智能网联汽车安全运营中心最佳实践 BestPracticesforBuildingaVehicleSecurityOperationsCenter (功能篇) 为安全出行保驾护航 前言 智能网联汽车面临着严峻的网络安全挑战,因为它们拥有巨大的攻击价值,并可能威胁到驾驶人的安全。不法分子从科幻电影中得到的灵感和不断增加的汽车攻击事件引发了用户和监管机构的担忧。然而,整个行业缺乏关于网络安全最佳实践的指导。解决以下问题对汽车产业来说都是重要且未知的:如何在车辆开发阶段更好地识别网络安全风险?如何在开发过程中减少风险?如何确保车辆系统长期安全,并能及时响应网络安全攻击? 行业监管机构正在对汽车网络安全作出关注。近年来,有关汽车网络安全的法规不断出台,汽车企业的网络安全团队需要不断应对这些要求。面对有限的人力和复杂的风险管理内容,网络安全团队往往难以组建并进入繁重的工作。分散的安全管理流程、不同角色的人员、分布在各处的安全措施和技术,都给管理带来了巨大的困难。一方面,汽车行业需要在短短数年内组建成熟的安全团队、响应流程和技术措施;另一方面,汽车系统与传统IT系统、金融系统存在诸多差异,所面临的环境、接口类型和使用习惯都更加复杂。面对这些挑战,汽车网络安全工程师需要学习IT安全团队的管理经验,同时要了解汽车系统和IT系统的区别,并在车辆开发中不断实践。 前言PART1 概念 差异价值功能 建设误区关键策略 1 CallistoTechnology©2023Allrightsreserved.1 为安全出行保驾护航 前言 众所周知,在成熟的风险管理体系中,安全运营的有效性是评价企业网络安全管理能力的关键指标。随着全球范围内汽车企业和组织不断拓展线上智能化业务,网络安全事件也在不断增加。许多机构的IT管理人员通过安全运营中心,调配网络安全团队,应对不法分子的攻击。传统的IT系统和智能汽车系统有一个共同点:在交付后,其网络安全管理工作并不会随着开发测试工作的结束而结束,相反,它刚刚开始——因为不断出现的漏洞、持续的攻击事件、突发的故障、应急响应和用户投诉等都需要持续关注和解决,因此重新调整产品开发生产策略也属于安全运营的重要任务。在此情况下,汽车安全运营中心(VehicleSecurityOperationsCenter)也将成为汽车风险管理团队的必备部分。 前言PART1 概念 差异价值功能 建设误区关键策略 1 基于丰富的专家经验及工程实践,木卫四科技将在接下来的篇幅中重点介绍汽车企业安全运营中心的实践指导。我们希望通过与业界和社区持续的互动和分享以共同提升汽车网络安全水平。 CallistoTechnology©2023Allrightsreserved.2 为安全出行保驾护航 概念 建立一套洞察威胁的机制,又要保持对车辆网络安全的关注,对当前的汽车企业来说是一项困难的工作。这些工作包含许多并行又互相关联的任务,从业务连续性/可靠性管理到网络安全策略制定执行,再到全面人员能力培养提升。网络安全工作不可能一劳永逸,需要持续地关注系统及外部环境变化,一般的网络安全运营内容包含针对所有攻击的监测、分析、响应和恢复工作,而承载事件检测、分析和响应工作的组织或系统称作安全运营中心(SecurityOperationsCenter)。另一些情况下,SOC也可被用来强调网络安全团队职能。 自20世纪90年代以来,SOC便一直在企业中被广泛使用,同时随着技术的发展及应用领域的扩展,各类组织都拥有某种形式的SOC。IT行业的实践无疑也给汽车网络安全管理带来了指导,VSOC(VehicleSecurityOperationsCenter)并非独立存在的概念,其主要功能与ITSOC之间存在众多可见的相似之处,但也存在众多差异——包括汽车领域知识、百万级数据处理要求、广泛的汽车维护策略等。车企的风险管理者在此时需要重新思考VSOC的实施及部署。从木卫四的全球实践来看,汽车安全运营中心的职责应包括: 前言PART1 概念 差异价值功能 建设误区关键策略 2 •通过利用车辆及网联数据,持续监测、识别和分析已知和新型的安全威胁,跟踪和防御攻击 •通过主动措施(持续分析威胁、漏洞管理、安全策略制定等)预防汽车网络安全事件的发生; •对已确认的汽车安全事件做出响应,并实施高效缓解措施, 优化车辆的安全性能; •向企业或监管部门提供满足国家/区域法规要求的安全报告 (包含安全趋势、车辆状态、事件类型等); •VSOC系统工程及实践:适应快速迭代和不断推出的新车型及车辆持续的OTA。 CallistoTechnology©2023Allrightsreserved.3 为安全出行保驾护航 VSOC差异 目前来看,不少汽车企业当前也拥有ITSOC以确保IT资产的安全,然而遗憾的是,IT团队与汽车团队工作的脱节和业界传承的工作习惯导致当前的ITSOC远不能满足汽车网络安全工作的需要。VSOC与传统的IT安全运营中心存在诸多不同之处: 前言PART1 •VSOC需要更全面的汽车行业知识:不仅需要了解网络安全行业的基础概念,熟悉安全运营以外,VSOC更需要对车辆本身的了解。当车辆核心资产和智能化服务面临威胁时,车辆网络安全工程师应当结合车联网系统、车辆状态进行分析、定位并作出有效响应; •VSOC需要防范多种攻击:面对复杂的供应链、不断变化的电子电气架构、创新的智能化服务、SOA架构的引入等,智能联网汽车的接口类型越来越丰富,VSOC需要应对攻击者可能采用的多种技术手段和攻击路径; •VSOC需要管理大量的车辆资产:合格的VSOC应当具备管理数百万辆车联网资产的能力,对海量车联网资产进行持续实时分析和管理,对技术架构挑战巨大; •VSOC需要保证系统可靠性/功能安全的影响:与IT系统不同的是,车辆系统的业务连续性及可靠性要求更高,如部署的安全 Agent/Sensor复杂性过高,会影响到业务连续性或车辆可靠性,甚至对企业声誉造成较大影响; •VSOC需要提高可见性和上下文:当异常事件发生时,通常情况下需要确认车辆上下文状态信息以分类事件并对攻击行为追踪和溯源,否则大量的误报会大大提升车辆网络安全工程师的工作负担; 概念 差异价值功能 建设误区关键策略 2 CallistoTechnology©2023Allrightsreserved.4 2 为安全出行保驾护航 VSOC差异 •VSOC需要调度更多的职能部门:汽车生产制造设计到的分工部门众多,汽车行业供应链较长,一系列任务及工单可能会涉及多部门人员及角色; •VSOC需要更有针对性的威胁情报:聚焦于汽车行业的威胁情报一方面可以提供更有针对性的车辆攻击手段、不良影响及缓解措施等信息,另一方面使VSOC能够牢牢掌握与攻击相关的漏洞,并先发制人地减轻破坏性攻击; •VSOC需要灵活可扩展:为了应对技术架构的演进,新功能的快速上线,日益严格的监管要求,VSOC在技术架构上都应当具备充分的弹性,以确保在未来数年的时间内快速迁移、拓展和开发; •VSOC需要更智能:海量汽车的异常警报、不同类型的剧本流程、VSOC在部署时应充分考虑对大数据及人工智能的应用以降低车辆网络安全人员的工作压力,确保VSOC的先进性; 前言PART1 概念 差异价值功能 建设误区关键策略 VSOC需要更加专业的技术人员和特定的安全工具,以满足汽车行业的特殊需求,例如对车联网协议、汽车电子系统和车载通信网络的了解。此外,VSOC还需要支持汽车行业的严格法规和标准,以确保汽车网络的安全性和可靠性。 CallistoTechnology©2023Allrightsreserved.5 为安全出行保驾护航 VSOC价值 合规价值:当前情况下,一个完善的VSOC能够满足联合国世界车辆法规协调论坛(WP.29)R155法规的要求。中国也将出台相关的强制标准和法规。VSOC可以满足中国法规的入标准、CSMS和VTA认证的要求,包括持续监控、新型攻击检测、缓解措施和合规报告等。 管理价值:通过使用VSOC,车企的风险管理者可以全局审查、评价和管理网络安全工作,联合整理工作流程、团队及工具。通过不断优化的监测和响应流程,充分保障车主用车安全,提升产品安全性能。VSOC也可以整合和提升网络安全能力,帮助团队全面管理安全,避免出现合规问题、安全工作不可见等问题,落地安全技术,提升安全运营能力。 技术价值:通过使用VSOC,车企网络安全工程师可以减轻工作压力,并提高KPI。VSOC通过持续监测、分析和响应,形成网络安全事件管理闭环,全面掌握车辆安全状态。VSOC可以使车辆网络安全工程师主动管理攻击和威胁,支持安全工程师实现工作目标。 上述工作也可通过虚拟团队或线下流程实现,但面对日益增加的车辆资产和智能化服务,人力工作的繁琐可能对安全管理造成负面影响。我们相信,随着车辆网络安全工作的提升,VSOC团队和工具将成为车企的必备选择。 前言PART1 概念 差异价值功能 建设误区关键策略 2 CallistoTechnology©2023Allrightsreserved.6 为安全出行保驾护航 VSOC关键功能 2 VSOC需要通过一系列的功能满足对智能网联汽车核心资产和智能化服务的监测和防御要求。尽管部分标准只关注车辆或者某个ECU本身的安全,但是从各类攻击报告和事件的统计来看,我们倾向于将汽车智能化服务及核心资产纳入到考量范畴,因为攻击者通常不会遵循某一特定向量对汽车发起攻击。尽管当前少有企业能建设满足以下全部功能的VSOC,我们仍建议企业在实际建设过程中从自身规模、团队成熟度等因素出发,做出更为谨慎的选择: 安全事件分类、分析及响应 实时告警及分类 对车辆停泊及行驶状态中产生的异常告警进行潜在安全事件分类和快速分析。 安全事件分析及调研 对汽车核心资产进行组件级安全分析,同时关联智能化服务的数据流信息。充分描述并确定安全事件的细节(背景、影响范围及程度)。 缓解措施 联动安全机制,对车辆发生的安全攻击及时遏制,可对攻击活动进行快速隔离、阻断,以减少影响、控制损失并防止扩散。 安全协作 通过集成协作工具对安全事件收集、分发和通知,指挥、协调和报告车企的不同人员、部门、供应链及主管单位。 取证分析 检查被攻击车辆的零部件、车况、数字钥匙、车辆后门、应用系统、安全日志等,归纳总结攻击行为的时间线、动作及结论。 安全事件远程响应 充分考虑在移动办公、异地协作等情况下的远程响应需要。考虑到开发部门、安全团队、供应商及用户车辆往往分布于全球各地,需要及时远程响应各种情况下的汽车安全事件。 安全事件报告接收 无缝接收和处理来自IT系统、车辆系统、安全团队、SRC以及第三方的潜在的安全事件报告。 CallistoTechnology©2023Allrightsreserved. 前言PART1 概念 差异价值功能 建设误区关键策略 7 2 为安全出行保驾护航 VSOC关键功能 威胁的高级分析 汽车威胁情报构建 采集尽可能丰富、有针对性的汽车行业相关网络威胁情报服务/信息,处理威胁情报信息并将其整合入VSOC之中,解析并过滤相关信息以供VSOC及团队进一步使用。 威胁报告分析提交 对汽车领域攻击者画像,跟踪攻击趋势以支持非法改装、欺诈、恶意破解及非法控车等情形下的风险决策,做到知彼。导出威胁报告,描述攻击者类型、战术和活动及对供应链和车企的影响。 威胁情报信息共享 与VSOC以外的各方(监管机构、供应链、开发测试团队、合作伙伴等)共享威胁情报和事件报告。 威胁诱捕 在网联汽车的真实环境中,利用蜜罐及数字孪生技术,对新型攻击提前发现及分析,以提升和完善VSOC对新型攻击的识别。 威胁检测定制化 面对不同车型核心资产和智能化服务,依据各类攻击场景及威胁报告建模。在充分了解车辆系统的风险之后,更精确地配置、使用和自定义检测规则及引擎。 大数据和人工智能 通过先进技术处理和分析车辆异常行为,进一步分析从而发现新型