特斯拉频繁遭遇黑客攻击，智能汽车都存在安全“漏洞”？如何查找？

云驰未来是专注智能网联汽车信息安全的产品技术公司，近期重磅发布了国内第一款高度自动化的威胁分析与风险评估（TARA）工具——InTARA，解决了主机厂在TARA分析工作的相关痛点及难题。

随着智能网联汽车的不断普及和演进，汽车网络安全、数据安全等问题日益凸显，用户信息泄露、遭遇黑客攻击等各类安全问题不断暴露。

相关数据显示，过去的4年内，汽车信息安全事件的数量增长了超6倍。其中2020年全球针对智能网联汽车的黑客网络攻击、软件漏洞操控等相关恶意攻击已经超过280万次。

北京云驰未来科技有限公司（以下简称“云驰未来”）副总裁杨洋表示，智能网联汽车所存在的安全威胁与风险亟需通过科学、全面的分析，建立有效的安全应对措施。

其中，威胁分析与风险评估（TARA）分析是智能网联汽车网络安全、数据安全功能开发的前提和基础，可以帮助识别智能网联汽车系统中存在的潜在威胁和安全漏洞，并且对威胁的风险量化评估与优先级排序。

杨洋是拥有二十余年主机厂工作经历的行业专家，具备丰富的电子电气架构设计及主机厂信息安全体系建设经验。在杨洋看来，整车厂需要高水平的汽车信息安全专家，通过TARA分析工作，识别安全风险、确定缓解措施、形成安全需求管理基线。而高度自动化的TARA分析工具可以帮助整车厂提速增效。

一、TARA分析的市场需求剧增

智能网联汽车正在成为最大的智能移动终端，围绕人、车、场景的相关服务数据正在爆发式增长。未来的智能网联汽车将有不同等级的安全保证要求，一个巨大的汽车网络安全、数据安全市场正在开启。

2020年以来，国家相关部门颁布了一系列关于智能网联汽车网络安全、数据安全的法律法规，要求汽车行业执行和记录信息安全风险分析的活动与结果，涵盖OEM和Tier1的产品开发过程以及整个产品生命周期。

这就意味着，智能网联汽车在保证传统功能安全合规的同时，网络安全、数据安全等要求也被提上了一个更高的等级。

杨洋认为，智能网联汽车的信息安全需要在产品规划阶段就开始考虑，只有这样才能将信息安全融入到架构设计、软硬件开发、测试、量产以及售后中去。因此，TARA分析在智能网联汽车的开发和生产当中，占据着越来越重要的作用。

有多位业内人士表示，最近几年，智能网联汽车产业对于TARA分析的需求急剧增加，不仅主机厂内部对于TARA分析的需求剧增，也会要求供应商提供相关的TARA分析报告。

不过，由于智能网联汽车的网络安全、数据安全市场才刚刚起步，TARA分析还面临着相关软件工具尚不完善、效率低下、任务繁琐等痛点。

《高工智能汽车》了解到，截止目前仍然有不少主机厂及Tier1采用传统信息安全工具，即主要采用“文档式”的工作办法，需要大量的人工录用，并且没有专用的TARA数据模型，导致信息安全效率偏低且一致性、完整性难以得到保证，并不适合智能网联汽车信息安全的场景。

“一款自动化且高效的TARA分析工具能够极大地解决主机厂及Tier1厂商的TARA分析难题，帮助识别智能网联汽车系统中存在的潜在威胁和安全漏洞。”杨洋如此表示。

二、国内首款自研TARA分析工具应运而生

虽然从传统的IT行业、互联网到智能手机时代，网络安全的问题和应对策略一直存在，但汽车网络安全已经远远超出了传统IT安全的范畴。因此，威胁分析与风险评估（TARA）作为核心的网络分析方法，市场上对于一款高效、易用的智能网联汽车专用TARA工具的需求日趋高涨。

近期，云驰未来重磅发布了国内第一款自主研发的高度自动化车辆信息安全威胁分析与风险评估的TARA工具——InTARA，使用者可以通过图形化界面和建模方法编辑管理与安全分析评估工作，大幅提升了安全分析师的工作效率。

云驰未来相关负责人介绍，InTARA完全支持ISO21434中对于TARA过程的要求，包括分析对象、可以完整的编辑评估对象涵盖的内容、资产识别和影响评估、分析威胁场景和攻击路径和按照需求模板输出评估报告等步骤，企业通过对信息安全相关项进行TARA分析就可以得到产品信息安全目标。

与此同时，云驰未来的InTARA软件以工程文件的形式保存数据与评估结果，并且支持与后台服务器通信实现数据共享与业务协同。

众所周知，随着自动驾驶级别的不断演进，主机厂会开发更多全新的应用程序，以实现更高级别的智能化、网联化的功能。这时，最初设计的威胁识别技术也会过时，车辆也会面临着更多全新的威胁。

杨洋认为，智能网联汽车的网络安全、数据安全应该有更长远的考虑，才能确保系统在全生命周期能够快速识别并应对新形式的安全攻击。

与市场上其他TARA分析工具不同，云驰未来的InTARA有明确的导航指示，可以帮助用户快速了解业务位置与进度。同时，InTARA还可以自主学习历史TARA数据，面对全新的评估对象实现更迅速的脆弱性发现。

云驰未来是国内为数不多深入ECU安全领域、自动驾驶安全领域的技术公司，其核心团队汇集了业界顶尖的信息安全、汽车电子安全、自动驾驶安全等领域的资深专家。比如其CEO曾剑隽就拥有超过20年的信息安全领域的丰富和领先的工程经验，而总裁郑强也在汽车电子领域拥有丰富的量产经验，副总裁杨洋则拥有20多年主机厂整车电气系统开发从业经验。

早在三年前，云驰未来就已经与百度阿波罗合作开发深度安全策略集成的车载安全网关产品，用于百度自动驾驶系统。

截止目前，云驰未来已攻克多项自动驾驶安全技术难关并申报发明专利，获得10多项软件著作权，是国内唯一一家在自动驾驶场景落地并有成熟产品和商业案例的创业公司，可以提供车联网安全产品、技术服务和解决方案。

如此，云驰未来通过各大车联网、自动驾驶安全项目的量产，也积累了丰富的车辆信息安全领域的威胁库与应对方案，这对于InTARA工具的准确性也提供了重要支撑。

杨洋介绍，首发推出的InTARA分析工具可以实现半自动化，预计到2022年6月前将实现完全的自动化。

三、从TARA分析到汽车安全软硬件解决方案

《高工智能汽车》了解到，云驰未来不仅仅是提供TARA分析工具及TARA分析服务，还将以此为基础提供更多的产品及服务。

一方面，云驰未来将通过申请免费License的方式，向OEM或Tire1提供TARA工具使用权。另一方面，杨洋还表示，“云驰未来还可以结合TARA工具中给出的风险应对建议，为客户提供系列的安全产品，比如车联网安全中间件、安全合规咨询与技术服务等。”

截止目前，云驰未来的产品和服务包括车载安全网关、车联网安全中间件、安全合规咨询与技术服务、云驰智云SaaS与解决方案等，其业务范围渗透主机厂和Tier1业务场景。

其中，针对车载安全网关领域，云驰未来已经推出了国内首款应用于L4级自动驾驶的车载安全网关D2000、国内首款车规级5G自动驾驶车载安全网关L3000，能够全方位“守护”自动驾驶系统的信息安全、数据传输安全、功能安全等。

而云驰未来推出的车联网安全中间件是面向未来的、集中式电子电气架构设计的信息安全软件框架，可以被集成到域控系统中，为各个车内的域控系统（如动力域、底盘域、自动驾驶域等）提供安全能力。

下一步，云驰未来将结合不同的场景不断优化和迭代产品，以满足智能网联汽车更多全新的需求和场景化落地。