引言
隨著科技和時代的飛速發(fā)展,汽車已經(jīng)遠遠超越了傳統(tǒng)的交通工具定義。現(xiàn)代汽車不僅僅是運輸工具,而是集成了各種先進技術(shù)和元器件的復雜系統(tǒng),進化成了一臺功能豐富的移動終端。聯(lián)網(wǎng)功能的增加及車載網(wǎng)絡(luò)的復雜性,使得現(xiàn)代汽車的信息安全風險持續(xù)增加。
隨著科技和時代的飛速發(fā)展,汽車已經(jīng)遠遠超越了傳統(tǒng)的交通工具定義。現(xiàn)代汽車不僅僅是運輸工具,而是集成了各種先進技術(shù)和元器件的復雜系統(tǒng),進化成了一臺功能豐富的移動終端。聯(lián)網(wǎng)功能的增加及車載網(wǎng)絡(luò)的復雜性,使得現(xiàn)代汽車的信息安全風險持續(xù)增加。
在此背景下,持續(xù)的網(wǎng)絡(luò)安全檢測和監(jiān)控成為至關(guān)重要的議題。一輛車的網(wǎng)絡(luò)安全漏洞可能會影響到駕駛員的生命安全,也可能影響到與之連接的其他設(shè)備和系統(tǒng)。這已經(jīng)不僅僅是技術(shù)問題,更是一個涉及公眾安全和信任的社會問題。
為了應對這些挑戰(zhàn),各國政府和國際組織已經(jīng)開始采取行動,制定了一系列的法律、法規(guī)和標準來確保車輛網(wǎng)絡(luò)的安全。例如,UNECE R155旨在確保新型車輛的網(wǎng)絡(luò)安全,我國也密集發(fā)布了一系列關(guān)于汽車網(wǎng)絡(luò)安全的標準和指南。這些法規(guī)標準的出臺,標志著全球?qū)囕d網(wǎng)絡(luò)安全問題的關(guān)注和重視達到了前所未有的高度。
更多的智能和自動化技術(shù)被融入到汽車中,保護車載網(wǎng)絡(luò)安全已經(jīng)不再是一個可選項,而是必要的責任。隨著技術(shù)的發(fā)展和國際法規(guī)的日益嚴格,企業(yè)必須確保其汽車產(chǎn)品的智能化進程不僅是合規(guī)的,而且是安全的。持續(xù)性監(jiān)測正在成為汽車制造商和車輛運營企業(yè)汽車網(wǎng)絡(luò)安全實踐中的關(guān)鍵錨點。
什么是汽車網(wǎng)絡(luò)安全持續(xù)性檢測
持續(xù)性監(jiān)測是一個全方位、不間斷的過程,旨在確保車輛在其整個生命周期中的網(wǎng)絡(luò)安全。與傳統(tǒng)的周期性檢查不同、這種連續(xù)的監(jiān)控機制不僅能夠檢測到已知的威脅,更能在新的、先前未知的威脅出現(xiàn)時迅速作出反應。這是因為隨著汽車技術(shù)的迅猛發(fā)展,攻擊手段和策略也在不斷演變,僅僅依靠周期性檢查已經(jīng)無法滿足現(xiàn)今的安全需求。
持續(xù)性監(jiān)測提供了對實時數(shù)據(jù)的深入洞察,幫助汽車制造商及時識別和應對潛在威脅,以滿足國際國內(nèi)法規(guī)的嚴格要求。
對汽車網(wǎng)絡(luò)安全持續(xù)性檢測可以提高對網(wǎng)絡(luò)安全突發(fā)事件的響應能力,建立健全網(wǎng)絡(luò)安全應急響應管理,有效預防并減輕網(wǎng)絡(luò)安全突發(fā)事件帶來的危害和影響,保障業(yè)務系統(tǒng)安全穩(wěn)定和有序高效的運行,通過制定信息安全事件應急響應管理規(guī)范,使相關(guān)人員理解網(wǎng)絡(luò)安全應急響應的目標,熟悉應急響應的操作程序。
持續(xù)性監(jiān)測需要做什么
01 持續(xù)性檢測流程
02 分工明確
為保證網(wǎng)絡(luò)安全事件高效響應,各相關(guān)組織需要明確角色與職責:
網(wǎng)絡(luò)安全委員會:作為決策核心,它不僅批準和更新應急預案,還對外部供應商和技術(shù)團隊等進行協(xié)調(diào)。
網(wǎng)絡(luò)安全小組:這是前線的實施團隊,負責識別事件、制定預案、監(jiān)督處置進度并向委員會報告。
應急響應組:針對特定事件,此組由小組成員組建,快速響應并處理事件。
供應商:供應商角色不僅僅是提供產(chǎn)品,他們還需要在網(wǎng)絡(luò)安全事件中提供必要的技術(shù)支持。
03 網(wǎng)絡(luò)安全信息收集
為了及時發(fā)現(xiàn)潛在的威脅,網(wǎng)絡(luò)安全委員會持續(xù)從多種渠道收集網(wǎng)絡(luò)安全相關(guān)信息,包括行業(yè)研討、安全社區(qū)、CVE漏洞庫、系統(tǒng)數(shù)據(jù)等。
04 事件確認
每一條信息都可能指示潛在的網(wǎng)絡(luò)安全事件。通過有效性及真實性驗證,可以確保資源不被浪費在誤報上,并及時應對真實威脅。
05 事件定級及響應時限
不同的事件有不同的嚴重性。網(wǎng)絡(luò)安全小組需要迅速評估,以確定響應的優(yōu)先級和資源分配方式。
06 事件通報
為了確保所有利益相關(guān)者都了解情況,需要根據(jù)事件級別進行內(nèi)外部通知,確保協(xié)同和透明度。
07 事件處置
應急響應處置方案:這是對抗網(wǎng)絡(luò)安全事件的具體行動計劃,明確了響應的優(yōu)先級、溝通策略和職責分配。
響應跟蹤與驗證:僅制定措施是不夠的,必須確保這些措施實際上有效。
08 響應標準
為了保證一致性,針對不同的事件級別制定明確的響應時限標準。
為了保證一致性,針對不同的事件級別制定明確的響應時限標準。
09 處置結(jié)果回報與結(jié)束
完成事件處置后,需要全面總結(jié)并報告,不僅確保問題得到解決,還要為未來的事件提供經(jīng)驗。
10 必須符合中國基礎(chǔ)設(shè)施的標準
事件持續(xù)監(jiān)控:響應結(jié)束并不意味著事件結(jié)束,持續(xù)監(jiān)控確保沒有遺漏。
應急響應持續(xù)改進:每一個事件都是一個學習機會,需要不斷地更新和完善應急預案。
云馳未來汽車網(wǎng)絡(luò)安全持續(xù)性監(jiān)測最佳落地實踐
云馳未來 IDPS/VSOC 產(chǎn)品在設(shè)計開發(fā)過程中對法規(guī)標準進行了充分的解讀,按照持續(xù)性監(jiān)測的流程構(gòu)建了全面的功能體系,合理利用多種工具幫助汽車制造商建立車型資產(chǎn)管理能力、車載網(wǎng)絡(luò)及系統(tǒng)監(jiān)測能力、漏洞管理能力、安全事件分析能力以及安全事件響應處置能力等。
建立車型孿生模型,資產(chǎn)管理無死角
云馳未來IDPS/VSOC產(chǎn)品在設(shè)計開發(fā)過程中對法規(guī)標準進行了充分的解讀,按照持續(xù)性監(jiān)測的流程構(gòu)建了全面的功能體系,合理利用多種工具幫助汽車制造商建立車型資產(chǎn)管理能力、車載網(wǎng)絡(luò)及系統(tǒng)監(jiān)測能力、漏洞管理能力、安全事件分析能力以及安全事件響應處置能力等。
通過車型孿生模型,我們可以將IDPS收集的安全事件/日志、 TARA 分析結(jié)果、零部件的 SBOM 信息與車型信息進行有效關(guān)聯(lián),實現(xiàn)車輛的安全事件分析、零部件的漏洞追蹤及功能場景的異常行為識別,判斷影響面,對車型及車輛資產(chǎn)形成風險畫像。
持續(xù)性漏洞追蹤,判定漏洞影響范圍
漏洞庫作為持續(xù)監(jiān)測的重要數(shù)據(jù)來源,是持續(xù)監(jiān)測非常重要的響應及處置對象,但是目前行業(yè)比較缺乏汽車領(lǐng)域?qū)S械耐ㄓ寐┒磶欤月┒礄z測依然主要采用 CVE、CNNVD等通用漏洞作為數(shù)據(jù)源。
云馳未來 VSOC 以 SBOM 作為出發(fā)點,通過為零部件的各個版本建立 SBOM 清單,追蹤零部件各個版本的漏洞分布,在監(jiān)測車輛中分析零部件漏洞的影響范圍,以報告形式呈現(xiàn)給安全運營人員進行漏洞處置。
由于主流漏洞庫并非汽車專用漏洞庫,導致漏洞庫中的風險等級不能有效適用于汽車漏洞的評估,所以如何處理這些漏洞是行業(yè)中普遍存在的問題。
云馳未來 VSOC 提供了一套漏洞風險定級機制,方便安全運營人員對漏洞的風險進行重新評估,協(xié)助安全運營人員對發(fā)現(xiàn)的漏洞進行重新定級,重新評估漏洞在當前汽車網(wǎng)絡(luò)環(huán)境中的影響,并對重新定級后的高危漏洞進行處置。
關(guān)注合規(guī),安全分析循序漸進
除了漏洞,UN R155 中反復提到需要對網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)攻擊進行檢測和響應,這也是持續(xù)性監(jiān)測需要重點關(guān)注的方向。在車聯(lián)網(wǎng)環(huán)境中,獲取安全事件的手段和方法十分豐富,但認可度較高的方式依然是采用 IDPS 技術(shù),獲取車載網(wǎng)絡(luò)、車云網(wǎng)絡(luò)及車輛系統(tǒng)中安全相關(guān)的日志和事件,云馳未來 IDPS 可持續(xù)檢測針對車輛的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊行為,并上報 VSOC 統(tǒng)一管理。
云馳未來 VSOC 注重合規(guī)性管理,在安全事件分析中,首先關(guān)注安全事件與法規(guī)的匹配度,進行監(jiān)測資產(chǎn)的違規(guī)性判定。然后根據(jù)安全事件的影響范圍,自動對相同或相似事件進行聚合處理,結(jié)合監(jiān)測資產(chǎn)判定影響范圍,對于影響范圍較大的事件直接上升為告警,提醒安全運營人員關(guān)注。同時,結(jié)合攻擊模型對該事件的上下文進行分析,判斷其是否為一次網(wǎng)絡(luò)攻擊。
打通持續(xù)性監(jiān)測落地“最后一公里”
當面臨潛在威脅時,迅速而恰當?shù)捻憫侵陵P(guān)重要的,這不僅能夠減少潛在的損害,還能確保車輛持續(xù)、穩(wěn)定運行,所以,一套高效靈活的響應與處置系統(tǒng)逐漸成為 VSOC 在落地過程中的主要難點和關(guān)鍵剛需。
雖然市面上 VSOC 普遍借用了 SOAR 的概念來構(gòu)建應急響應模塊,但實際落地過程中,如何對安全事件進行確認、定級、通報,如何與汽車制造商的業(yè)務系統(tǒng)快速對接,實現(xiàn)處置任務在不同部門、角色的流轉(zhuǎn),成為了 VSOC 落地過程中必須打通的“最后一公里”。
云馳未來 VSOC 提供了一系列的工具和流程,幫助汽車制造疏通落地中的各項難點。首先,通過流程引擎,為不同的安全事件建立處置方案及應急預案,通過流程將表單、業(yè)務應用和系統(tǒng)進行串聯(lián),方便安全運營人員高效協(xié)作,快速處置安全事件。
在業(yè)務應用連接方面,云馳未來 VSOC系統(tǒng)提供了圖形化封裝的方案,可以通過 REST 模式,將汽車制造商業(yè)務系統(tǒng)或第三方應用封裝為流程引擎中的Action,作為流程節(jié)點被調(diào)用。通過這種方式,可以實現(xiàn)高效的系統(tǒng)對接,大大降低了VSOC 落地過程中的實施成本。
關(guān)于INCHTEK·云馳未來
云馳未來專注于智能汽車信息安全產(chǎn)品與技術(shù)研發(fā),是國內(nèi)領(lǐng)先的智能汽車信息安全供應商,可為自動駕駛和智能網(wǎng)聯(lián)汽車廠商提供軟硬結(jié)合、車云一體的信息安全產(chǎn)品和全生命周期信息安全解決方案。
公司已服務全國約60%的L4無人駕駛車輛;落地RoboTaxi、RoboBus、RobTrunk、無人駕駛物流車、礦卡、環(huán)衛(wèi)車、觀光車等12種車型、23個省,42個城市、20種應用場景;是百度Apollo、京東物流、圖森未來、阿里達摩院、三一智礦、文遠知行、輕舟智航、希迪智駕、馭勢科技等16家頭部自動駕駛企業(yè)的信息安全合作伙伴;是寶馬、東風、賽力斯、金龍等OEM主機廠信息安全合規(guī)咨詢服務和技術(shù)解決方案供應商。
