安全成智能网联研发重点考量，腾讯安全sysAuditor助力打通全流程通道

　　11月11日-13日，2020世界智能网联汽车大会(WICV 2020)在北京举行。作为全国首个国家级智能网联汽车年度大会，本届大会以线下会议结合云直播、云展览的方式，邀请国内外智能网联汽车相关产业链专家、企业代表，围绕“智能新时代 车联新生活”的主题，探讨全球汽车产业新生态与技术创新版图重构的新思路，分享行业前沿科技与最新成果。

　　腾讯产业安全运营部总经理吕一平在大会上，从车联网安全攻击面持续扩大的现状出发，结合腾讯安全科恩实验室研究实践，分享了腾讯对智能网联信息安全问题的思考及提升思路，并提出将安全纳入研发设计与管理阶段，通过“安全左移”提升智能网联领域安全能力。

　　(腾讯产业安全运营部总经理吕一平)

　　近年来，随着5G、V2X等技术的推广应用和用户增值付费意愿的提升，车联网作为物联网技术在智能交通系统的重要延伸，迎来新一轮规模化发展拐点。赛迪顾问数据显示，2020年我国车联网市场增速将超过60%，规模将在2021年达1150亿元。

　　从车载智能终端到自动驾驶，智能汽车与互联网的联系愈加紧密。WIFI、充电桩、自动驾驶系统等大量交互接口的衍生，使得智能网联无论是在车端、云端、移动端都面临着更大攻击面。安全性显然已成为智能网联电子电器架构进化升级的关键因素。

　　结合腾讯安全科恩实验室历年对Tesla汽车系统安全的研究成果，吕一平分析，当前智能网联系统常见的安全问题主要涉及三大层面。一是设计层面，系统内核及浏览器版本滞后、已知漏洞未修复等安全特性设计的不完备，使得整个智能网联系统陷入被远控的风险。二是工程实践层面，来自系统自带安全防护、自研应用服务等的配置错误、代码实现逻辑等功能缺陷，为攻击者破解系统提供了突破口。此外，由自动驾驶等新技术引入带来的前沿算法的应用，引发了诸如特斯拉雨刮器错误启动、道路标记干扰等新攻击。

　　面对持续叠加的安全修复成本与代价，如何以更低成本高效解决信息安全问题，并提升原生安全能力，成为当前智能网联产业链共同的关注点。腾讯安全科恩实验室研究统计数据显示，由于智能汽车开发/供应商安全需求缺位的常态化，设计缺陷和已知漏洞等造成的安全问题占比已高达60%。对于智能网联汽车而言，系统设计与研发阶段的安全考量变得更加重要。

　　在吕一平看来，针对供应链系统碎片化明显等车联网发展现状，设计研发阶段的安全左移是破解车联网安全难题的有效途径。具体到实践场景，涉及人、技术和流程三个层面：

　　● 人的层面，实现安全思维上的左移。从企业宏观视角，建立高度协同且具备前瞻性的信息安全全局思维，组建专业安全团队，打通规划、咨询、评估、测试管理全链路;

　　● 技术层面上，紧扣最小权限、攻击面收敛、默认安全、纵深防御等安全基本原则，重视成熟安全技术与车联网业务场景的融合，并选择合适的自动化工具，提升安全开发效率;

　　● 在设计研发流程上，注重安全前置的实践。基于车企研发模式向软件定义迭代转变的趋势，致力在研发设计层面解决大部分安全隐患，达到低成本高回报的安全效益。

　　对于大多数智能网联产业链企业而言，成熟自动化工具的应用是提升系统设计研发安全构建效率的重要辅助。为此，腾讯安全科恩实验室结合其在车联网安全领域的技术研究和服务能力产品化的成果，打造推出了一款专注于嵌入式系统的全自动安全基线审计的渗透测试辅助平台工具sysAuditor。

　　这一嵌入式系统安全审计平台能够检测出90%的共性安全问题，助力企业实现对研发漏洞检测、系统安全验收、潜在风险规避和行业安全管理等的自动化审计，从而达到提升安全基线，降低维护成本的目的。日前，该平台成功入选了工业和信息化部网络安全管理局公布的2020年网络安全技术应用试点，进一步加速车联网安全最佳实践的复用和解决方案的落地。

　　伴随着“新基建”的宏伟蓝图不断铺开，各行各业数字化转型步伐再次提速，安全能力也需要在数字化进程中实现“自适应”，能够和5G、云计算、智能网联汽车、人工智能等新基建新技术产生动态协同效应。未来，腾讯安全将持续释放释放顶尖人才、技术优势，加深安全产品和服务与产业场景的贴合度，夯实数字化产业纵深发展的安全底座。