作,提升对于安全防护的重视程度,那么这场“大火”的发生,就可能被无限期推延。
作者丨周到
▼
丰田“刹车门”、高田“气囊门”……传统汽车因为质量问题造成车辆大规模召回,乃至部分零部件企业破产的情况已经不胜枚举。但随着汽车智能化时代的到来,由车辆软件漏洞而带来的黑客攻击,将成为直接危及社会资产乃至人身安全的新威胁。这尽管在大多数人看来有些危言耸听,但随着一些过去不为人们所知的案例曝出,愈发严峻的现实正在我们面前展开。
2023年11月,360 SKY-GO安全研究团队宣布,他们和梅赛德斯奔驰共同发现并修复了19个安全漏洞。通过这些漏洞,黑客能实现批量远程开启车门、启动引擎等控车操作,影响涉及奔驰已经售出的200多万辆汽车,这也是迄今为止影卜搏响范围最广,涉及车辆最多的车联网漏洞挖掘事件。
360发布的《2023年智能网联汽车信息安全年度报告》
不过,奔驰的安全漏洞曝出并不是孤立事件。在360公司SKY-GO团队发布的《2023智能网联汽车信息安全年度报告》中首席出行官看到,过去一年的全球汽车出行产业,竟然因为黑客攻击造成了如此惨重的损失。
「数字钥匙存在漏洞,窃贼30秒盗走特斯拉Model S」
2023年4月,由戴姆勒投资建立的共享出行Car2Go在芝加哥有100辆豪华高端车被盗,被迫停止了在该地区的运营工作。更可怕的是,这其中的一部分车辆还被用作违法犯罪活动。根据相关研究人员披露,CarGo的APP遭到破解是导致这次车辆集体被盗的原因。最终经过一番抓捕,地区检察官对21位嫌疑人提出了指控,但恶劣的影响已经覆水难收。在多重因素的影响下,Car2Go在2023年6月宣布退出中国市场,并逐步缩减了在北美市场的业务。
由此可见,基于智能手机实现的数字车钥匙APP尽管带来了很多便利,但短板也非常明显。据介绍,数字钥匙的安全性不仅依赖于车钥匙上的环境载体安全芯片(SE)和可信执行环境(TEE)系统,其整个业务逻辑上的各个环境都需要紧密配合。比如安全的服务器,以及采用加密的传输通道和双向认证的传输协议。而在其中任何一个环节出现漏洞,那么整套流程就会被破解,进而让黑客窃取用户隐私,甚至取得车辆的远程控制权限。
首席出行官认为,对肢圆于普通车主来说,选择可靠的网络环境来使用数字车钥匙有助于规避这种风险。例如,不要在公共WIFI上使用APP解锁或控车,更好连接4G运营商的网络。但对于车企来说,防止这类风险更好的办法,莫过于定期梳理安全威胁并进行风险管理。
但由于车企和供应商此前缺乏关注,在2023年欧洲和美国曝出了多次对包括手机APP以及数字钥匙中的攻击事件。在英国,仅2023年前10个月就有超过型饥祥14000多次针对数字钥匙的车辆盗窃事件,平均每38分钟就有一次盗窃发生,而小偷作案时间通常不超过30秒。这其中最知名的一次攻击,便是英国博勒姆伍德地区的一次特斯拉被盗案件。
在事件中,两个窃贼在30秒钟内,使用中继攻击设备成功盗走了1辆特斯拉Model S。在过程中,小偷利用一个中继类设备,现在车主房屋周围搜集特斯拉钥匙发送的信息,并进行识别和放大,让Model S以为钥匙就在车辆附近。在这个过程中,小偷并没有设计破解钥匙和车辆的认证算法机制,只是重放了中继设备采集车钥匙发送的信号,并没有篡改信号内容。而中继设备的价格也在日益降低,甚至有黑客在网络上非法销售。
随后,特斯拉更新了车钥匙算法,修复了漏洞。但经过研究人员的分析发现,常见的数字钥匙系统均存在未启用固件读写保护、使用缺乏双向认证机制的通信协议、缺少安全分区等问题。而此次事件中特斯拉钥匙的供应商同时也在为多家知名车厂提供方案,显然这也为破解留下了漏洞。
「智能汽车时代,安全漏洞可能成倍增加」
读者们可能都听说过,能否实现全车的在线升级,即“整车OTA”,成为了如今判断一辆车究竟是否为“智能汽车”的标准。车辆从分布式架构,逐步演进为域集中式架构和中央集中式架构。简而言之,车辆变得更像是智能手机,硬件不再像过去那样,只被某一个特定功能所独享。就像是车辆ADAS摄像头,不仅可以用做探测前方车辆以及道路标志线,未来还能够作为感应雨刷的探测器。
尽管这种做法能够提升车辆的智能化水平并降低硬件成本,但共享的硬件将会面临被非法调用、恶意占用等安全威胁。随着关键ECU(微控制器)的功能整合程度进一步提高,代码量的增加会导致漏洞随之增长。例如蔚来ES8在2023年知名的“长安街停车升级”事件,便是因为该公司未向用户提供终止升级并安全回滚到可用版本的功能所导致的。因此,车主在当时不得不在长安街主路上等待车辆升级完成。而SKY-GO团队的负责人告诉首席出行官,如果这项漏洞被黑客所利用,可能会导致后者使用拒绝服务攻击,让车辆无法正常启动。
那么问题就来了,汽车企业如何才能规避安全风险呢?这个问题需要从车辆和系统的开发,监控,运营等方面来解决。
首先,包括车企、供应商在内的汽车产业链上下游公司需要建立安全责任体系,并严格执行安全标准开发产品。其次,车企对黑客的攻击不能只是被动防御,还要对车辆、服务器等攻击面进行动态监控,主动发现攻击行为并及时阻断。只有这样才能够形成安全闭环,在提早发现威胁后,及时发布补丁程序。只有在造成严重影响之前解决问题,车企才能够避免遭受因召回、舆情负面带来的损失。毕竟作为一个事关生命安全的产品,汽车要比手机对安全更加敏感。
最后,车辆信息安全体系的搭建,绝对不只是车企以及供应商的事情。网络安全公司、高校乃至“白帽子”(发现漏洞后主动上报,提供修补线索的正面黑客),都应当成为车企在智能化时代的新盟友。早在2023年,特斯拉就设立了“安全研究名人堂”,用于表彰发现特斯拉产品漏洞的安全团队,360的SKY-GO、腾讯的科恩实验室都曾多次上榜。而在2023年,通用汽车也和致命的白帽黑客平台HackOne合作发布了“漏洞悬赏计划”。受到此前的教训,奔驰也计划在今年发起聚焦安全的“漏洞报告奖励”,邀请全球技术人员共同提升车辆的信息安全系数。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
欧洲药品管理局遭黑客攻击,网络安全该如何得到保障?
欧洲药品管理局对外发布表示自己遭受到了黑客的攻击,其中药品管理局正在审查的一种新冠疫苗,在被黑客攻击期间被非法获取了,所以有很多人强烈的建议,希望医疗行业也能够将网络安全的问题重视起来。
那么要让网络的安全得到保证,那么在进行网络运行之前一定要对其安全进行认证,对其风险进行评估,对他保障进行检测。
在对网络进行检测时,一定要将其发现的漏洞以及病毒还有可能会遭受到的攻击向社会进行一个发布,并且在运行网络的时候一定要遵守国家的有关规定,那么一旦有任何的风险,才能够在之一时间内向国家进行反馈。
同时一定要规范这种对网络安全不利的行为,一定要对这种行为进行严格的处罚政策,
毕竟有了法律的支持,各种运营商以及用户才更加有底气有保障去使用网络,那么国家和就更应该对这种行为进行遏制,表示任何人以及任何组织都不能够非法的入侵他人的网络,因为这样会干扰到他人在使用网络时会发生隐私泄露信息被异常盗取等等情况,毕竟网络存在其实是为了给我们的生活提供便利,而不是为了方便那些有不良之心的人。
网络运营者更应该在后台加强对网站的保护,
对于这种电子信息我们普通人不太懂,但是专业的能力者应该为网络的运营竖起重重的保障,即使是再遭到黑客攻击的时候也能够有效的抵抗,并且能够在之一时间发现黑客攻裂仿击进行及时的反击,只有在这样用户在运用的时候才能更加的放心,同时网络运营者应当和公安机关以及国家的安全机关共同维护网络安全,在发搭卖现了有黑客进行攻击的时候,应该及时的向这些机关提供技术知源逗支持。
同时当一个网络正式的投入市场运营时之前,一定要有相关的行业组织对这个网络进行预测,同时也应该在该行业建立一个健全的网络安全保护规范以及机制,这样的话当这个网络或者网站具有风险的时候,我们用户以及外界能够及时的知晓。
应该加强网络防护装置,比如防火墙等。另外也应该设置密码,让黑客不容易破解。
我认为想要网络更加的安全就需要每个上网的人岩春前能粗清够有一个好的安全意识。并且国家的一些相关的技术人员也要对网络环境有一个更好的森氏保护。
网络安全如果需要得到保障,那么就需要人人都拥有安全意识。首先是个人我们不要做一些会影响到网络安全的事,例如下载不明的软哪侍件或者登陆不明态缓枝帆敏的网站。作为公司应该提升自己公司的安全,雇一些专业人士来维护自己的公司。
关于英国网络安全中心发现漏洞的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
