全球車用資安領導廠商VicOne和專注於推進汽車安全行業的非營利組織汽車安全研究集團(ASRG),於六月12日在慕尼黑BMW世界舉行的Auto-ISAC歐洲網路安全峰會上,宣布雙方將緊密合作提供涵蓋最全面的汽車威脅情報以協助車輛網路安全漏洞的發現與修復。VicOne和ASRG共同啟動一個專門針對車廠(OEM)、供應商及汽車產業相關廠商的資料庫AutoVulnDB,以此幫助他們發現並修復網路安全漏洞,並確保未來連網車輛的移動安全。
VicOne和ASRG的新資料庫為汽車網路安全設定了標準。AutoVulnDB補充並擴展了美國國家漏洞資料庫(National Vulnerability Database, NVD)和美國通用漏洞及弱點資料庫(MITRE CVE)提供的現有基礎框架,針對汽車產業的特殊性,進一步提供系統上下文和情境資料。AutoVulnDB確定每個漏洞的風險級別,使汽車行業所有領域的決策者更容易使用,方便他們做出更好、更快的業務和開發決策,並抵禦甚至防止網路攻擊。AutoVulnDB與全球最大非限定廠商ZDI漏洞懸賞計畫一起提供最全面的漏洞情報覆蓋。
隨著全球連網汽車普及,汽車生態系統複雜度大幅增加,僅僅2023年上半年,全球就通報了200多個漏洞,其中包括影響多個汽車品牌的關鍵中央處理器(CPU)缺陷,汽車產業網路安全面臨的威脅正在迅速增加。漏洞通報適用於各種連網汽車組件和系統,包括車載資訊娛樂系統(IVI)、作業系統(OS)和電動車充電器(EV charger)等。維護汽車產業網路安全的原則之一是在車輛上市之前就識別出並且消除數位威脅和以前未知的漏洞。VicOne和ASRG在AutoVulnDB的合作就是要發起一場運動,共同抵禦、防護整個汽車產業的新風險。
ASRG創辦人John Heldreth表示:「我們感謝VicOne在創建車輛專屬AutoVulnDB CVE資料庫方面的支援和在車用資安上無出其右的專業知識。這是跨出的第一步,也是一項需要持續進行的工作,因為網路攻擊永遠不會停止,且情況只會加劇。我們鼓勵業內專業人士、網路安全專家和研究人員加入探索這個資料庫,透過報告他們的發現來參與並持續增進資料庫豐富度。AutoVulnDB是由非營利組織所創建,目的純粹是為了提高汽車網路安全性。這資料庫的開發源自一個社群的支持,我們需要您的回饋、貢獻和想法,一同將目前的初版資料庫提升到一個新的水平。」
VicOne執行長鄭奕立(Max Cheng)表示:「及時、全面性的漏洞偵測和修復對汽車產業的重要性,值得反覆不斷地強調。VicOne已累積多年並能提供專業堅實的汽車威脅情報,涵蓋範圍從以往未知的網路問題到已知但尚未解決的網路問題。作為汽車網路安全解決方案的領導者,除了提供車用資安方案協助汽車製造商和Tier 1供應商抵禦不斷進化的威脅並且符合相關規範,透過與ASRG的合作,希望長期耕耘創建一個強大的社區,以持續協作、共同改善汽車網路安全。」