2023年8月21日,“铸网2023”车联网赛道网络安全实网攻防演练启动大会在临港中心举行。本次演练是由工业和信息化部网络安全管理局指导,上海市通信管理局、上海市经济和信息化委员会、临港新片区管委会和中国信息通信研究院共同主办。
本次活动分为两部分,一部分是专题报告以及车联网网络安全创新发展论坛,另一部分是车联网攻防演练活动。在本次论坛中喜数信息CTO孙峰先生介绍了APISEC安全平台在攻防中的必要性与实践性,提供了车联网中API安全策略思考。为应对目前的安全态势,喜数APISEC安全平台在资产发现、脆弱性分析、异常行为分析、数据安全分析四大功能基础上聚合两大特点:
▪ 云原生全景视图
系统可以适配容器、云原生等环境,同时对于其内部组件间东西向流量的收集趋向完整,很好的展现应用间、容器间的调用关系视图、揭露业务及系统关系的真实安全全景。
▪ 数据流转追踪
APISEC对于数据库等数据源的扩展支持,结合应用、业务间的数据流转,具备端到端的全链路数据追踪能力,提升用户在数据消费环节的监控及安全运营能力。
身为“铸网2023”车联网网络安全实网攻防演练技术支撑单位,喜数信息为本次演练活动作为红队以实际运行的信息系统为保障目标(靶标),在保障业务系统稳定运行的前提下,在既定规则内,采用“不限攻击路径,不限攻击手段”,贴合实战的方式尽可能模拟真实的网络攻击,以此来校验信息系统实际安全性和运维保障实际有效性,提高网络安全的综合防控能力,并将通过模拟攻击实现系统提权,控制业务获取数据等,来发现蓝队系统的薄弱环节。
在本次演练中,喜数信息重点对擅长的API漏洞方面进行了检测分析,发现了远车网络中的管理系统存在可进行任意用户密码登录的漏洞,另外还检测到了敏感配置文件泄露等API漏洞,帮助主办方完善了车联网安全体系。
未来,喜数信息将会认真贯彻落实国家安全战略,立足车联网安全产业发展,携手各技术支撑单位与中国汽车技术研究中心有限公司全面推进汽车信息安全政府治理支撑、关键技术攻关、产业化应用推进和高精人才培育,助力我国汽车产业安全发展。