汽车网络安全：攻击持续增长

Upstream的年度报告是了解汽车网络安全趋势的绝佳来源。《2025上游全球汽车网络安全报告》是该报告的第七个年度版本，共有160页的数据和参考资料。Upstream拥有庞大且不断增长的网络安全信息数据库。它每月监控超过3000万项资产，跟踪400亿条API消息。它还追踪了超过1000亿英里的汽车行驶里程。最近，Upstream已经发现了超过1130个活跃的网络威胁行为者。

自2010年以来，Upstream已经追踪了1877起与汽车相关的网络事件。2024年，Upstream分析了409起新的公开网络安全事件，高于2023年的295起。

汽车网络安全仍将是汽车行业最棘手的问题，即使我们付出了巨大的努力来创建和部署广泛的解决方案。针对软件定义车辆（SDV）和不断发展的通信技术暴露出的新漏洞，出现了新的网络安全攻击类别。需要不断改进网络安全技术、产品和服务。需要定期更新法规和标准。需要实时跟踪新的和现有的网络威胁。

常见的漏洞和暴露增加
常见漏洞和暴露（cve）衡量网络攻击可能成功的弱点。CVSS是一种开放的标准方法，用于评估cve的严重程度。CVSS帮助组织根据漏洞的严重性、引入时间和环境属性确定优先级并协调联合响应。基于它们的CVSS分数，漏洞从临界、高、中到低或无被分级。

下图显示了过去六年汽车相关cve的增长情况——从2019年的24个新cve增长到2024年的422个新cve。累计cve从2019年的24家跃升至2024年的1147家。2024年新增的cve占cve总数的37%。

上游只关注直接影响汽车和智能移动生态系统的cve，如oem、tier -1、共享移动、移动物联网设备和车队。上游排除了与可能在整个供应链中使用的通用IT硬件或开源软件组件相关的cve。

上游跟踪每个漏洞的来源和严重程度。下图显示了2024年422个新漏洞的来源和严重程度。左边的饼状图显示了在2024年引入422个网络安全漏洞的五组公司，包括汽车原始设备制造商、一级供应商、二级供应商、电动汽车供应设备公司等。

总结了2024年新增漏洞的CVE严重程度，包括四个级别。2024年，严重漏洞和高漏洞占cve总数的61%以上。

网络安全事件趋势
汽车行业的网络安全事件持续增加。随着越来越多的车辆及其相关移动服务受到网络攻击的影响，网络攻击的影响也越来越大。

Upstream根据对移动资产的潜在影响规模，分析了2021年至2024年间公开披露的汽车网络安全事件。受影响的包括车辆、用户、移动设备等。上游根据四个影响级别对事件进行分类：

低级别包括可能影响10项以下资产的事件。
中等级别包括影响多达1,000辆汽车或移动资产的事故。
高级别包括影响数千辆汽车或移动资产的事故。
Massive包含有可能影响数百万移动资产的事件。
下表是Upstream基于四个影响级别对2021-2024年趋势的分析总结。最上面一行列出了每年分析的事件数量。

在2021年和2022年，高级别或大规模事件占网络安全攻击总数的20-22%。2023年，具有高度或大规模影响的事件比例翻了一番，达到近50%，2024年达到60%。这种向大规模攻击的转变对遭受网络攻击的车辆和移动资产的数量产生了重大影响。

到目前为止，大规模攻击类别具有最多的潜在攻击，根据这四个类别的加权平均值，它占所有潜在攻击的95%以上。在409次攻击中，大规模攻击占19%，潜在攻击77次。每次攻击的潜在攻击目标是100万资产，这样加起来至少有7700万资产。其他三类加起来大约有100万。

数据隐私泄露是最大的类别，占所有事件的60%。这种数据的可取性是由于存储在车辆和移动系统中的信用卡和相关数据的可用性日益增加。服务业务中断是第二高的事件类别，占53%，这显然是由于勒索软件的增长。

汽车系统操纵和车辆控制是第三大类别，2024年的事故发生率为35%，比2022年的5%大幅增加。上游数据显示，与欺诈相关的事件在2023年和2024年相似，占事件的19-20%，从2022年的4%大幅上升。深层网络上最流行的欺诈信息之一是里程造假，正式名称为里程表欺诈。根据NHTSA的数据，每年有超过45万辆汽车的里程表读数错误，给美国买家造成了超过10亿美元的损失。

勒索软件攻击事件日益增多
勒索软件攻击正在成为汽车行业和其他行业的一个主要问题。在2024年，我们看到了409起网络安全事件，其中108起或26%属于勒索软件类别。大部分勒索软件知识来自深网和暗网。恶意行为者越来越多地利用勒索软件攻击汽车和移动行业实体，包括原始设备制造商、供应商和电动汽车充电基础设施。供应链的所有要素都对oem、服务提供商、移动设备和应用构成风险。勒索软件攻击会严重影响操作可用性和生产，或暴露敏感的客户信息和系统凭据。为了勒索钱财，攻击者通常会在暗网上建立一个“泄密网站”。这是他们公布被盗数据并分享与他们的攻击和受害者有关的信息的地方。在2024年，勒索软件攻击和泄漏网站成为几起汽车经销商勒索软件事件的主要新闻。

例如，2024年10月，一家知名经销商成为俄罗斯勒索软件组织的受害者。攻击者使用双重勒索策略，提取敏感的公司数据，如发票、会计记录、个人信息、雇佣合同、证书和内部文件。当支付赎金的最后期限过后，该组织通过在他们的暗网平台上发布被盗数据来升级他们的攻击。其他勒索软件事件信息可通过简单的互联网搜索获得。

网络攻击媒介的多样性
2024年的网络攻击比前几年更加复杂和频繁。他们的目标是车辆和后端系统，以及智能移动平台、设备和应用程序。攻击向量表明，任何连接点都容易受到网络攻击。下图显示了攻击方法的多样性。

基于云的系统，如远程信息处理和应用服务器，经历了网络事件的大幅增加。与服务器相关的事件从2022年的35%和2023年的43%增长到2024年的66%。通过利用后端服务器中的漏洞，黑帽攻击者可以在车辆行驶时对其进行攻击。

互联汽车和智能移动服务使用广泛的外部和内部api，每月产生数十亿笔交易。OTA和远程信息处理服务器、OEM移动应用程序、信息娱乐系统、移动物联网设备、电动汽车充电管理和计费应用程序都严重依赖api。api还呈现出重要的、广泛的、大规模的攻击向量，导致广泛的网络攻击，包括盗窃个人信息、后端系统操纵或远程车辆控制。

API黑客具有执行大规模攻击的成本效益。它需要相对较低的技术专长，使用标准技术，无需特殊硬件即可远程执行。这是持续增长的秘诀。API攻击从2023年的13%增长到2024年的17%。

与信息娱乐相关的事件在2023年强劲增长，从2022年的8%增长到15%，但在2024年略有下降。ecu负责发动机、转向、制动、车窗、无钥匙进入和各种关键系统。黑客试图通过同时运行多个复杂系统来操纵ecu并控制其功能。ECU网络攻击占总攻击事件的8%，比2023年的9%略有下降。

安全的充电基础设施对电动汽车的普及至关重要。目前，许多充电器、充电基础设施系统和相关应用程序容易受到物理和远程操作的攻击，从而使电动汽车用户面临欺诈和赎金攻击。同时也影响了充电网络的可靠性。电动汽车充电网络攻击从2023年的4%增长到2024年的6%。

总结与观点
从漏洞、攻击者数量、攻击复杂性到汽车网络安全行业参与者的响应活动，汽车网络安全攻击在多个层面上都是一个不断增长的行业。根据Upstream的数据收集和分析，下图总结了年度和累计汽车网络安全事件的增长情况。

每年的汽车网络安全事件，从2017年的57起增加到2024年的409起。右边的条形图显示，累计网络攻击从2017年的180次以下增长到2024年底的近1900次，增长了10倍多。

一些技术趋势正在对SDV产生重大影响，SDV增加了大量软件代码，这些代码将在api和云服务器之间共享漏洞。人工智能技术正在成为网络安全攻击的主要因素，以及发现、分析和防御大量复杂的攻击媒介。

来自深网和暗网的信息和工具的影响越来越大，2024年勒索软件攻击的数量增加到108起，占409起事件总数的26%。

网络安全攻击媒介的多样性持续增长。远程信息处理、联网汽车应用程序和移动应用程序的许多后端服务器已成为最大的攻击媒介，2024年占所有网络攻击的66%，而2023年这一比例为43%。

一个很大的漏洞增长因素是用于在不同软件平台和应用程序以及与软件相关的所有内容之间进行通信的api。基于api的通信每个月被使用数十亿次，很小比例的漏洞很快就会累积成大问题。

勒索软件攻击一直是一个主要的网络安全问题，并在2024年严重打击了汽车行业。只需要几次成功的网络攻击就能造成数千万美元的损失。Upstream的报告总结了这些成功的攻击。

Upstream分析的一个潜在结果是，汽车行业的网络防御能力与新兴的网络攻击能力之间的差距越来越大。造成这种差距的部分原因是，目前基于UNECE WP.29和ISO/SAE 21434的法规实施成功，Upstream认为这些法规给人一种虚假的安全感。汽车行业必须专注于远程信息处理和其他云服务器的实时监控，以及大量与api相关的通信消息，因为未来的大多数挑战都属于这两类。这是一个很好的评估，汽车行业应该遵循。

本文是上游2025报告的摘要。完整的Upstream报告可以在这里找到。该报告有英文和日文两种版本。