Upstream年度報告是追蹤汽車網(wǎng)絡安全趨勢的優(yōu)質(zhì)信息來源?！?025年Upstream全球汽車網(wǎng)絡安全報告》為該系列第七版，包含160頁數(shù)據(jù)及信息來源引用。Upstream擁有龐大且持續(xù)擴展的網(wǎng)絡安全數(shù)據(jù)庫，每月監(jiān)測超3,000萬個資產(chǎn)并追蹤400億條API(應用程序編程接口)消息，同時已記錄超1,000億車輛行駛里程。近期，Upstream已對1,130多個活躍網(wǎng)絡威脅行為者進行特征分析。xtIesmc

自2010年以來，Upstream已追蹤到1,877起汽車相關網(wǎng)絡安全事件。2024年，Upstream分析發(fā)現(xiàn)409起新公開披露的網(wǎng)絡安全事件，較2023年的295起有所上升。xtIesmc

汽車網(wǎng)絡安全仍將是汽車行業(yè)面臨的最嚴峻挑戰(zhàn)，即便投入大量資源開發(fā)并部署全面解決方案，其防護難度仍居高不下。伴隨軟件定義汽車(SDV)風險的新漏洞及通信技術發(fā)展，新型網(wǎng)絡安全攻擊模式正在不斷涌現(xiàn)。網(wǎng)絡安全技術、產(chǎn)品及服務需持續(xù)迭代升級，法規(guī)標準體系也需定期更新完善，同時需對新興及現(xiàn)有網(wǎng)絡威脅實施實時動態(tài)監(jiān)測。xtIesmc

常見漏洞和風險數(shù)量增長

常見漏洞與風險(CVE)是衡量網(wǎng)絡攻擊可能得逞的弱點指標。CVSS(通用漏洞評分系統(tǒng))是一種開放標準化的方法，用于評估CVE的嚴重性。CVSS幫助組織根據(jù)漏洞的嚴重程度、引入時間及環(huán)境屬性，優(yōu)先協(xié)調(diào)聯(lián)合響應措施?；贑VSS評分，漏洞從高到低分為嚴重、高、中、低或無四個等級。xtIesmc

圖1展示了過去六年汽車相關CVE數(shù)量的增長趨勢——從2019年新增24個CVE增長至2024年新增422個。累計CVE數(shù)量從2019年的24個激增至2024年的1,147個。2024年新增CVE占CVE總數(shù)的37%。xtIesmc

xtIesmc

圖1：汽車常見漏洞與風險增長 制表：Egil Juliussen, 2025年4月 數(shù)據(jù)來源：Upstream Security 2025年網(wǎng)絡安全報告，2025年2月xtIesmc

Upstream僅關注直接影響汽車及智能出行生態(tài)系統(tǒng)的CVE(如主機廠、一級供應商、共享出行、移動物聯(lián)網(wǎng)設備和車隊)。Upstream排除了與供應鏈中可能使用的通用IT硬件或開源軟件組件相關的CVE。xtIesmc

Upstream追蹤每個漏洞的來源及嚴重性。圖2展示了2024年422個新增漏洞的來源分布與嚴重程度。圖2左側餅圖呈現(xiàn)了2024年引入這422個網(wǎng)絡安全漏洞的五大企業(yè)類別，包括汽車主機廠(OEM)、一級供應商(Tier1)、二級供應商(Tier2)、電動汽車供應設備公司(EVES)及其他企業(yè)。xtIesmc

xtIesmc

圖2：汽車常見漏洞和披露(CVE)的來源和嚴重性 制圖：Egil Juliussen，2025年4月 數(shù)據(jù)來源：Upstream 2025網(wǎng)絡安全報告，2025年2月xtIesmc

2024年新增漏洞的CVE嚴重性等級如圖2右側餅圖所示，分為四個級別。2024年，關鍵和高危漏洞占CVE總數(shù)的61%以上。xtIesmc

汽車行業(yè)網(wǎng)絡安全事件趨勢

網(wǎng)絡安全事件在汽車行業(yè)持續(xù)增長。隨著受網(wǎng)絡攻擊影響的車輛數(shù)量及相關出行服務范圍擴大，網(wǎng)絡攻擊的影響呈上升趨勢。xtIesmc

Upstream根據(jù)潛在影響規(guī)模對2021-2024年間公開披露的汽車網(wǎng)絡安全事件進行了分析，影響范圍涵蓋車輛、用戶、移動設備等。Upstream將事件按影響程度分為四個等級：xtIesmc

• 低影響：可能影響10個以下資產(chǎn)的事件；
• 中等影響：影響最多1,000輛車輛或移動資產(chǎn)的事件；
• 高影響：影響數(shù)千輛車輛或移動資產(chǎn)的事件；
• 大規(guī)模影響：可能影響數(shù)百萬移動資產(chǎn)的事件。

表1基于四個影響等級匯總了Upstream對2021-2024年趨勢的分析。首行列出了每年分析的事件數(shù)量。xtIesmc

xtIesmc

表1：按潛在規(guī)模劃分的已公開網(wǎng)絡安全事件xtIesmc

2021年和2022年，高影響或大規(guī)模事件占網(wǎng)絡安全攻擊總數(shù)的20%-22%。到2023年，高影響或大規(guī)模事件的占比翻倍至近50%，2024年達到60%。這種向大規(guī)模攻擊的轉(zhuǎn)變對遭受網(wǎng)絡攻擊的車輛數(shù)量和移動資產(chǎn)規(guī)模產(chǎn)生了重大影響。xtIesmc

目前，大規(guī)模影響類別具有最多的潛在攻擊次數(shù)，基于四個類別的加權平均值，其占比遠超95%。在409起攻擊中，大規(guī)模攻擊占19%(77起潛在攻擊)。按每起攻擊可能影響100萬資產(chǎn)計算，這總計至少達7,700萬資產(chǎn)。其他三個類別的潛在影響資產(chǎn)總數(shù)約為100萬左右。xtIesmc

圖3展示了汽車相關網(wǎng)絡事件類型的分布情況。橫向柱狀圖顯示了2024年各類型事件占網(wǎng)絡事件總量的比例。由于部分事件具有多重影響，各類型百分比總和可能超過100%。xtIesmc

數(shù)據(jù)隱私泄露是最大的類別，占所有事件的60%。此類數(shù)據(jù)的吸引力源于車輛及移動系統(tǒng)中存儲的信用卡及相關數(shù)據(jù)日益普及。服務業(yè)務中斷是第二大事件類別(占53%)，這顯然與勒索軟件的增長直接相關。xtIesmc

xtIesmc

圖3：2024年汽車網(wǎng)絡安全事件類型統(tǒng)計(共計409起) 制表：Egil Juliussen, 2025年4月 數(shù)據(jù)來源：Upstream Security 2025年網(wǎng)絡安全報告，2025年2月xtIesmc

汽車系統(tǒng)操縱及車輛控制是第三大類別，占2024年事件的35%，較2022年的5%大幅增長。Upstream數(shù)據(jù)顯示，欺詐相關事件在2023年和2024年占比相似(19%-20%)，此前該比例從2022年的4%激增。暗網(wǎng)上最熱門的欺詐信息之一是里程調(diào)校(正式名稱為里程表欺詐)。根據(jù)NHTSA數(shù)據(jù)，美國每年有超45萬輛汽車以虛假里程表讀數(shù)售出，導致消費者損失超10億美元。xtIesmc

勒索軟件攻擊事件不斷增多

勒索軟件攻擊正成為汽車行業(yè)及其他行業(yè)的一大問題。2024年共發(fā)生409起網(wǎng)絡安全事件，其中108起(占26%)屬于勒索軟件類別。大部分勒索軟件相關知識源自暗網(wǎng)和深網(wǎng)。惡意攻擊者越來越多地針對汽車和出行行業(yè)實體(包括原始設備制造商、供應商和電動汽車充電基礎設施)發(fā)起勒索軟件攻擊。供應鏈的所有環(huán)節(jié)均對原始設備制造商、服務提供商以及出行設備和應用程序構成風險。勒索軟件攻擊可能嚴重影響運營可用性和生產(chǎn)，或泄露敏感客戶信息及系統(tǒng)憑證。為勒索錢財，攻擊者通常在暗網(wǎng)上運營“泄露網(wǎng)站”，用于公開被盜數(shù)據(jù)并分享與攻擊及受害者相關的信息。2024年，多起汽車經(jīng)銷商勒索軟件事件使勒索軟件攻擊和泄露網(wǎng)站成為重大新聞。xtIesmc

例如，2024年10月，一家知名經(jīng)銷商淪為俄羅斯勒索軟件團伙的攻擊目標。攻擊者采用雙重勒索策略，竊取了發(fā)票、會計記錄、個人信息、雇傭合同、認證文件及內(nèi)部文件等敏感企業(yè)數(shù)據(jù)。贖金支付期限過后，該團伙通過暗網(wǎng)平臺公開被盜數(shù)據(jù)，進一步升級攻擊。其他勒索軟件事件信息可通過簡單的互聯(lián)網(wǎng)搜索獲取。xtIesmc

網(wǎng)絡攻擊載體的多樣性

2024年的網(wǎng)絡攻擊較往年更為復雜頻繁，攻擊目標涵蓋車輛、后臺系統(tǒng)，以及智能出行平臺、設備和應用程序。攻擊載體表明，任何連接節(jié)點都可能遭受網(wǎng)絡攻擊。圖4展示了攻擊手段的多樣性。xtIesmc

xtIesmc

圖4：汽車網(wǎng)絡安全攻擊向量的多樣性(2024年按攻擊向量統(tǒng)計的事件) 制表：Egil Juliussen, 2025年2月 數(shù)據(jù)來源：Upstream Security 2025年網(wǎng)絡安全報告，2025年4月xtIesmc

基于云的系統(tǒng)(如遠程信息處理和應用服務器)遭遇網(wǎng)絡攻擊事件大幅增加。服務器相關事件占比從2022年的35%、2023年的43%上升至2024年的66%。攻擊者可能通過利用后端服務器漏洞，在車輛行駛時發(fā)起攻擊。xtIesmc

網(wǎng)聯(lián)汽車與智能出行服務使用大量內(nèi)外部API，每月處理數(shù)十億次交互。OTA(空中下載技術)與遠程信息處理服務器、主機廠移動應用、車載信息娛樂系統(tǒng)、出行物聯(lián)網(wǎng)設備、電動汽車充電管理及計費應用均高度依賴API。API也構成了廣泛且大規(guī)模的潛在攻擊面，導致包括個人信息竊取、后端系統(tǒng)操控或遠程車輛控制在內(nèi)的多種網(wǎng)絡攻擊。xtIesmc

API攻擊具有高成本效益，可實現(xiàn)大規(guī)模攻擊。其技術要求相對較低，使用標準技術，且無需特殊硬件即可遠程實施，這使其持續(xù)增長。API攻擊占比從2023年的13%上升至2024年的17%。xtIesmc

車載信息娛樂相關事件在2023年從2022年的8%大幅增長至15%，但在2024年略有下降。電子控制單元(ECU)負責引擎、轉(zhuǎn)向、制動、車窗、無鑰匙進入及多種關鍵系統(tǒng)。黑客試圖通過同時運行多個復雜系統(tǒng)來操控ECU并控制其功能。ECU網(wǎng)絡攻擊事件占比為8%，較2023年的9%略有下降。xtIesmc

安全的充電基礎設施對電動汽車普及至關重要。當前許多充電樁、充電基礎設施系統(tǒng)及相關應用存在物理和遠程操控漏洞，使電動汽車用戶面臨欺詐與勒索攻擊風險，同時也影響充電網(wǎng)絡可靠性。電動汽車充電網(wǎng)絡攻擊占比從2023年的4%上升至2024年的6%。xtIesmc

摘要與展望

汽車網(wǎng)絡安全攻擊已發(fā)展為多維度增長的產(chǎn)業(yè)，涵蓋漏洞數(shù)量、攻擊者規(guī)模、攻擊復雜程度提升以及汽車網(wǎng)絡安全行業(yè)參與者的應對措施等多個層面。根據(jù)Upstream數(shù)據(jù)收集與分析，圖5總結了汽車網(wǎng)絡安全事件年度及累計增長趨勢。xtIesmc

圖5左邊柱狀圖顯示年度汽車網(wǎng)絡安全事件從2017年的57起增長至2024年的409起。右邊柱狀圖展示累計網(wǎng)絡攻擊數(shù)量，從2017年的不足180起攀升至2024年底的近1,900起，增幅超過十倍。xtIesmc

xtIesmc

圖5：汽車網(wǎng)絡安全事件增長 制表：Egil Juliussen, 2025年4月 數(shù)據(jù)來源：Upstream Security 2025年網(wǎng)絡安全報告，2025年2月xtIesmc

多項技術趨勢正產(chǎn)生重大影響——軟件定義車輛(SDV)新增大量軟件代碼，這些代碼將在API和云服務器領域帶來相應漏洞。人工智能(AI)技術正成為影響網(wǎng)絡安全攻擊的關鍵因素，同時也被用于發(fā)現(xiàn)、分析并抵御海量復雜攻擊向量。xtIesmc

深網(wǎng)與暗網(wǎng)信息及工具的影響在2024年顯著增強，勒索軟件攻擊數(shù)量增至108起，占409起總事件的26%。xtIesmc

網(wǎng)絡安全攻擊向量持續(xù)多樣化。遠程信息處理、網(wǎng)聯(lián)汽車應用及出行應用的眾多后端服務器已成為最大攻擊向量，2024年占比達66%(2023年為43%)。xtIesmc

API是漏洞增長的重要因素，其用于不同軟件平臺、應用程序及所有軟件相關系統(tǒng)間的通信?；贏PI的通信每月使用次數(shù)達數(shù)十億次，即使漏洞比例極低也可能迅速引發(fā)重大問題。xtIesmc

勒索軟件攻擊是主要網(wǎng)絡安全威脅，2024年對汽車行業(yè)造成重創(chuàng)。少數(shù)成功的攻擊即可導致數(shù)千萬美元損失。Upstream報告總結了這些成功攻擊案例。xtIesmc

Upstream分析表明，汽車行業(yè)網(wǎng)絡防御能力與新興網(wǎng)絡攻擊能力之間的差距正在擴大。這種差距部分源于當前基于UNECE WP.29和ISO/SAE 21434的法規(guī)部署成效，但Upstream認為這些法規(guī)營造了虛假的安全感。汽車行業(yè)需重點實時監(jiān)控遠程信息處理及其他云服務器，以及海量API相關通信消息，因未來挑戰(zhàn)多集中于這兩大領域。該評估值得行業(yè)參考。xtIesmc

本文翻譯自國際電子商情姊妹平臺EETimes Europe，原文標題：xtIesmc