安全是最大的豪华:赛力斯集团首届网络安全白帽沙龙圆满举办

科技   2024-11-13 19:20   上海  


2024年11月9日下午,由赛力斯集团和FreeBuf联合举办的网络安全白帽沙龙准时召开,吸引了众多社区用户和安全从业者。本场沙龙聚焦于智能网联汽车安全主题,涵盖智能网联汽车漏洞问题与内生安全、整车安全渗透最佳实践、智能汽车纵深威胁与安全策略、打破传统 探寻漏洞-从问题漏洞挖掘本质看待漏洞、智能网联汽车AI安全测评体系等热门方向,从多个角度深入探讨和寻找智能网联汽车安全解决方案。


赛力斯集团IT与网络数据安全总部部长雷相其、斗象科技副总裁曾裕智、华为智能汽车解决方案BU网络安全与隐私保护专家王小军,赛力斯集团产品网络与数据安全部部长曹国华、赛力斯企业网络与数据安全部部长杨力出席。上海市智能网联汽车网络安全协同创新中心主任李玉峰,凌武科技智能网联汽车安全专家曾文锐,为辰信安安全实验室负责人王志鹏,Theloner安全团队队长月神,中国汽研信息安全专家全代勇现场发表主题演讲,分享在智能网络汽车领域的经验与实践。


赛力斯集团IT与网络数据安全总部部长雷相其为沙龙致辞。她表示,随着汽车智能化水平快速提升,网络安全风险已成为整个智能汽车行业生态健康发展的重大威胁。智能网联汽车安全建设是一场没有硝烟的战争,更是关乎国家整体安全发展的重大战略课题,亟需全社会的高度警觉与密切关注。


赛力斯视用户安全为公司的生命,积极秉承开放、协作、共赢的态度,通过联动企业、白帽、安全厂商、安全从业者,持续创新行业安全技术、产品,将顶尖安全技术与工具应用于汽车行业,共同推动行业整体网络安全防护水平提升。

赛力斯集团IT与网络数据安全总部部长雷相其为大会致辞


上海市智能网联汽车网络安全协同创新中心主任李玉峰《智能网联汽车漏洞问题与内生安全》为主题进行演讲。他表示,“网络攻击的本质是漏洞利用”,软件定义汽车新形式下,漏洞正成为智能网联汽车行业的新公害。随着智能网联汽车漏洞快速增长,如何有效应对日益严峻的挑战成为重中之重。


演讲中,李玉峰主任从事前检测、事中内生安全防御、事后记录与分析角度,深入浅出讲解了漏洞防护与治理全过程,体系化地介绍了上海市智能网联汽车重点实验室、上海市智能网联汽车网络安全协同创新中心的多年漏洞防治实践。


上海市智能网联汽车网络安全协同创新中心主任李玉峰


凌武科技智能网联汽车安全专家曾文锐整车安全渗透最佳实践为主题发表演讲,他指出攻击的本质是找到输入接口——创造非法输入——触发漏洞,而智能网联汽车由于“可攻击面多,但交互难,漏洞利用效果多样,漏洞利用路径多样”,导致屡屡被黑客成功入侵。


演讲中,曾文锐从红队的视角出发,以“汽车adb”为切入点,详细展示了整车安全渗透全过程。随后深入探讨了智能网联汽车渗透的常见流程,包括信息收集、漏洞分析、攻击路径设计和渗透实施等核心步骤,并且希望借助实用的整车渗透最佳实践,帮助识别潜在威胁,强化智能网联汽车系统的安全防护。


凌武科技车联网安全专家曾文锐


本场沙龙还特别设置了赛力斯网络安全应急响应中心上线仪式并由赛力斯集团产品网络与数据安全部部长曹国华讲解赛力斯漏洞奖励计划》;斗象科技副总裁漏洞盒子平台总经理曾裕智作为合作伙伴代表发言。


演讲中,曹国华部长首先分享了赛力斯网络与数据安全管理体系,涵盖1800+项制度、流程、规范等,以及智能网联汽车网络安全防御体系,覆盖云、管、端、芯全场景,全方位守护用户安全。随后详细介绍了赛力斯漏洞奖励计划,具体包括漏洞奖励范围、奖励金额与机制、参与方式、漏洞申报流程等,并真诚邀请白帽们加入赛力斯漏洞奖励计划,共同推动智能网联汽车安全生态建设。

赛力斯集团产品网络与数据安全部部长曹国华


曾裕智对此表示,赛力斯是国内新能源车企头部企业,非常重视网络安全,很高兴能够一起见证赛力斯网络安全应急响应中心上线启动仪式。斗象旗下漏洞盒子是中国领先的漏洞平台和白帽社区,在SRC运营、漏洞收集管理、白帽生态运营等方面积累了非常丰富的经验。通过赛力斯和斗象双方强强联合,希望未来携手共进,共同破解网络安全难题,也欢迎白帽们共同参与进来。

斗象科技副总裁曾裕智


随着两位嘉宾的分享结束,正式进入“赛力斯网络安全应急响应中心”上线仪式,雷相其部长、李玉峰主任、全代勇专家、曹国华部长、曾裕智副总裁共同参与启动仪式。


赛力斯网络安全应急响应中心上线仪式启动


接下来,为辰信安安全实验室负责人王志鹏智能汽车纵深威胁与安全策略为主题进行演讲。他表示,汽车经历着从“机械定义汽车”向“软件定义汽车”的演化,电子电气架构从“分布式”向“集中式”变革,由此也带来了愈演愈烈的网络安全威胁,其攻击方式、路径、策略正朝着复杂化、自动化、多样化的方向发展,给智能网联汽车安全带来严峻挑战。


对此他认为应以“系统化、多层次”的策略来应对,建设贯穿智能网联汽车全生命周期的纵深防御体系,全面落实安全法规与标准,完善攻防测试能力建设,加强安全运营建设,多种安全措施合力实施,最终实现安全“可见、可管、可控、可信”。


为辰信安安全实验室负责人王志鹏


Theloner安全团队队长月神分享打破传统探寻漏洞——从问题本质看待漏洞主题演讲,提出从内存视角看app和web漏洞,用另类的方法来简单的实现一些“需要解密或逆向”才能完成的操作,详细展示了以“内存修改”方式进行渗透的全过程,以便帮助企业更好地防御安全漏洞与网络攻击。


演讲最后,月神指出企业漏洞检测的重点不能只放在HTTP上面,从而疏忽其他协议中那些似乎不可能的漏洞,从而忽视了安全威胁。对于漏洞,企业应以审慎的态度进行全面的扫描和排查。


Theloner安全团队队长月神


中国汽研信息安全专家全代勇以《智能网联汽车AI安全综合评价简介》为主题进行演讲。他表示,以GPT-4为代表的拥有千亿级甚⾄更⼤规模参数的AI⼤模型已成为引领未来的战略性技术,大量车用AI大模型数量爆发式增长,应用场景种类持续拓展,但也带来了前所未有的安全风险。


针对智能汽车AI模型可能面临的安全风险,全代勇详细介绍了“冰鉴安全评价体系”,从智能水平、抗攻击和隐私保护安全能力、情感调节的情绪价值、功能完备与性能好的健壮性以及忠诚可信五个维度评价车用AI模型,即从智商、逆商、情商、健商和德商五个维度评价,甄选AI模型中的多边形战士。


中国汽研信息安全专家全代勇


值得一提的是,在本场沙龙中,赛力斯设置了2轮惊喜抽奖活动,共抽取一等奖3个、二等奖5个、三等奖9个,送出包括M7~M9系列车模在内的大量精美周边,将沙龙活动气氛推向了最高潮。



未来,赛力斯集团将继续致力于网络安全生态建设,积极与合作伙伴们开展合作与交流,与行业合作伙伴一起共赢共生,携手打造一个安全可靠的智能网联汽车生态环境,牢铸网络安全防线,为用户提供更加安全、智能的驾驶体验而不懈努力。


FreeBuf
中国网络安全行业门户
 最新文章