引言
随着科技和时代的飞速发展,汽车已经远远超越了传统的交通工具定义。现代汽车不仅仅是运输工具,而是集成了各种先进技术和元器件的复杂系统,进化成了一台功能丰富的移动终端。联网功能的增加及车载网络的复杂性,使得现代汽车的信息安全风险持续增加。
在此背景下,持续的网络安全检测和监控成为至关重要的议题。一辆车的网络安全漏洞可能会影响到驾驶员的生命安全,也可能影响到与之连接的其他设备和系统。这已经不仅仅是技术问题,更是一个涉及公众安全和信任的社会问题。为了应对这些挑战,各国政府和国际组织已经开始采取行动,制定了一系列的法律、法规和标准来确保车辆网络的安全。例如,UNECE R155旨在确保新型车辆的网络安全,我国也密集发布了一系列关于汽车网络安全的标准和指南。这些法规标准的出台,标志着全球对车载网络安全问题的关注和重视达到了前所未有的高度。当更多的智能和自动化技术被融入到汽车中,保护车载网络安全已经不再是一个可选项,而是必要的责任。随着技术的发展和国际法规的日益严格,企业必须确保其汽车产品的智能化进程不仅是合规的,而且是安全的。持续性监测正在成为汽车制造商和车辆运营企业汽车网络安全实践中的关键锚点。
什么是汽车网络安全持续性检测
持续性监测是一个全方位、不间断的过程,旨在确保车辆在其整个生命周期中的网络安全。与传统的周期性检查不同、这种连续的监控机制不仅能够检测到已知的威胁,更能在新的、先前未知的威胁出现时迅速作出反应。这是因为随着汽车技术的迅猛发展,攻击手段和策略也在不断演变,仅仅依靠周期性检查已经无法满足现今的安全需求。
持续性监测提供了对实时数据的深入洞察,帮助汽车制造商及时识别和应对潜在威胁,以满足国际国内法规的严格要求。
对汽车网络安全持续性检测可以提高对网络安全突发事件的响应能力,建立健全网络安全应急响应管理,有效预防并减轻网络安全突发事件带来的危害和影响,保障业务系统安全稳定和有序高效的运行,通过制定信息安全事件应急响应管理规范,使相关人员理解网络安全应急响应的目标,熟悉应急响应的操作程序。
持续性监测需要做什么
01 持续性检测流程
02 分工明确
为保证网络安全事件高效响应,各相关组织需要明确角色与职责:
网络安全委员会:作为决策核心,它不仅批准和更新应急预案,还对外部供应商和技术团队等进行协调。
网络安全小组:这是前线的实施团队,负责识别事件、制定预案、监督处置进度并向委员会报告。
应急响应组:针对特定事件,此组由小组成员组建,快速响应并处理事件。
供应商:供应商角色不仅仅是提供产品,他们还需要在网络安全事件中提供必要的技术支持。
03 网络安全信息收集
为了及时发现潜在的威胁,网络安全委员会持续从多种渠道收集网络安全相关信息,包括行业研讨、安全社区、CVE漏洞库、系统数据等。
04 事件确认
每一条信息都可能指示潜在的网络安全事件。通过有效性及真实性验证,可以确保资源不被浪费在误报上,并及时应对真实威胁。
05 事件定级及响应时限
不同的事件有不同的严重性。网络安全小组需要迅速评估,以确定响应的优先级和资源分配方式。
06 事件通报
为了确保所有利益相关者都了解情况,需要根据事件级别进行内外部通知,确保协同和透明度。
07 事件处置
应急响应处置方案:这是对抗网络安全事件的具体行动计划,明确了响应的优先级、沟通策略和职责分配。响应跟踪与验证:仅制定措施是不够的,必须确保这些措施实际上有效。
08 响应标准
为了保证一致性,针对不同的事件级别制定明确的响应时限标准。
09 处置结果回报与结束
完成事件处置后,需要全面总结并报告,不仅确保问题得到解决,还要为未来的事件提供经验。
10 必须符合中国基础设施的标准
事件持续监控:响应结束并不意味着事件结束,持续监控确保没有遗漏。
应急响应持续改进:每一个事件都是一个学习机会,需要不断地更新和完善应急预案。
云驰未来汽车网络安全持续性监测最佳落地实践
云驰未来 IDPS/VSOC 产品在设计开发过程中对法规标准进行了充分的解读,按照持续性监测的流程构建了全面的功能体系,合理利用多种工具帮助汽车制造商建立车型资产管理能力、车载网络及系统监测能力、漏洞管理能力、安全事件分析能力以及安全事件响应处置能力等。
建立车型孪生模型,资产管理无死角
云驰未来 IDPS/VSOC 产品在设计开发过程中对法规标准进行了充分的解读,按照持续性监测的流程构建了全面的功能体系,合理利用多种工具帮助汽车制造商建立车型资产管理能力、车载网络及系统监测能力、漏洞管理能力、安全事件分析能力以及安全事件响应处置能力等。
通过车型孪生模型,我们可以将IDPS收集的安全事件/日志、 TARA 分析结果、零部件的 SBOM 信息与车型信息进行有效关联,实现车辆的安全事件分析、零部件的漏洞追踪及功能场景的异常行为识别,判断影响面,对车型及车辆资产形成风险画像。
持续性漏洞追踪,判定漏洞影响范围
漏洞库作为持续监测的重要数据来源,是持续监测非常重要的响应及处置对象,但是目前行业比较缺乏汽车领域专有的通用漏洞库,所以漏洞检测依然主要采用 CVE、CNNVD等通用漏洞作为数据源。
云驰未来 VSOC 以 SBOM 作为出发点,通过为零部件的各个版本建立 SBOM 清单,追踪零部件各个版本的漏洞分布,在监测车辆中分析零部件漏洞的影响范围,以报告形式呈现给安全运营人员进行漏洞处置。
由于主流漏洞库并非汽车专用漏洞库,导致漏洞库中的风险等级不能有效适用于汽车漏洞的评估,所以如何处理这些漏洞是行业中普遍存在的问题。
云驰未来 VSOC 提供了一套漏洞风险定级机制,方便安全运营人员对漏洞的风险进行重新评估,协助安全运营人员对发现的漏洞进行重新定级,重新评估漏洞在当前汽车网络环境中的影响,并对重新定级后的高危漏洞进行处置。
关注合规,安全分析循序渐进
除了漏洞,UN R155 中反复提到需要对网络威胁、网络攻击进行检测和响应,这也是持续性监测需要重点关注的方向。在车联网环境中,获取安全事件的手段和方法十分丰富,但认可度较高的方式依然是采用 IDPS 技术,获取车载网络、车云网络及车辆系统中安全相关的日志和事件,云驰未来 IDPS 可持续检测针对车辆的网络威胁和网络攻击行为,并上报 VSOC 统一管理。
云驰未来 VSOC 注重合规性管理,在安全事件分析中,首先关注安全事件与法规的匹配度,进行监测资产的违规性判定。然后根据安全事件的影响范围,自动对相同或相似事件进行聚合处理,结合监测资产判定影响范围,对于影响范围较大的事件直接上升为告警,提醒安全运营人员关注。同时,结合攻击模型对该事件的上下文进行分析,判断其是否为一次网络攻击。
打通持续性监测落地“最后一公里”
当面临潜在威胁时,迅速而恰当的响应是至关重要的,这不仅能够减少潜在的损害,还能确保车辆持续、稳定运行,所以,一套高效灵活的响应与处置系统逐渐成为 VSOC 在落地过程中的主要难点和关键刚需。
虽然市面上 VSOC 普遍借用了 SOAR 的概念来构建应急响应模块,但实际落地过程中,如何对安全事件进行确认、定级、通报,如何与汽车制造商的业务系统快速对接,实现处置任务在不同部门、角色的流转,成为了 VSOC 落地过程中必须打通的“最后一公里”。
云驰未来 VSOC 提供了一系列的工具和流程,帮助汽车制造疏通落地中的各项难点。首先,通过流程引擎,为不同的安全事件建立处置方案及应急预案,通过流程将表单、业务应用和系统进行串联,方便安全运营人员高效协作,快速处置安全事件。
在业务应用连接方面,云驰未来 VSOC系统提供了图形化封装的方案,可以通过 REST 模式,将汽车制造商业务系统或第三方应用封装为流程引擎中的Action,作为流程节点被调用。通过这种方式,可以实现高效的系统对接,大大降低了VSOC 落地过程中的实施成本。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
