Business challenge

由于复杂性在连接的汽车生态系统中增加,包括硬件,软件,通信和后端基础架构,对安全漏洞的担忧正在增长。

Transformation

计划为其客户提供售后市场连接的汽车“插件”解决方案,制造商聘请了IBM®X-Force®RED以进行端到端 渗透测试。投资待办事项 X-Force Red 退伍军人黑客团队发现了广泛的漏洞 - 并提供了一个帮助制造商提高解决方案安全性的框架。

Results

div">

Identified

仅通过集成的端到端测试显示的漏洞

Improved

在上市前连接汽车生态系统的安全性

Avoided

品牌损害,客户信任丧失和潜在的财务损失

商业挑战故事

连接的汽车生态系统和安全风险

对于全球汽车制造商来说,它看起来像是一个好主意。为客户提供定制的售后市场“黑匣子”插件,可以将他们的汽车转换为连通汽车。使用移动应用程序,客户可以通过检索其GPS坐标,或者通过传动系车被驱动的远程数据以及它发生的快速查找到停车场中将其汽车定位在停车场中的好处。

汽车制造商与设备制造商合同,开发解决方案,该解决方案包括三个部分:安装在车内的设备;基于云的数据收集和通信的应用程序;和客户用于访问数据或与汽车通信的移动应用程序。 

通过这些新功能,汽车可以收集关于客户的数据量,其中一些是敏感的。因为它意识到与连通汽车相关的潜在漏洞和安全风险,所以汽车制造商从事X-Force Red进行穿透测试。

我们能够在解决方案的每个组件中找到漏洞,包括移动应用程序和云服务以及硬件。

X-Force Red顾问, IBM

转型 story

从纸张到渗透测试 - 揭示漏洞

测试练习的第一部分在纸上进行了。这 X-Force Red Team由行业领先的资深黑客组成,创建了一个威胁模型,以获得解决方案的漏洞水平的“大图片”。然后,团队手动测试了解决方案的各个部件,包括逆向工程车内设备。在测试时,X-Force Red的黑客使用相同的工具和方法犯罪攻击者如果他们试图损害插件解决方案,则会使用。

制造商的初步关注是刑事攻击者可以读取由车载设备收集的数据,并将其传输到云中的后端基础架构。测试在设备和云之间的通信中发现了安全漏洞 - 因此关注是合理的。 X-Force Red Team设计了一种方法来将通信重定向到自己的GSM(全球移动通信)接入点,捕获和篡改数据。 

但是团队在“破解”中的硬件和固件中发现的是更多的。测试显示,车载设备没有任何控制,防止它干扰汽车的操作,并且可以篡改与设备的攻击者可以利用漏洞,理论上,汽车正在推动时激活制动器或者,在另一种情况下,锁定窗户并打开加热系统。 

“我们甚至可能会干扰车内设备的固件,并使它为我们工作。我们可以利用未使用的港口,“团队上的X-Force Red顾问说。 “我们能够在解决方案的每个组件中找到漏洞,包括移动应用程序和云服务以及硬件。”

通过将渗透试验的调查结果转回初始威胁模型,X-Force Red Team和制造商可以了解安全弱点和威胁水平。从那里,团队开发了一个框架,旨在帮助制造商解决所识别的问题。它还开发了一种方法,可以在硬件开发期间使用,以避免发现的一些问题。

我们甚至可能会干扰车内设备的固件,并使我们为我们工作。我们可以利用未使用的港口。

X-Force Red顾问, IBM

结果 story

用连接的汽车解决方案去市场

汽车制造商应用X-Force Red开发的框架,能够改善其售后市场连通汽车解决方案的安全性。它还选择将产品的范围限制为低风险功能,例如在停车场找到汽车 - 并排除控制门锁或其他操作的能力。然后制造商能够将安全连接的汽车解决方案推出到市场。

通过测试整个解决方案生态系统,制造商识别出由多个组件之间的相互作用产生的漏洞,如果组件单独测试,则可能未被识别。对X-Force Red Peretration Testing Services的投资有助于制造商避免品牌损坏,客户信任和可能发生的经济损失的损失使得解决方案在上市前未经测试。

全球汽车制造商

这家公司制造商正在全球分布和销售的汽车。

Take the Next Step

To learn more about X-Force Red automotive testing services, visit: //www.lovechugsblog.com/security/services/automotive-testing

跟着 “x力红色行动”播客系列听到X-Force Red是保护客户端的。

有关IBM安全解决方案和服务的更多信息,请访问: IBM..com/security.。在@ibmsecurity的推特上关注我们或访问我们的博客 安全Intelligence.com..

查看更多客户故事 or 了解有关IBM安全性的更多信息.