基於現(xiàn)今全球連網(wǎng)汽車普及,造成汽車生態(tài)系統(tǒng)復(fù)雜度及漏洞大幅增加。VicOne和汽車安全研究集團(tuán)(ASRG)今(12)日則在慕尼黑BMW世界舉行的Auto-ISAC歐洲網(wǎng)路安全峰會(huì)上,宣布雙方將緊密合作結(jié)合并優(yōu)化CVE資料庫(kù),以提供涵蓋最全面的威脅情報(bào),方便汽車產(chǎn)業(yè)決策者輕松使用,協(xié)助發(fā)現(xiàn)與修復(fù)車輛網(wǎng)路安全漏洞。
 |
| AutoVulnDB針對(duì)汽車產(chǎn)業(yè)的特殊性,提供系統(tǒng)上下文和情境資料,并確定每個(gè)漏洞的風(fēng)險(xiǎn)級(jí)別,讓所有領(lǐng)域的決策者更容易做出更好、更快的業(yè)務(wù)和開發(fā)決策。 |
尤其因漏洞通報(bào)適用於各種連網(wǎng)汽車組件和系統(tǒng),包括車載資訊娛樂系統(tǒng)(IVI)、作業(yè)系統(tǒng)(OS)和電動(dòng)車充電器(EV charger)等。維護(hù)汽車產(chǎn)業(yè)網(wǎng)路安全的原則之一,就是在車輛上市之前就要識(shí)別出,并且消除數(shù)位威脅和以前未知的漏洞。
VicOne與ASRG在AutoVulnDB的合作,就是要共同抵御、防護(hù)整個(gè)汽車產(chǎn)業(yè)的新風(fēng)險(xiǎn)。雙方將共同啟動(dòng)一個(gè),專門針對(duì)車廠(OEM)、供應(yīng)商及汽車產(chǎn)業(yè)相關(guān)廠商的資料庫(kù)AutoVulnDB,既為汽車網(wǎng)路安全設(shè)定了標(biāo)準(zhǔn),以協(xié)助業(yè)界及早發(fā)現(xiàn)并修復(fù)網(wǎng)路安全漏洞,并確保未來(lái)連網(wǎng)車輛的移動(dòng)安全。
此由AutoVulnDB補(bǔ)充并擴(kuò)展了美國(guó)國(guó)家漏洞資料庫(kù)(National Vulnerability Database, NVD)和美國(guó)通用漏洞及弱點(diǎn)資料庫(kù)(MITRE CVE)提供的現(xiàn)有基礎(chǔ)框架,可針對(duì)汽車產(chǎn)業(yè)的特殊性,進(jìn)一步提供系統(tǒng)上下文和情境資料,以確定每個(gè)漏洞的風(fēng)險(xiǎn)級(jí)別。并與全球最大非限定廠商ZDI的漏洞懸賞計(jì)畫一起提供,覆蓋最全面的漏洞情報(bào),使汽車產(chǎn)業(yè)所有領(lǐng)域的決策者更容易使用,做出更好、更快的業(yè)務(wù)和開發(fā)決策,抵御甚至防止網(wǎng)路攻擊。
ASRG創(chuàng)辦人John Heldreth表示:「我們感謝VicOne在創(chuàng)建車輛專屬AutoVulnDB CVE資料庫(kù)方面的支援,和在車用資安上無(wú)出其右的專業(yè)知識(shí)。但因?yàn)榫W(wǎng)路攻擊永遠(yuǎn)不會(huì)停止,且情況只會(huì)加劇。我們鼓勵(lì)業(yè)內(nèi)專業(yè)人士、網(wǎng)路安全專家和研究人員加入探索這個(gè)資料庫(kù),透過報(bào)告他們的發(fā)現(xiàn)來(lái)叁與,并持續(xù)增進(jìn)資料庫(kù)豐富度。
VicOne執(zhí)行長(zhǎng)鄭奕立強(qiáng)調(diào):「及時(shí)、全面性的漏洞偵測(cè)和修復(fù)對(duì)汽車產(chǎn)業(yè)的重要性,值得反覆不斷地強(qiáng)調(diào)。VicOne已累積多年并能提供專業(yè)堅(jiān)實(shí)的汽車威脅情報(bào),涵蓋范圍從以往未知的網(wǎng)路問題,直到了已知但尚未解決的網(wǎng)路問題。」
除了持續(xù)提供車用資安方案,協(xié)助汽車制造商和Tier 1供應(yīng)商抵御不斷進(jìn)化的威脅,并且符合相關(guān)規(guī)范。也希??透過與ASRG合作,希??長(zhǎng)期耕耘創(chuàng)建一個(gè)強(qiáng)大的社區(qū),以持續(xù)協(xié)作、共同改善汽車網(wǎng)路安全。」
