安全是最大的豪华:赛力斯集团首届网络安全白帽沙龙圆满举办
2024-11-12 22:23:37 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

2024年11月9日下午,由赛力斯集团和FreeBuf联合举办的网络安全白帽沙龙准时召开,吸引了众多社区用户和安全从业者。本场沙龙聚焦于智能网联汽车安全主题,涵盖智能网联汽车漏洞问题与内生安全、整车安全渗透最佳实践、智能汽车纵深威胁与安全策略、打破传统 探寻漏洞-从问题漏洞挖掘本质看待漏洞、智能网联汽车AI安全测评体系等热门方向,从多个角度深入探讨和寻找智能网联汽车安全解决方案。

1731419323_67335cbb8840725e8b09d.jpg!small

赛力斯集团IT与网络数据安全总部部长雷相其、斗象科技副总裁曾裕智、华为智能汽车解决方案BU网络安全与隐私保护专家王小军,赛力斯集团产品网络与数据安全部部长曹国华、赛力斯企业网络与数据安全部部长杨力出席。上海市智能网联汽车网络安全协同创新中心主任李玉峰,凌武科技智能网联汽车安全专家曾文锐,为辰信安安全实验室负责人王志鹏,Theloner安全团队队长月神,中国汽研信息安全专家全代勇现场发表主题演讲,分享在智能网络汽车领域的经验与实践。

赛力斯集团IT与网络数据安全总部部长雷相其为沙龙致辞。她表示,随着汽车智能化水平快速提升,网络安全风险已成为整个智能汽车行业生态健康发展的重大威胁。智能网联汽车安全建设是一场没有硝烟的战争,更是关乎国家整体安全发展的重大战略课题,亟需全社会的高度警觉与密切关注。

赛力斯视用户安全为公司的生命,积极秉承开放、协作、共赢的态度,通过联动企业、白帽、安全厂商、安全从业者,持续创新行业安全技术、产品,将顶尖安全技术与工具应用于汽车行业,共同推动行业整体网络安全防护水平提升。

1731307540_6731a814920f6bdf96f96.jpg

赛力斯集团IT与网络数据安全总部部长雷相其为大会致辞

上海市智能网联汽车网络安全协同创新中心主任李玉峰《智能网联汽车漏洞问题与内生安全》为主题进行演讲。他表示,“网络攻击的本质是漏洞利用”,软件定义汽车新形式下,漏洞正成为智能网联汽车行业的新公害。随着智能网联汽车漏洞快速增长,如何有效应对日益严峻的挑战成为重中之重。

演讲中,李玉峰主任从事前检测、事中内生安全防御、事后记录与分析角度,深入浅出讲解了漏洞防护与治理全过程,体系化地介绍了上海市智能网联汽车重点实验室、上海市智能网联汽车网络安全协同创新中心的多年漏洞防治实践。

1731307579_6731a83beef57188bfb79.jpg

上海市智能网联汽车网络安全协同创新中心主任李玉峰

凌武科技智能网联汽车安全专家曾文锐以“整车安全渗透最佳实践”为主题发表演讲,他指出攻击的本质是找到输入接口——创造非法输入——触发漏洞,而智能网联汽车由于“可攻击面多,但交互难,漏洞利用效果多样,漏洞利用路径多样”,导致屡屡被黑客成功入侵。

演讲中,曾文锐从红队的视角出发,以“汽车adb”为切入点,详细展示了整车安全渗透全过程。随后深入探讨了智能网联汽车渗透的常见流程,包括信息收集、漏洞分析、攻击路径设计和渗透实施等核心步骤,并且希望借助实用的整车渗透最佳实践,帮助识别潜在威胁,强化智能网联汽车系统的安全防护。

1731307596_6731a84c0cae04765de03.jpg!small

凌武科技车联网安全专家曾文锐

本场沙龙还特别设置了赛力斯网络安全应急响应中心上线仪式,并由赛力斯集团产品网络与数据安全部部长曹国华讲解《赛力斯漏洞奖励计划》;斗象科技副总裁漏洞盒子平台总经理曾裕智作为合作伙伴代表发言。

演讲中,曹国华部长首先分享了赛力斯网络与数据安全管理体系,涵盖1800+项制度、流程、规范等,以及智能网联汽车网络安全防御体系,覆盖云、管、端、芯全场景,全方位守护用户安全。随后详细介绍了赛力斯漏洞奖励计划,具体包括漏洞奖励范围、奖励金额与机制、参与方式、漏洞申报流程等,并真诚邀请白帽们加入赛力斯漏洞奖励计划,共同推动智能网联汽车安全生态建设。

1731420190_6733601e47ec7681b1c2c.jpg!small赛力斯集团产品网络与数据安全部部长曹国华

曾裕智对此表示,赛力斯是国内新能源车企头部企业,非常重视网络安全,很高兴能够一起见证赛力斯网络安全应急响应中心上线启动仪式。斗象旗下漏洞盒子是中国领先的漏洞平台和白帽社区,在SRC运营、漏洞收集管理、白帽生态运营等方面积累了非常丰富的经验。通过赛力斯和斗象双方强强联合,希望未来携手共进,共同破解网络安全难题,也欢迎白帽们共同参与进来。

1731307616_6731a86039b95d77307e3.jpg!small

斗象科技副总裁曾裕智

随着两位嘉宾的分享结束,正式进入“赛力斯网络安全应急响应中心”上线仪式雷相其部长、李玉峰主任、全代勇专家、曹国华部长、曾裕智副总裁共同参与启动仪式。

1731420268_6733606ce0d65b81eb5cb.jpg!small

赛力斯网络安全应急响应中心上线仪式启动

接下来,为辰信安安全实验室负责人王志鹏以《智能汽车纵深威胁与安全策略》为主题进行演讲。他表示,汽车经历着从“机械定义汽车”向“软件定义汽车”的演化,电子电气架构从“分布式”向“集中式”变革,由此也带来了愈演愈烈的网络安全威胁,其攻击方式、路径、策略正朝着复杂化、自动化、多样化的方向发展,给智能网联汽车安全带来严峻挑战。

对此他认为应以“系统化、多层次”的策略来应对,建设贯穿智能网联汽车全生命周期的纵深防御体系,全面落实安全法规与标准,完善攻防测试能力建设,加强安全运营建设,多种安全措施合力实施,最终实现安全“可见、可管、可控、可信”。

1731307651_6731a883e4c240181c56b.jpg!small

为辰信安安全实验室负责人王志鹏

Theloner安全团队队长月神分享《打破传统探寻漏洞——从问题本质看待漏洞》主题演讲,提出从内存视角看app和web漏洞,用另类的方法来简单的实现一些“需要解密或逆向”才能完成的操作,详细展示了以“内存修改”方式进行渗透的全过程,以便帮助企业更好地防御安全漏洞与网络攻击。

演讲最后,月神指出企业漏洞检测的重点不能只放在HTTP上面,从而疏忽其他协议中那些似乎不可能的漏洞,从而忽视了安全威胁。对于漏洞,企业应以审慎的态度进行全面的扫描和排查。

1731307668_6731a894846b816a58f82.jpg!small

Theloner安全团队队长月神

中国汽研信息安全专家全代勇以《智能网联汽车AI安全综合评价简介》为主题进行演讲。他表示,以GPT-4为代表的拥有千亿级甚⾄更⼤规模参数的AI⼤模型已成为引领未来的战略性技术,大量车用AI大模型数量爆发式增长,应用场景种类持续拓展,但也带来了前所未有的安全风险。

针对智能汽车AI模型可能面临的安全风险,全代勇详细介绍了“冰鉴安全评价体系”,从智能水平、抗攻击和隐私保护安全能力、情感调节的情绪价值、功能完备与性能好的健壮性以及忠诚可信五个维度评价车用AI模型,即从智商、逆商、情商、健商和德商五个维度评价,甄选AI模型中的多边形战士。

1731307688_6731a8a84cae162247fb4.jpg!small

中国汽研信息安全专家全代勇

值得一提的是,在本场沙龙中,赛力斯设置了2轮惊喜抽奖活动,共抽取一等奖3个、二等奖5个、三等奖9个,送出包括M7~M9系列车模在内的大量精美周边,将沙龙活动气氛推向了最高潮。

未来,赛力斯集团将继续致力于网络安全生态建设,积极与合作伙伴们开展合作与交流,与行业合作伙伴一起共赢共生,携手打造一个安全可靠的智能网联汽车生态环境,牢铸网络安全防线,为用户提供更加安全、智能的驾驶体验而不懈努力。


文章来源: https://www.freebuf.com/fevents/415119.html
如有侵权请联系:admin#unsafe.sh