Upstream年度報告是追蹤汽車網絡安全趨勢的優質信息來源。《2025年Upstream全球汽車網絡安全報告》為該系列第七版，包含160頁數據及信息來源引用。Upstream擁有龐大且持續擴展的網絡安全數據庫，每月監測超3,000萬個資產并追蹤400億條API(應用程序編程接口)消息，同時已記錄超1,000億車輛行駛里程。近期，Upstream已對1,130多個活躍網絡威脅行為者進行特征分析。xtIesmc

自2010年以來，Upstream已追蹤到1,877起汽車相關網絡安全事件。2024年，Upstream分析發現409起新公開披露的網絡安全事件，較2023年的295起有所上升。xtIesmc

汽車網絡安全仍將是汽車行業面臨的最嚴峻挑戰，即便投入大量資源開發并部署全面解決方案，其防護難度仍居高不下。伴隨軟件定義汽車(SDV)風險的新漏洞及通信技術發展，新型網絡安全攻擊模式正在不斷涌現。網絡安全技術、產品及服務需持續迭代升級，法規標準體系也需定期更新完善，同時需對新興及現有網絡威脅實施實時動態監測。xtIesmc

常見漏洞和風險數量增長

常見漏洞與風險(CVE)是衡量網絡攻擊可能得逞的弱點指標。CVSS(通用漏洞評分系統)是一種開放標準化的方法，用于評估CVE的嚴重性。CVSS幫助組織根據漏洞的嚴重程度、引入時間及環境屬性，優先協調聯合響應措施。基于CVSS評分，漏洞從高到低分為嚴重、高、中、低或無四個等級。xtIesmc

圖1展示了過去六年汽車相關CVE數量的增長趨勢——從2019年新增24個CVE增長至2024年新增422個。累計CVE數量從2019年的24個激增至2024年的1,147個。2024年新增CVE占CVE總數的37%。xtIesmc

xtIesmc

圖1：汽車常見漏洞與風險增長 制表：Egil Juliussen, 2025年4月 數據來源：Upstream Security 2025年網絡安全報告，2025年2月xtIesmc

Upstream僅關注直接影響汽車及智能出行生態系統的CVE(如主機廠、一級供應商、共享出行、移動物聯網設備和車隊)。Upstream排除了與供應鏈中可能使用的通用IT硬件或開源軟件組件相關的CVE。xtIesmc

Upstream追蹤每個漏洞的來源及嚴重性。圖2展示了2024年422個新增漏洞的來源分布與嚴重程度。圖2左側餅圖呈現了2024年引入這422個網絡安全漏洞的五大企業類別，包括汽車主機廠(OEM)、一級供應商(Tier1)、二級供應商(Tier2)、電動汽車供應設備公司(EVES)及其他企業。xtIesmc

xtIesmc

圖2：汽車常見漏洞和披露(CVE)的來源和嚴重性 制圖：Egil Juliussen，2025年4月 數據來源：Upstream 2025網絡安全報告，2025年2月xtIesmc

2024年新增漏洞的CVE嚴重性等級如圖2右側餅圖所示，分為四個級別。2024年，關鍵和高危漏洞占CVE總數的61%以上。xtIesmc

汽車行業網絡安全事件趨勢

網絡安全事件在汽車行業持續增長。隨著受網絡攻擊影響的車輛數量及相關出行服務范圍擴大，網絡攻擊的影響呈上升趨勢。xtIesmc

Upstream根據潛在影響規模對2021-2024年間公開披露的汽車網絡安全事件進行了分析，影響范圍涵蓋車輛、用戶、移動設備等。Upstream將事件按影響程度分為四個等級：xtIesmc

• 低影響：可能影響10個以下資產的事件；
• 中等影響：影響最多1,000輛車輛或移動資產的事件；
• 高影響：影響數千輛車輛或移動資產的事件；
• 大規模影響：可能影響數百萬移動資產的事件。

表1基于四個影響等級匯總了Upstream對2021-2024年趨勢的分析。首行列出了每年分析的事件數量。xtIesmc

xtIesmc

表1：按潛在規模劃分的已公開網絡安全事件xtIesmc

2021年和2022年，高影響或大規模事件占網絡安全攻擊總數的20%-22%。到2023年，高影響或大規模事件的占比翻倍至近50%，2024年達到60%。這種向大規模攻擊的轉變對遭受網絡攻擊的車輛數量和移動資產規模產生了重大影響。xtIesmc

目前，大規模影響類別具有最多的潛在攻擊次數，基于四個類別的加權平均值，其占比遠超95%。在409起攻擊中，大規模攻擊占19%(77起潛在攻擊)。按每起攻擊可能影響100萬資產計算，這總計至少達7,700萬資產。其他三個類別的潛在影響資產總數約為100萬左右。xtIesmc

圖3展示了汽車相關網絡事件類型的分布情況。橫向柱狀圖顯示了2024年各類型事件占網絡事件總量的比例。由于部分事件具有多重影響，各類型百分比總和可能超過100%。xtIesmc

數據隱私泄露是最大的類別，占所有事件的60%。此類數據的吸引力源于車輛及移動系統中存儲的信用卡及相關數據日益普及。服務業務中斷是第二大事件類別(占53%)，這顯然與勒索軟件的增長直接相關。xtIesmc

xtIesmc

圖3：2024年汽車網絡安全事件類型統計(共計409起) 制表：Egil Juliussen, 2025年4月 數據來源：Upstream Security 2025年網絡安全報告，2025年2月xtIesmc

汽車系統操縱及車輛控制是第三大類別，占2024年事件的35%，較2022年的5%大幅增長。Upstream數據顯示，欺詐相關事件在2023年和2024年占比相似(19%-20%)，此前該比例從2022年的4%激增。暗網上最熱門的欺詐信息之一是里程調校(正式名稱為里程表欺詐)。根據NHTSA數據，美國每年有超45萬輛汽車以虛假里程表讀數售出，導致消費者損失超10億美元。xtIesmc

勒索軟件攻擊事件不斷增多

勒索軟件攻擊正成為汽車行業及其他行業的一大問題。2024年共發生409起網絡安全事件，其中108起(占26%)屬于勒索軟件類別。大部分勒索軟件相關知識源自暗網和深網。惡意攻擊者越來越多地針對汽車和出行行業實體(包括原始設備制造商、供應商和電動汽車充電基礎設施)發起勒索軟件攻擊。供應鏈的所有環節均對原始設備制造商、服務提供商以及出行設備和應用程序構成風險。勒索軟件攻擊可能嚴重影響運營可用性和生產，或泄露敏感客戶信息及系統憑證。為勒索錢財，攻擊者通常在暗網上運營“泄露網站”，用于公開被盜數據并分享與攻擊及受害者相關的信息。2024年，多起汽車經銷商勒索軟件事件使勒索軟件攻擊和泄露網站成為重大新聞。xtIesmc

例如，2024年10月，一家知名經銷商淪為俄羅斯勒索軟件團伙的攻擊目標。攻擊者采用雙重勒索策略，竊取了發票、會計記錄、個人信息、雇傭合同、認證文件及內部文件等敏感企業數據。贖金支付期限過后，該團伙通過暗網平臺公開被盜數據，進一步升級攻擊。其他勒索軟件事件信息可通過簡單的互聯網搜索獲取。xtIesmc

網絡攻擊載體的多樣性

2024年的網絡攻擊較往年更為復雜頻繁，攻擊目標涵蓋車輛、后臺系統，以及智能出行平臺、設備和應用程序。攻擊載體表明，任何連接節點都可能遭受網絡攻擊。圖4展示了攻擊手段的多樣性。xtIesmc

xtIesmc

圖4：汽車網絡安全攻擊向量的多樣性(2024年按攻擊向量統計的事件) 制表：Egil Juliussen, 2025年2月 數據來源：Upstream Security 2025年網絡安全報告，2025年4月xtIesmc

基于云的系統(如遠程信息處理和應用服務器)遭遇網絡攻擊事件大幅增加。服務器相關事件占比從2022年的35%、2023年的43%上升至2024年的66%。攻擊者可能通過利用后端服務器漏洞，在車輛行駛時發起攻擊。xtIesmc

網聯汽車與智能出行服務使用大量內外部API，每月處理數十億次交互。OTA(空中下載技術)與遠程信息處理服務器、主機廠移動應用、車載信息娛樂系統、出行物聯網設備、電動汽車充電管理及計費應用均高度依賴API。API也構成了廣泛且大規模的潛在攻擊面，導致包括個人信息竊取、后端系統操控或遠程車輛控制在內的多種網絡攻擊。xtIesmc

API攻擊具有高成本效益，可實現大規模攻擊。其技術要求相對較低，使用標準技術，且無需特殊硬件即可遠程實施，這使其持續增長。API攻擊占比從2023年的13%上升至2024年的17%。xtIesmc

車載信息娛樂相關事件在2023年從2022年的8%大幅增長至15%，但在2024年略有下降。電子控制單元(ECU)負責引擎、轉向、制動、車窗、無鑰匙進入及多種關鍵系統。黑客試圖通過同時運行多個復雜系統來操控ECU并控制其功能。ECU網絡攻擊事件占比為8%，較2023年的9%略有下降。xtIesmc

安全的充電基礎設施對電動汽車普及至關重要。當前許多充電樁、充電基礎設施系統及相關應用存在物理和遠程操控漏洞，使電動汽車用戶面臨欺詐與勒索攻擊風險，同時也影響充電網絡可靠性。電動汽車充電網絡攻擊占比從2023年的4%上升至2024年的6%。xtIesmc

摘要與展望

汽車網絡安全攻擊已發展為多維度增長的產業，涵蓋漏洞數量、攻擊者規模、攻擊復雜程度提升以及汽車網絡安全行業參與者的應對措施等多個層面。根據Upstream數據收集與分析，圖5總結了汽車網絡安全事件年度及累計增長趨勢。xtIesmc

圖5左邊柱狀圖顯示年度汽車網絡安全事件從2017年的57起增長至2024年的409起。右邊柱狀圖展示累計網絡攻擊數量，從2017年的不足180起攀升至2024年底的近1,900起，增幅超過十倍。xtIesmc

xtIesmc

圖5：汽車網絡安全事件增長 制表：Egil Juliussen, 2025年4月 數據來源：Upstream Security 2025年網絡安全報告，2025年2月xtIesmc

多項技術趨勢正產生重大影響——軟件定義車輛(SDV)新增大量軟件代碼，這些代碼將在API和云服務器領域帶來相應漏洞。人工智能(AI)技術正成為影響網絡安全攻擊的關鍵因素，同時也被用于發現、分析并抵御海量復雜攻擊向量。xtIesmc

深網與暗網信息及工具的影響在2024年顯著增強，勒索軟件攻擊數量增至108起，占409起總事件的26%。xtIesmc

網絡安全攻擊向量持續多樣化。遠程信息處理、網聯汽車應用及出行應用的眾多后端服務器已成為最大攻擊向量，2024年占比達66%(2023年為43%)。xtIesmc

API是漏洞增長的重要因素，其用于不同軟件平臺、應用程序及所有軟件相關系統間的通信?；贏PI的通信每月使用次數達數十億次，即使漏洞比例極低也可能迅速引發重大問題。xtIesmc

勒索軟件攻擊是主要網絡安全威脅，2024年對汽車行業造成重創。少數成功的攻擊即可導致數千萬美元損失。Upstream報告總結了這些成功攻擊案例。xtIesmc

Upstream分析表明，汽車行業網絡防御能力與新興網絡攻擊能力之間的差距正在擴大。這種差距部分源于當前基于UNECE WP.29和ISO/SAE 21434的法規部署成效，但Upstream認為這些法規營造了虛假的安全感。汽車行業需重點實時監控遠程信息處理及其他云服務器，以及海量API相關通信消息，因未來挑戰多集中于這兩大領域。該評估值得行業參考。xtIesmc

本文翻譯自國際電子商情姊妹平臺EETimes Europe，原文標題：xtIesmc