7.1 网络安全解决方案正在发展
随着汽车行业向智能移动生态系统转型,网络安全解决方案也在不断发展。解决方案必须是全面的,能够应对各种网络威胁中不断扩大的攻击媒介。车辆安全团队和车辆信息安全运营中心(vSOCs)面临的挑战是如何缓解威胁,这些威胁不仅仅是针对车辆的直接攻击、针对车队、移动应用程序和服务,甚至是电动汽车充电基础设施。
此外,互联SDV(软件定义汽车)正在革新汽车产业,为车主带来更好的体验,为整车制造商带来新的收入来源。问题是黑客正在利用扩展的攻击面漏洞,使OEM的信任、安全和可靠性面临风险。
随着新标准和法规的采用,网络安全将继续成为OEMs、一级和二级供应商以及众多智能移动利益相关者的首要任务。
未来确保网联车辆和移动服务的安全需要一种全面的多层次网络安全方法。
7.2 保护车辆的整个生命周期
UNECE WP.29 R155和ISO/SAE 21434均规定了在车辆全生命周期的开发、生产和生产后阶段考虑终身网络安全威胁和漏洞的要求。2022年是OEMs及其供应商正式规范和标准化的第一年。
一辆典型的乘用车的使用寿命约为12年,而商用车的使用寿命为20年,农用车的使用寿命超过了30年。因此,OEMs必须制定长期战略,以确保使用数十年技术的产品安全。
7.3 防止供应链中的攻击
2022年汽车供应链的微妙平衡发生了戏剧性变化。直到最近,OEMs并不总是要求一级和二级供应商披露其网络安全做法。因此,OEMs面临着将安全漏洞直接从第三方供应商带到其车辆上的风险,加剧了对供应链瓶颈之外的生产中断的担忧。此外,不恰当的安全措施使得假冒部件进入合法工厂,通过降低磨损等级、超越安全限制等威胁着安全。
R155和R156以及ISO/SAE 21434都要求OEMs积极负责确保供应链的安全,并确保供应商正确遵循适当的指南。OEMs必须实施积极主动的做法,以确保部件安全,包括更严格的检查,以确保不必要的部件不会进入其他们的系统。
R155要求OEMs在车辆生命周期的所有阶段实施并维护威胁分析和风险评估(TARA)。他们还必须与一级和二级供应商一起创建流程,以应对和减轻未来的攻击。
ISO/SAE 21434可作为如何与供应商一起执行R155要求的指南。
该标准要求OEM解决两个关键要素:
无论OEMs和供应商同意采用何种方法,OEMs都有责任遵守R155和R156,并实施符合ISO/SAE 21434要求的实践。
7.4 设计安全性
R155法规针对车辆网络安全明确规定的四项措施之一是“通过设计”保护车辆,以降低价值链上的风险。
设计安全性包括在开发阶段就考虑组件或软件的安全性。要做到这一点,必须确保所有车辆部件都经过了设计、开发和测试的网络安全漏洞,并且发现的任何风险都得到了减缓。
虽然OEMs最终对其车辆的安全负责,但供应链中的所有供应商也需要采用设计安全措施。
7.5 多层网络安全解决方案
多层网络安全已经成为IT和企业安全的标准。日益复杂的威胁和新的漏洞不断出现,这就要求企业提高安全性,并使用多种数据源来检测威胁并有效应对。企业使用多种安全解决方案,包括端点解决方案、网络安全解决方案、云安全、内部细分技术等。
2019年,Gartner公司通过引入以网络为中心的“安全运营中心(SOC)可见性三位一体”概念,对这一做法进行了标准化。根据Gartner的研究,现代SOC必须依靠三个众所周知的核心安全要素来提高威胁可见性、检测、响应、调查和补救:
将SOC方法应用于车辆(vSOC)可在OEMs、一级供应商、远程通信服务提供商(TSP)和生态系统中的其他利益相关者之间创建更安全的分层,从而最大限度地减少威胁并防止攻击。
除了保护OEMs服务器和IT后端基础设施免受网络攻击的IT网络安全之外,vSOC还增加了新的保护层,重点是车辆检测和响应(VDR):
车内安全:
保护内部组件免受短距和远程攻击。
汽车云安全
利用汽车云将检测扩展到广泛的网络威胁(XDR);从车辆、应用程序和其他连接服务的全车队安全角度识别多车辆攻击。
API安全
vSOC功能的这一新添加是vSOC和IT SOC之间的跨职能工作,重点是保护基于API的应用程序和服务和功能。
汽车基础设施的每一层都存在独特的网络安全挑战。这些挑战可以通过多层方法解决,包括车辆检测和响应(VDR)和专门构建的vSOC。
7.6 开发有效的VSOC
在许多大型企业中,SOC通常用于监控IT系统。OEMs还依赖SOC来监控其基础设施和资产。但与IT基础设施不同的是,车辆始终处于运行状态,不受OEMs的直接控制(与组织直接拥有和管理的IT资产不同),并且每分钟与新输入进行数千次交互。
随着针对OT和IoT物联网的网络攻击数量和复杂性的增加,OEMs必须开发集成的vSOC,也称为“移动SOC”或“汽车SOC”,以在后期生产阶段保护其车辆、基础设施和客户。
有效的vSOC对于联网车辆和智能移动生态系统的安全至关重要。它允许OEMs实时监控其整个基础设施和车辆,并快速响应检测到的威胁。
如果实施得当,有效的vSOC:
- 具有清晰的框架,详细说明了功能、组件和操作模型
- 具有清晰的战略和范围,包括愿景、任务和章程
- 概述治理和指导政策、标准、程序和流程
- 构建和实施端到端行动手册,以构建和自动化响应活动
- 利用紫色团队、威胁模型和情报,在威胁出现之前预测威胁
- 从各种与汽车相关的提要中获取数据,并在这些提要之间进行关联
- 检测威胁以及使用汽车专用分析方法分析实时异常
- 分类和调查警报
- 执行主动的威胁搜索和交易分析
- 7*24全天候运行
vSOC可以通过三种方式构建:
1. 整合:现有企业SOCs可以扩展到包括移动性,这将涉及添加特定平台以及改变操作程序。
2. 创建:那些刚刚开始vSOC之旅的人可以创造新的专用vSOC,这项服务也可以提供给其他OEMs,作为创新和破坏的另一种手段。
3. 外包:vSOC可以外包给具有IT和汽车相关安全功能的托管安全服务提供商(MSSP)。
2022年期间,许多OEMs已将重点转向vSOC的实施,这是基于对vSOC对于有效缓解和响应至关重要的理解。
7.7 下一代vSOCs
许多OEMs仍在努力巩固vSOC并在内部进行定位——定义其范围,决定其在组织结构中的位置,并评估采购模型(例如内部、混合或管理的vSOC)和运营模型(例如一个全球vSOC、多个地理位置等)。
鉴于建立符合R155的vSOCs的紧迫性,vSOCs有几个实施方案选择:
1.大多数是独立的vSOC
2.严格关注生产后网联的车辆和由法规要求和合规性驱动
3.IT组织的一部分,向CISO报告;有时是售后服务或全球运营的一部分
4.有时还关注IT方面的网联汽车基础设施-汽车云
尽管如此,一些OEMs有了更先进的vSOC。随着基本vSOC流程和技术的成熟,以及不断扩大的攻击面,两种新型vSOC正在出现:
1. VSOC融合 融合vSOC是更广泛网联车辆操作中心的一部分,包括跨功能方法,将基本vSOC功能与OTA健康监测、DTC监测、网络等结合起来。融合vSOC需要与IT SOC密切合作,以保护整个智能移动生态系统中的数据驱动服务和应用程序,这对于检测和有效缓解复杂攻击媒介至关重要。
2. IT-OT vSOC 一个以网络为中心的IT-OT vSOC,它将IT SOC和vSOC结合为一个单一实体,管理一个广泛的安全运营中心,涵盖从设计到制造(例如,车辆生产的OT监控)和运营的整个车辆生命周期的安全要素。
如今,运营网联车辆的数据主要由负责运行vSOC的OEMs拥有和管理。
展望未来,我们看到更多利益相关者获取联网车辆数据的需求发生了巨大变化。
智能移动利益相关者(如车队所有者和运营商、移动服务提供商、州政府、地方市政当局等)可能需要建立自己的独立vSOC,其业务目标与OEMs运营的完全不同。
7.8 特定于汽车的威胁情报使您领先一步
多层次的方法还必须包括主动性元素,以增强威胁检测能力,如监测网络威胁情报。
OEMs能够减少其产品中的漏洞,同时保持合规性,方法是使用行业特定的威胁,该威胁源会根据表面、深层和暗网事件不断更新的威胁。
随着联网车辆生态系统变得更加复杂,汽车专用威胁情报产品变得越来越重要。网络漏洞和攻击影响整个供应链,破坏了信任和安全,并要求所有利益相关者积极主动地分析风险、监控和有效应对网络攻击。
对OEMs的好处
及早检测针对OEMs资产的网络威胁
符合汽车标准和法规的深入威胁情报
在威胁,漏洞和黑客攻击时管理好风险威胁
通过及早发现违反保修和政策的行为来避免未来的保修问题
提高对网络威胁的认识,从而与客户建立信任
监控和管理对汽车供应链的直接威胁
评估当前威胁态势并将其作为基准与同行或竞争对手进行比较
对一级和二级供应商的好处
通过更深入的组件威胁监控获得OEMs信任
通过及早发现保修和政策的违反,来降低未来的保修成本
通过监控流行的组件黑客论坛和聊天来识别和补救组件漏洞
通过监控威胁源中的漏洞并减轻其影响,遵守监管要求
对CISO的好处
监控泄漏的组织数据,并检测PII可能暴露组织的潜在违规行为
制定步骤来改善IT和OT安全,并在云服务和公司网络中实施正确的网络安全措施
监控和分析对其他组织的攻击,以开发针对类似威胁的防御方法来保护他们自己的资产和应用程序
更好地了解网络威胁形势,以便对网络进行有效评估风险、优先行动和更有效地分配更多资源
发现活跃在暗网上的参与者进入公司网络
发现对组织的内部威胁
监控泄露的知识财产,如产品的物料清单
对vSOC分析师的好处
监控论坛帖子交流,尽可能早检测出新的威胁
确定新的欺诈手法(MO)、趋势和威胁行为者
识别和监控常见的盗版功能和非法修改
检测、警告并提供有关涉及私人汽车客户信息的数据泄露的下一步措施
发现可能扰乱组织的网络,资源和商业的新威胁
随时掌握地下市场上出售的新漏洞
监控车辆相关软件安全问题进行必要的OTA更新
通过禁用泄露账户和或通知其他所有者来阻断未来网联汽车的网络攻击
跟踪与汽车相关的零日漏洞和利用工具包
对保险生态系统的益处
使精算师能够有效地衡量风险和通过确定汽车违规的主要原因、地点和方法来评估政策成本
检测流行的保险欺诈方法,如操纵连网的车辆行车记录仪
识别并防止违反保修和/或保险单的行为,如里程表操纵
了解当地市场和资产子集的地理风险区域
对智能移动应用程序和服务的好处
识别与身份盗窃相关的欺诈
检测出带有欺诈性共享汽车,叫车服务的使用者和司机账户
发现恶意供应商出售共享汽车/叫车服务或者租用用户数据
监控黑客论坛中窃取或操纵共享移动资产的方法
随着各公司不断推进其车辆的互联互通,远程信息处理和其他数据正成为黑帽黑客越来越有价值的目标。
只有特定于汽车的威胁情报产品才能理解车辆的环境,以快速识别异常情况并消除可能会使网络安全团队脱敏的错误警报。
产品网络安全主管和CISO必须采用符合其组织需求的独特方法来应对日益增长的汽车黑客威胁。
7.9 UPSTREAM汽车网络安全的云方法
Upstream提供专门为联网车辆构建的基于云的网络安全和数据管理平台,提供无与伦比的汽车网络安全检测和响应以及数据驱动应用程序。
Upstream的无代理解决方案能够保护已上路的联网车辆以及快速上市的新车。它还提供了一种整体方法,可以分析整个车队,以检测复杂的车队范围异常。
Upstream平台释放了车辆数据的价值,通过将高度分散的车辆数据转换为集中、结构化、情境化的数据湖,使客户能够构建联网的车辆应用程序。与首个汽车网络安全威胁情报解决方案AutoThreat?PRO相结合,Upstream提供业界领先的网络威胁保护和可操作的见解,无缝集成到客户的环境和vSOC中。
随着攻击面的扩大和对手开发复杂的方法来控制连接的车辆,上游平台和AutoThreat?PRO的强大结合已成为确保汽车行业安全的关键。
AutoThreat?团队收集和分析的数据持续用于现场发现的漏洞和缺陷创建检测器和解决方案。这将Upstream置于未知的未来威胁面前,而这种威胁并不知道。
7.10 UPSTEAM 平台
UPSTREAM平台监控全球数百万辆汽车。
早在2017年,Upstream就推出了第一个基于云的网络安全和数据管理平台,该平台专门为联网车辆和智能移动打造,从而实现了联网车辆安全方法的根本性创新转变。
Upstream平台已显著发展成为一个强大的网络安全检测和响应平台,包含数百个检测器,用于处理网络安全和移动相关用例,供不同的智能移动生态系统参与者使用。
如今,Upstream平台监控全球数百万辆汽车,为世界上一些最大的OEMs提供检测和响应工作以及vSOCs支持。此外,该平台每月监测数十亿笔API交易,并将其范围扩大到包括电动汽车充电基础设施,这两个基础设施都是汽车的数字化转型核心。
Upstream提供了一种随时可部署的解决方案,可检测整个智能移动生态系统中的网络安全威胁,包括:
1.网联汽车
2.OTA 升级
3.电动汽车充电基础设施
4.智能移动API
5.配套移动应用程序
6.远程通信应用
Upstream处理大量数据流并开发高级数据分析和ML应用程序的能力鼓励OEMs将其对Upstream的使用扩展到网络安全之外,包括欺诈检测、预测分析、软件更新健康监测、车辆数据可观察性和其他数据管理用例。
因此,Upstream平台最近得到了扩展,提供了更广泛的用例:
网络安全:监控和检测网络安全相关事件、风险和漏洞。
API 安全:监控和保护基于智能移动API的应用程序和服务。
欺诈检测:识别欺诈相关场景,包括里程表回滚,车辆盗窃等。
数据可观测性:监控数据的健康、新鲜度和质量,并检测各种类型的数据质量问题,例如无效的GPS、TCU编号等。
车队管理:检测各种车队健康和运营问题,例如预测性维护、车辆健康监测等。
7.11 UPSTREAM管理vSOC
通过使用Upstream平台,Upstream还提供了一个随时可部署的托管vSOC服务,该服务提供了深度和高级的检测、调查和缓解能力,从单个ECU到单个车辆和车队范围的视角。有了这种整体观点,OEM可以减轻针对车辆、应用程序、服务、充电基础设施和整个车队的已知和未知网络安全威胁。
Upstream的托管vSOC服务利用了Upstream强大的技术堆栈和AutoThreat?PRO,以提供最大可能的影响。配备拥有监控全球数百万辆汽车的丰富经验经过验证的方法,Upstream的分析师通过最小的上升时间提供方案。Upstream的托管 vSOC无缝集成利用OEM的现有流程和工作流程,提供定制手册。此外,该服务与许多MSSP合作伙伴密切合作以保护全球各地的车辆。
一支经验丰富的分析师和研究人员团队,在网络安全、欺诈和运营方面拥有深厚的专业知识,为汽车生态系统提供了独特的视角,从而形成了一个多功能的vSOC。
配备Upstream,OEMs可以从全面运营的vSOC服务中受益,该服务应用了久经考验的威胁检测和响应方法,并能够在不同地区扩大覆盖范围并根据需要进行扩展。
为了确保最佳的灵活性和消除锁定,OEM可以利用一个强大且经验证的建造-运营-转让(BOT)模型。Upstream的vSOC服务培训OEM团队实施模型、方法和行动手册,以确保在需要时顺利移交。
该服务由以色列和美国的安全高级设施提供,并使用分区的基于角色的访问控制(RBAC)数据访问权限。该服务完全符合法规政策,包括欧洲GDPR充分性要求,可轻松远程审计。
2022年期间,Upstream通过扩展以下几个关键领域的vSOC可见性,增强了检测能力,并作为SDV的一部分,将大量车载数据流直接集成到上游平台提供类似端点管理的功能。
在响应方面,Upstream一直专注于扩展能力通过构建端到端响应流程和文档,例如支持“Fusion vSOC”。2022年,Upstream的vSOC扩展了其跨职能部门通过进行持续的桌面练习来应对新出现的攻击载体和威胁,测试现有流程,扩展响应方法和行动手册,并深化与广泛的组织团队合作。
7.12 扩展检测和响应以适应智能移动生态系统
智能移动API安全
随着基于API的网络攻击和漏洞激增,智能移动利益相关者现在面临着每月监控数十亿API交易的挑战。API是增长最快的攻击媒介之一,从2021到2022年,增长了380%。Upstream的智能移动API安全解决方案与API事务和强大的数字孪生Upstream平台,它提供了一个上下文和全面的视图显示所有受影响的资产-从消费者应用程序到单个车辆向整个车队报告。
Upstream建立性能基准,并通过分析和分析API在车辆状态和消费者行为背景下的行为,准确检测超出交易量和参数的威胁。
借助Upstream,vSOC分析师可以近乎实时地检测API安全威胁,找到有效缓解所需的信息,并触发工作流以响应警报。
集成车内安全数据流
Upstream提供预构建的数据接收和警报,用于检测由入侵检测和预防系统(IDPS)触发的车内安全事件。Upstream的警报旨在减少许多车载网络安全解决方案。Upstream将IDPS数据流与其他连接的车辆数据源相结合,为vSOC分析师提供额外的上下文,使他们能够快速解决问题。
车载数据源集成包括:入侵检测系统管理器(IDSM)、各种安全记录器和支持中央网关和远程通信控制单元(TCU)的IDPS数据源。
内置威胁搜索
vSOC团队与Upstream的AutoThreat?PRO密切合作,可以利用威胁搜索来探索历史关联的车辆数据和用例,帮助分析师识别异常模式和潜在的恶意活动。
7.13 UPSTREAMAUTOTHREAT? PRO 网络威胁智能
Upstream的AutoThreat?PRO是第一款也是唯一一款网络威胁智能(CTI)产品,专为汽车和智能移动生态系统打造。它提供定制的CTI、深网和暗网研究,以及分析客户专用资产(SBOM)、汽车威胁行为者和特定的汽车网络问题。Upstream的CTI是为识别汽车威胁生态系统中的漏洞、漏洞利用、欺诈和假冒而量身定制的。
Upstream对汽车网络威胁智能的独特视角专注于揭开汽车产品安全谜题中缺失的未知部分。通过分析产品和组件从单个ECU和一个完整的车辆模型、OEM、Tier-1s和Tier-2s可以增强漏洞管理、威胁意识和产品智能,并确保法规符合性。
Upstream的AutoThreat?团队包括具有深厚汽车专业知识和产品网络安全知识的网络安全研究人员和分析师。该服务包括定期和紧急的CTI深网和暗网研究报告和定制查询。AutoThreat?PRO还提供了一个易于使用的在线平台,以及访问清晰的网络事件门户、通过Upstream的自动CVE供给进行的漏洞管理,以及专用的汽车威胁行为者库。
Copyright © 2005-2021 网信安全世界版权所有