青骥原创 l OEM如何选择适合自己的VSOC模式?
2023-06-08 11:38:29   来源： 我为车狂--青骥 汽车信息安全   评论：0 点击：

文章来源：汽车信息安全

文章作者： 我为车狂--青骥 

原文链接：https://mp.weixin.qq.com/s/JYgpArKRCR6cGs1saXqHEA
 

　　在UN R155车辆网络安全法规的推动下，OEM意识到部署和运营汽车安全运营中心（VSOC）的必要性。然而VSOC的应用还非常不成熟，对寻求先进网络安全水平的OEM来说，对选择采用什么样的运营模式而感到困难。本文建议他们如何做出最佳选择，以实现成功的VSOC运营模式，下面本文的几个关键点：

　　1.根据VSOC的需求和限制确定OEM最佳的VSOC运行模式(混合、内部或分层)，以遵守R155要求。

　　2.制定覆盖公司业务经营地理范围的，能及时采取有效安全应急响应行动的，确保适当的网络安全成熟度水平的VSOC流程、制度和安全技术或工具。

　　3.通过考虑车辆技术路线图和创建持续评估新漏洞的流程，为其VSOC的未来进行规划。

　　UN R155是全球首个针对车辆的网络安全法规，该法规的实施正推动汽车制造商推出VSOC，以更有效地缓解法规中列出的网络威胁。与此同时，UN R155已不仅仅是一项法规，更是车辆网络安全的基准。这一规定，加上联网车辆数量的急剧增长和竞争压力的增加，将使VSOC受到越来越多的关注。

　　业界主流的SOC按照部署和运营模式分为三类，OEM如何为VSOC模式做出正确的选择，以经济高效的方式实现恰当的车辆网络安全要求至关重要。

　　联网车辆的数量正在快速增长，从2022年的3.57亿辆增加到2030年的8.98亿辆，包括乘用车和农业设备等各类车辆。与此同时，从联网汽车到自动驾驶，软件控制功能的数量也在增加。这两个因素结合在一起增加了汽车攻击面，以及相关的网络安全的风险的数量和严重性也在增加。这就要求OEM采用一些必要的安全控制措施:

　　1.Safety-by-design和Security-by-Design硬件

　　2.组建经过专门培训的安全分析师团队来持续监控整个车队的安全状况

　　3.部署威胁检测的平台

　　4.对网络安全事件做到快速反应，及时发现和阻止网络攻击

　　即使UN R155没有特别要求VSOC，在实践中，现代网联车辆在没有VSOC支持的情况下也很难符合规定。VSOC在监测和减轻网络攻击方面发挥着关键作用。因此，联网汽车制造商需要采取重要措施来高效地部署和运行VSOC。

　　一、 构建和运营 VSOC 的挑战

　　随着大量联网车辆的部署，未来OEM可能每天会产生海量的安全事件告警，必须全天候收集和分析这些事件，以检测实际或未决的攻击。我们在上一篇公众号文章《青骥原创 I 汽车网络安全运营专题：VSOC简介》中介绍了VSOC的三要素：人-流程-技术，下图显示了部署SOC这些方面给组织带来的挑战[1]

　　1. 聘用和留住安全专家的挑战

　　由于合格的网络安全专业人员空前短缺，IT 组织面临着历史上最具挑战性的就业市场。许多组织发现难以吸引和留住合格的安全专家，导致其安全运营效率出现差距。SIEM 技术专家的聘用和留用成本特别高。SIEM 顾问可以填补招聘缺口，但他们的时薪很高。

　　2. 威胁可见性挑战

　　随着黑客利用新漏洞并创建新的恶意软件变体，网络攻击不断发生变化。CryptoLocker、CryptoWall 和勒索软件的其他变体就是这方面的主要例子。安全托管服务提供商会第一个看到新的攻击媒介和技术，因为他们的客户群涵盖许多不同行业和地点的组织。与个别企业相比，托管安全服务的用户还可以受益于更多的第三方威胁情报来源以及威胁情报数据与其他可疑行为之间的高级关联分析。总体而言，改进的威胁可见性增加了检测和预防网络漏洞的机会。

　　3. 7×24监控

　　有效的安全性需要全天候监控，以便在目标攻击导致数据丢失和组织品牌受损之前检测并响应它们。配备人员和管理 7×24 SOC 通常超出组织的资源范围。

　　4. 缺乏SIEM用例内容

　　SIEM 系统的潜在有效性由检测攻击指标、入侵受损指标或策略违规的规则和用例驱动。根据组织基础设施的规模和复杂性，功能齐全的 SIEM 可能有数百个用例。SIEM 供应商提供的默认用例通常已过时、无效，并且未映射到 SIEM 用户使用的特定技术和应用程序。

　　构建 SIEM 内容非常耗时，需要深入了解威胁形势以及将安全事件映射到不同攻击向量和漏洞的逻辑。精心调整的规则和内容有助于提高安全分析师调查的效率，确保他们的时间花在最关键的事件上，而不是调查误报。

　　5. SOC分析师更有效的的调查与分析

　　没有 SIEM 可以提供 100% 准确的警报。需要安全专家调查可疑警报以确定威胁的严重程度：

　　在所有需要分析师采取行动的系统警报中，经过调查，大约一半是误报。一半的高优先级可操作警报是安全分析师调查的结果。

　　这些数据点强调了拥有足够的 7×24全天候人员安全专家的重要性。

　　6. 快速响应

　　快速响应安全事件与检测安全威胁并确定其优先级的能力同样重要。关键事件需要高级安全分析师的响应，如果需要，还需要采取补救措施，例如阻止 IP 地址或隔离文件等。有效的事件响应需要安全专家全天候 7×24 可用，即使对于拥有专门 CSIRT 团队的大型组织来说，这也不总是可能的。

　　下一代 SOC 越来越多地自动响应关键安全威胁。例如，在检测到来自针对高价值资产的已知恶意 IP 地址的网络侦察后，自动阻止防火墙上的 IP 地址。暂时将 IP 地址列入黑名单可为 IT 团队提供时间来调查威胁并在必要时进行补救。构建自动响应操作需要经过微调的用例以及集成和测试资源。

　　7.卓越运营

　　众所周知，维护有效的安全操作需要结合人员、流程和技术的使用。管理这些元素并非易事。Target 存储数据泄露就是这一点的例证，据报道，他们在班加罗尔和明尼阿波利斯的 SOC 收到了优先恶意软件警报，但未能对其采取行动。也许他们的安全分析师被其他警报淹没了。也许他们的运行手册本应描述详细的流程和升级程序，但并不清楚或没有更新。拥有完善的支持系统、训练有素的人员以及经过微调的程序和工作流程的服务提供商可以帮助他们的客户实现卓越运营。

　　8. 时间和金钱

　　构建 SOC 和调整 SIEM 需要数月甚至数年的时间，并且需要一长串依赖项，包括招聘、培训和系统集成工作。在安全操作未全速运行期间，服务提供商减少了客户遭受安全漏洞的风险。

　　二、 选择最适合的VSOC运营模式

　　Gartner将SOC定义为三种类型：混合的、内部的和分层的三种模型，OEM需要根据每种SOC模式的特征来确定哪种模型最符合OEM的需求[2]。

　　2.1. 内部型（Internal）VSOC

　　内部VSOC具有7×24集中的威胁检测和响应功能，有专门的团队和健壮的流程。它是组织独立运营并拥有日常安全运营的所有资源。对部分功能可能外包，如独立的技术测试(渗透测试)，逆向工程恶意软件或使用外部威胁情报来源，但关键的VSOC功能和日常操作由组织内部团队负责。

　　内部SOC是昂贵的，通常只有资金充足的组织外，很少有组织能负担得起7×24运营所需的人员数量和大量的安全工具。但其他因素也可能导致组织不得不选择内部VSOC，比如敏感的环境、复杂的使用场景以及严格的安全性监管要求。

　　内部VSOC通常最适合年产量在数十万辆的中型汽车制造商。这些制造商可以负担起至少10到12名全天候工作人员，并拥有大量安全工具license和综合流程和应急事件响应预案库（playbooks）。

　　在以下情况下，这些组织可以考虑选择构建、实现和运行他们自己的VSOC:

　　法律、法规或治理问题阻碍了选择外包服务的组织

　　专业知识和技能不能外包的组织

　　第三方安全服务不支持自身技术栈的组织

　　2.2. 混合（Hybrid）型VSOC

　　这是三种SOC模型中最多样化的。混合VSOC是内部和外部资源的组合，可提供组合的功能以满足组织的安全运营需求。混合模型没有框架，由于其灵活性，也没有“正确”或“错误”的实现方式。下图是混合VSOC模型的示例，该模型将一些功能外包给提供商，同时保留示例组织评估的可以在内部处理的功能。

　　采用这一模式的原因是：技术、专业知识和专业人员短缺;预算限制;组织实施7×24安全操作的过高成本。

　　混合SOC模式可以降低7×24的运营成本。因此，它非常适合与第三方广泛合作的中小型汽车制造商。

　　对于希望有选择性地外包一些安全服务(如威胁情报或威胁搜索行动)的大型组织来说，这也很有吸引力

　　一些VSOC软件包通过使用部署在车辆电子控制单元、网络、操作系统和网关中的入侵检测和防御解决方案代理（IDS/IPS Agent），将数据收集和车载操作的控制提升到一个新的水平。车载代理是一个安装在电子控制单元(ECU)上的软件。代理可以落地的ECU越多，在收集丰富信息方面就越好。但考虑到当今汽车中的电气和电子架构，大多数汽车制造商选择将代理安装在主机ECU上，例如网关上，以便从控制器区域网络(CAN)总线访问信息。代理将收集日志文件发送回云中车辆的数字孪生中。ECU上部署的安全代理对主机入侵检测防御系统(HIDP)的日志进行过滤。

　　当车载软件代理高度确信某个事件是恶意的时，它将在车辆边缘阻止该事件。这种阻止行为的能力意味着可以在车辆代码或参数发生有害更改之前停止更改，同时还可以阻止不良行为者发出的指令——例如，可能通过影响制动或转向来影响安全的指令。

　　车载软件代理还将遇到灰色区域，需要发送到VSOC进行进一步调查。这些代理可以减少需要收集的日志文件量(减少蜂窝数据和存储成本)，还可以通过更新代理来更好地了解应该阻止的事件，从而提高车辆的实时保护。虽然在技术上可以通过空中(OTA)软件更新将代理安装到ECU中，但大多数代理都是在生产过程中安装的。

　　2.3. 分层型（Tiered）VSOC

　　分层VSOC模型在同一组织内具有多个独立运行的VSOC，由顶级(管理)VSOC负责同步和协作，以提供统一的威胁检测和响应。

　　非常大的或分布式汽车制造公司(那些拥有独立运营的区域办事处的公司)可能在其职权范围内拥有多个VSOC

　　国家一级的特定数据法规也可能要求采用分层方法，以避免跨境数据交换。在需要这些VSOC自主运行的地方，它们将作为集中式或分布式VSOC发挥作用。

　　在某些情况下，VSOC将一起工作，但必须按层次结构进行管理。在这种情况下，应该将一个VSOC指定为父VSOC或管理VSOC。选择分层模型的组织必须谨慎选择不同VSOC之间的工具和流程。强烈建议整个组织在同一组工具和通用流程和程序上进行整合，以优化事件响应和更专业的流程。

　　2.4. 规划VSOC的几点建议

　　没有万无一失的网络安全管理系统，因为网络攻击者发现并探索新的漏洞只是时间问题。这意味着汽车制造商必须不断提高VSOC的性能标准，以应对这种可能发生的情况。这也意味着CIO/CISO们必须着眼未来来规划和投资，而不仅仅是考虑遵守法规。例如欧盟的监管机构将定期从汽车制造商那里收集他们所经历的网络攻击及其结果的信息。其目的是不断评估监管的充分性，并在必要时及时提出更严格的措施。

　　1. 考虑汽车技术路线图

　　公司生产的汽车将在互联技术和车载数字功能方面不断发展。这将增加网络安全风险。因此，VSOC功能集成方式、流程、人员和技术等必须走在汽车技术规划的前面，而不是落后于汽车技术。汽车制造商必须保持SOC目标运营模式，以与业务和技术路线图的一致性，以确保VSOC满足当前和未来的需求。

　　2. 创建流程以有效地了解车辆的漏洞情况

　　必须记录所有车辆网络攻击和每次攻击的结果，并分析其根本原因。经常进行渗透测试，特别是在新汽车技术推出时。此外，汽车制造商必须与行业协会接触，以便从更广泛的角度了解汽车网络安全方面的情况，例如Autosec 和汽车信息共享与分析中心(Auto-ISAC)。此外，监督联合国R 155应用的欧盟监管机构将经常重新评估该法规的要求，以确保网络安全测量的充分性。这意味着，即使不在欧盟的汽车制造商也必须遵循这些要求的演变，以保持其VSOC的最新状态。

　　3. 培养和发展员工的专业知识

　　网络安全专家很难找到，你的VSOC只能和运行它的专家一样好。提供充足的职业发展机会、奖励机制和持续学习。这将反映在更高的留存率和表现上。