安全成智能网联研发重点考量，腾讯安全sysAuditor助力打通全流程通道

结合腾讯安全科恩实验室历年对Tesla汽车系统安全的研究成果，吕一平分析，当前智能网联系统常见的安全问题主要涉及三大层面。一是设计层面，系统内核及浏览器版本滞后、已知漏洞未修复等安全特性设计的不完备，使得整个智能网联系统陷入被远控的风险。二是工程实践层面，来自系统自带安全防护、自研应用服务等的配置错误、代码实现逻辑等功能缺陷，为攻击者破解系统提供了突破口。此外，由自动驾驶等新技术引入带来的前沿算法的应用，引发了诸如特斯拉雨刮器错误启动、道路标记干扰等新攻击。

面对持续叠加的安全修复成本与代价，如何以更低成本高效解决信息安全问题，并提升原生安全能力，成为当前智能网联产业链共同的关注点。腾讯安全科恩实验室研究统计数据显示，由于智能汽车开发/供应商安全需求缺位的常态化，设计缺陷和已知漏洞等造成的安全问题占比已高达60%。对于智能网联汽车而言，系统设计与研发阶段的安全考量变得更加重要。

在吕一平看来，针对供应链系统碎片化明显等车联网发展现状，设计研发阶段的安全左移是破解车联网安全难题的有效途径。具体到实践场景，涉及人、技术和流程三个层面：

● 人的层面，实现安全思维上的左移。从企业宏观视角，建立高度协同且具备前瞻性的信息安全全局思维，组建专业安全团队，打通规划、咨询、评估、测试管理全链路;

● 技术层面上，紧扣最小权限、攻击面收敛、默认安全、纵深防御等安全基本原则，重视成熟安全技术与车联网业务场景的融合，并选择合适的自动化工具，提升安全开发效率;

● 在设计研发流程上，注重安全前置的实践。基于车企研发模式向软件定义迭代转变的趋势，致力在研发设计层面解决大部分安全隐患，达到低成本高回报的安全效益。

对于大多数智能网联产业链企业而言，成熟自动化工具的应用是提升系统设计研发安全构建效率的重要辅助。为此，腾讯安全科恩实验室结合其在车联网安全领域的技术研究和服务能力产品化的成果，打造推出了一款专注于嵌入式系统的全自动安全基线审计的渗透测试辅助平台工具sysAuditor。

这一嵌入式系统安全审计平台能够检测出90%的共性安全问题，助力企业实现对研发漏洞检测、系统安全验收、潜在风险规避和行业安全管理等的自动化审计，从而达到提升安全基线，降低维护成本的目的。日前，该平台成功入选了工业和信息化部网络安全管理局公布的2020年网络安全技术应用试点，进一步加速车联网安全最佳实践的复用和解决方案的落地。

伴随着“新基建”的宏伟蓝图不断铺开，各行各业数字化转型步伐再次提速，安全能力也需要在数字化进程中实现“自适应”，能够和5G、云计算、智能网联汽车、人工智能等新基建新技术产生动态协同效应。未来，腾讯安全将持续释放释放顶尖人才、技术优势，加深安全产品和服务与产业场景的贴合度，夯实数字化产业纵深发展的安全底座。