Upstream年度報告是追蹤汽車網(wǎng)絡(luò)安全趨勢的優(yōu)質(zhì)信息來源。《2025年Upstream全球汽車網(wǎng)絡(luò)安全報告》為該系列第七版，包含160頁數(shù)據(jù)及信息來源引用。Upstream擁有龐大且持續(xù)擴展的網(wǎng)絡(luò)安全數(shù)據(jù)庫，每月監(jiān)測超3,000萬個資產(chǎn)并追蹤400億條API(應(yīng)用程序編程接口)消息，同時已記錄超1,000億車輛行駛里程。近期，Upstream已對1,130多個活躍網(wǎng)絡(luò)威脅行為者進行特征分析。xtIesmc

自2010年以來，Upstream已追蹤到1,877起汽車相關(guān)網(wǎng)絡(luò)安全事件。2024年，Upstream分析發(fā)現(xiàn)409起新公開披露的網(wǎng)絡(luò)安全事件，較2023年的295起有所上升。xtIesmc

汽車網(wǎng)絡(luò)安全仍將是汽車行業(yè)面臨的最嚴峻挑戰(zhàn)，即便投入大量資源開發(fā)并部署全面解決方案，其防護難度仍居高不下。伴隨軟件定義汽車(SDV)風(fēng)險的新漏洞及通信技術(shù)發(fā)展，新型網(wǎng)絡(luò)安全攻擊模式正在不斷涌現(xiàn)。網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品及服務(wù)需持續(xù)迭代升級，法規(guī)標準體系也需定期更新完善，同時需對新興及現(xiàn)有網(wǎng)絡(luò)威脅實施實時動態(tài)監(jiān)測。xtIesmc

常見漏洞和風(fēng)險數(shù)量增長

常見漏洞與風(fēng)險(CVE)是衡量網(wǎng)絡(luò)攻擊可能得逞的弱點指標。CVSS(通用漏洞評分系統(tǒng))是一種開放標準化的方法，用于評估CVE的嚴重性。CVSS幫助組織根據(jù)漏洞的嚴重程度、引入時間及環(huán)境屬性，優(yōu)先協(xié)調(diào)聯(lián)合響應(yīng)措施?；贑VSS評分，漏洞從高到低分為嚴重、高、中、低或無四個等級。xtIesmc

圖1展示了過去六年汽車相關(guān)CVE數(shù)量的增長趨勢——從2019年新增24個CVE增長至2024年新增422個。累計CVE數(shù)量從2019年的24個激增至2024年的1,147個。2024年新增CVE占CVE總數(shù)的37%。xtIesmc

xtIesmc

圖1：汽車常見漏洞與風(fēng)險增長 制表：Egil Juliussen, 2025年4月 數(shù)據(jù)來源：Upstream Security 2025年網(wǎng)絡(luò)安全報告，2025年2月xtIesmc

Upstream僅關(guān)注直接影響汽車及智能出行生態(tài)系統(tǒng)的CVE(如主機廠、一級供應(yīng)商、共享出行、移動物聯(lián)網(wǎng)設(shè)備和車隊)。Upstream排除了與供應(yīng)鏈中可能使用的通用IT硬件或開源軟件組件相關(guān)的CVE。xtIesmc

Upstream追蹤每個漏洞的來源及嚴重性。圖2展示了2024年422個新增漏洞的來源分布與嚴重程度。圖2左側(cè)餅圖呈現(xiàn)了2024年引入這422個網(wǎng)絡(luò)安全漏洞的五大企業(yè)類別，包括汽車主機廠(OEM)、一級供應(yīng)商(Tier1)、二級供應(yīng)商(Tier2)、電動汽車供應(yīng)設(shè)備公司(EVES)及其他企業(yè)。xtIesmc

xtIesmc

圖2：汽車常見漏洞和披露(CVE)的來源和嚴重性 制圖：Egil Juliussen，2025年4月 數(shù)據(jù)來源：Upstream 2025網(wǎng)絡(luò)安全報告，2025年2月xtIesmc

2024年新增漏洞的CVE嚴重性等級如圖2右側(cè)餅圖所示，分為四個級別。2024年，關(guān)鍵和高危漏洞占CVE總數(shù)的61%以上。xtIesmc

汽車行業(yè)網(wǎng)絡(luò)安全事件趨勢

網(wǎng)絡(luò)安全事件在汽車行業(yè)持續(xù)增長。隨著受網(wǎng)絡(luò)攻擊影響的車輛數(shù)量及相關(guān)出行服務(wù)范圍擴大，網(wǎng)絡(luò)攻擊的影響呈上升趨勢。xtIesmc

Upstream根據(jù)潛在影響規(guī)模對2021-2024年間公開披露的汽車網(wǎng)絡(luò)安全事件進行了分析，影響范圍涵蓋車輛、用戶、移動設(shè)備等。Upstream將事件按影響程度分為四個等級：xtIesmc

• 低影響：可能影響10個以下資產(chǎn)的事件；
• 中等影響：影響最多1,000輛車輛或移動資產(chǎn)的事件；
• 高影響：影響數(shù)千輛車輛或移動資產(chǎn)的事件；
• 大規(guī)模影響：可能影響數(shù)百萬移動資產(chǎn)的事件。

表1基于四個影響等級匯總了Upstream對2021-2024年趨勢的分析。首行列出了每年分析的事件數(shù)量。xtIesmc

xtIesmc

表1：按潛在規(guī)模劃分的已公開網(wǎng)絡(luò)安全事件xtIesmc

2021年和2022年，高影響或大規(guī)模事件占網(wǎng)絡(luò)安全攻擊總數(shù)的20%-22%。到2023年，高影響或大規(guī)模事件的占比翻倍至近50%，2024年達到60%。這種向大規(guī)模攻擊的轉(zhuǎn)變對遭受網(wǎng)絡(luò)攻擊的車輛數(shù)量和移動資產(chǎn)規(guī)模產(chǎn)生了重大影響。xtIesmc

目前，大規(guī)模影響類別具有最多的潛在攻擊次數(shù)，基于四個類別的加權(quán)平均值，其占比遠超95%。在409起攻擊中，大規(guī)模攻擊占19%(77起潛在攻擊)。按每起攻擊可能影響100萬資產(chǎn)計算，這總計至少達7,700萬資產(chǎn)。其他三個類別的潛在影響資產(chǎn)總數(shù)約為100萬左右。xtIesmc

圖3展示了汽車相關(guān)網(wǎng)絡(luò)事件類型的分布情況。橫向柱狀圖顯示了2024年各類型事件占網(wǎng)絡(luò)事件總量的比例。由于部分事件具有多重影響，各類型百分比總和可能超過100%。xtIesmc

數(shù)據(jù)隱私泄露是最大的類別，占所有事件的60%。此類數(shù)據(jù)的吸引力源于車輛及移動系統(tǒng)中存儲的信用卡及相關(guān)數(shù)據(jù)日益普及。服務(wù)業(yè)務(wù)中斷是第二大事件類別(占53%)，這顯然與勒索軟件的增長直接相關(guān)。xtIesmc

xtIesmc

圖3：2024年汽車網(wǎng)絡(luò)安全事件類型統(tǒng)計(共計409起) 制表：Egil Juliussen, 2025年4月 數(shù)據(jù)來源：Upstream Security 2025年網(wǎng)絡(luò)安全報告，2025年2月xtIesmc

汽車系統(tǒng)操縱及車輛控制是第三大類別，占2024年事件的35%，較2022年的5%大幅增長。Upstream數(shù)據(jù)顯示，欺詐相關(guān)事件在2023年和2024年占比相似(19%-20%)，此前該比例從2022年的4%激增。暗網(wǎng)上最熱門的欺詐信息之一是里程調(diào)校(正式名稱為里程表欺詐)。根據(jù)NHTSA數(shù)據(jù)，美國每年有超45萬輛汽車以虛假里程表讀數(shù)售出，導(dǎo)致消費者損失超10億美元。xtIesmc

勒索軟件攻擊事件不斷增多

勒索軟件攻擊正成為汽車行業(yè)及其他行業(yè)的一大問題。2024年共發(fā)生409起網(wǎng)絡(luò)安全事件，其中108起(占26%)屬于勒索軟件類別。大部分勒索軟件相關(guān)知識源自暗網(wǎng)和深網(wǎng)。惡意攻擊者越來越多地針對汽車和出行行業(yè)實體(包括原始設(shè)備制造商、供應(yīng)商和電動汽車充電基礎(chǔ)設(shè)施)發(fā)起勒索軟件攻擊。供應(yīng)鏈的所有環(huán)節(jié)均對原始設(shè)備制造商、服務(wù)提供商以及出行設(shè)備和應(yīng)用程序構(gòu)成風(fēng)險。勒索軟件攻擊可能嚴重影響運營可用性和生產(chǎn)，或泄露敏感客戶信息及系統(tǒng)憑證。為勒索錢財，攻擊者通常在暗網(wǎng)上運營“泄露網(wǎng)站”，用于公開被盜數(shù)據(jù)并分享與攻擊及受害者相關(guān)的信息。2024年，多起汽車經(jīng)銷商勒索軟件事件使勒索軟件攻擊和泄露網(wǎng)站成為重大新聞。xtIesmc

例如，2024年10月，一家知名經(jīng)銷商淪為俄羅斯勒索軟件團伙的攻擊目標。攻擊者采用雙重勒索策略，竊取了發(fā)票、會計記錄、個人信息、雇傭合同、認證文件及內(nèi)部文件等敏感企業(yè)數(shù)據(jù)。贖金支付期限過后，該團伙通過暗網(wǎng)平臺公開被盜數(shù)據(jù)，進一步升級攻擊。其他勒索軟件事件信息可通過簡單的互聯(lián)網(wǎng)搜索獲取。xtIesmc

網(wǎng)絡(luò)攻擊載體的多樣性

2024年的網(wǎng)絡(luò)攻擊較往年更為復(fù)雜頻繁，攻擊目標涵蓋車輛、后臺系統(tǒng)，以及智能出行平臺、設(shè)備和應(yīng)用程序。攻擊載體表明，任何連接節(jié)點都可能遭受網(wǎng)絡(luò)攻擊。圖4展示了攻擊手段的多樣性。xtIesmc

xtIesmc

圖4：汽車網(wǎng)絡(luò)安全攻擊向量的多樣性(2024年按攻擊向量統(tǒng)計的事件) 制表：Egil Juliussen, 2025年2月 數(shù)據(jù)來源：Upstream Security 2025年網(wǎng)絡(luò)安全報告，2025年4月xtIesmc

基于云的系統(tǒng)(如遠程信息處理和應(yīng)用服務(wù)器)遭遇網(wǎng)絡(luò)攻擊事件大幅增加。服務(wù)器相關(guān)事件占比從2022年的35%、2023年的43%上升至2024年的66%。攻擊者可能通過利用后端服務(wù)器漏洞，在車輛行駛時發(fā)起攻擊。xtIesmc

網(wǎng)聯(lián)汽車與智能出行服務(wù)使用大量內(nèi)外部API，每月處理數(shù)十億次交互。OTA(空中下載技術(shù))與遠程信息處理服務(wù)器、主機廠移動應(yīng)用、車載信息娛樂系統(tǒng)、出行物聯(lián)網(wǎng)設(shè)備、電動汽車充電管理及計費應(yīng)用均高度依賴API。API也構(gòu)成了廣泛且大規(guī)模的潛在攻擊面，導(dǎo)致包括個人信息竊取、后端系統(tǒng)操控或遠程車輛控制在內(nèi)的多種網(wǎng)絡(luò)攻擊。xtIesmc

API攻擊具有高成本效益，可實現(xiàn)大規(guī)模攻擊。其技術(shù)要求相對較低，使用標準技術(shù)，且無需特殊硬件即可遠程實施，這使其持續(xù)增長。API攻擊占比從2023年的13%上升至2024年的17%。xtIesmc

車載信息娛樂相關(guān)事件在2023年從2022年的8%大幅增長至15%，但在2024年略有下降。電子控制單元(ECU)負責(zé)引擎、轉(zhuǎn)向、制動、車窗、無鑰匙進入及多種關(guān)鍵系統(tǒng)。黑客試圖通過同時運行多個復(fù)雜系統(tǒng)來操控ECU并控制其功能。ECU網(wǎng)絡(luò)攻擊事件占比為8%，較2023年的9%略有下降。xtIesmc

安全的充電基礎(chǔ)設(shè)施對電動汽車普及至關(guān)重要。當前許多充電樁、充電基礎(chǔ)設(shè)施系統(tǒng)及相關(guān)應(yīng)用存在物理和遠程操控漏洞，使電動汽車用戶面臨欺詐與勒索攻擊風(fēng)險，同時也影響充電網(wǎng)絡(luò)可靠性。電動汽車充電網(wǎng)絡(luò)攻擊占比從2023年的4%上升至2024年的6%。xtIesmc

摘要與展望

汽車網(wǎng)絡(luò)安全攻擊已發(fā)展為多維度增長的產(chǎn)業(yè)，涵蓋漏洞數(shù)量、攻擊者規(guī)模、攻擊復(fù)雜程度提升以及汽車網(wǎng)絡(luò)安全行業(yè)參與者的應(yīng)對措施等多個層面。根據(jù)Upstream數(shù)據(jù)收集與分析，圖5總結(jié)了汽車網(wǎng)絡(luò)安全事件年度及累計增長趨勢。xtIesmc

圖5左邊柱狀圖顯示年度汽車網(wǎng)絡(luò)安全事件從2017年的57起增長至2024年的409起。右邊柱狀圖展示累計網(wǎng)絡(luò)攻擊數(shù)量，從2017年的不足180起攀升至2024年底的近1,900起，增幅超過十倍。xtIesmc

xtIesmc

圖5：汽車網(wǎng)絡(luò)安全事件增長 制表：Egil Juliussen, 2025年4月 數(shù)據(jù)來源：Upstream Security 2025年網(wǎng)絡(luò)安全報告，2025年2月xtIesmc

多項技術(shù)趨勢正產(chǎn)生重大影響——軟件定義車輛(SDV)新增大量軟件代碼，這些代碼將在API和云服務(wù)器領(lǐng)域帶來相應(yīng)漏洞。人工智能(AI)技術(shù)正成為影響網(wǎng)絡(luò)安全攻擊的關(guān)鍵因素，同時也被用于發(fā)現(xiàn)、分析并抵御海量復(fù)雜攻擊向量。xtIesmc

深網(wǎng)與暗網(wǎng)信息及工具的影響在2024年顯著增強，勒索軟件攻擊數(shù)量增至108起，占409起總事件的26%。xtIesmc

網(wǎng)絡(luò)安全攻擊向量持續(xù)多樣化。遠程信息處理、網(wǎng)聯(lián)汽車應(yīng)用及出行應(yīng)用的眾多后端服務(wù)器已成為最大攻擊向量，2024年占比達66%(2023年為43%)。xtIesmc

API是漏洞增長的重要因素，其用于不同軟件平臺、應(yīng)用程序及所有軟件相關(guān)系統(tǒng)間的通信?；贏PI的通信每月使用次數(shù)達數(shù)十億次，即使漏洞比例極低也可能迅速引發(fā)重大問題。xtIesmc

勒索軟件攻擊是主要網(wǎng)絡(luò)安全威脅，2024年對汽車行業(yè)造成重創(chuàng)。少數(shù)成功的攻擊即可導(dǎo)致數(shù)千萬美元損失。Upstream報告總結(jié)了這些成功攻擊案例。xtIesmc

Upstream分析表明，汽車行業(yè)網(wǎng)絡(luò)防御能力與新興網(wǎng)絡(luò)攻擊能力之間的差距正在擴大。這種差距部分源于當前基于UNECE WP.29和ISO/SAE 21434的法規(guī)部署成效，但Upstream認為這些法規(guī)營造了虛假的安全感。汽車行業(yè)需重點實時監(jiān)控遠程信息處理及其他云服務(wù)器，以及海量API相關(guān)通信消息，因未來挑戰(zhàn)多集中于這兩大領(lǐng)域。該評估值得行業(yè)參考。xtIesmc

本文翻譯自國際電子商情姊妹平臺EETimes Europe，原文標題：xtIesmc