她首先提到了車(chē)聯(lián)網(wǎng)數(shù)字資產(chǎn)的安全現(xiàn)狀:一是隨著汽車(chē)智能化網(wǎng)聯(lián)化功能增加,汽車(chē)數(shù)字資產(chǎn)所遭受的安全攻擊越來(lái)越多;二是車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)鏈條長(zhǎng),安全的薄弱環(huán)節(jié)極難排查,汽車(chē)廠商需要進(jìn)行完善的攻擊面管理以此來(lái)判斷供應(yīng)鏈中的安全薄弱環(huán)節(jié),來(lái)追蹤和排查問(wèn)題;三是開(kāi)源代碼廣泛使用,由于缺少開(kāi)源漏洞的信息跟蹤能力,使得漏洞修復(fù)具有滯后性,一旦發(fā)生安全事件,必將極具破壞性;四是近幾年汽車(chē)的組成結(jié)構(gòu)愈加復(fù)雜,汽車(chē)的一些功能組件的信息安全弊端也在逐漸浮現(xiàn)出來(lái)。
汽車(chē)由于包括多種復(fù)雜的軟硬件,導(dǎo)致暴露的攻擊面也是尤其多,Upstream通過(guò)分析2010年-2020年發(fā)生的車(chē)聯(lián)網(wǎng)攻擊時(shí)間,發(fā)現(xiàn)了五種最常見(jiàn)的攻擊面,分別是車(chē)聯(lián)網(wǎng)服務(wù)器、無(wú)鑰匙進(jìn)入系統(tǒng)、移動(dòng)應(yīng)用程序、OBD端口和車(chē)載信息娛樂(lè)系統(tǒng)。
由此引申出車(chē)聯(lián)網(wǎng)背景下,需要保護(hù)的汽車(chē)關(guān)鍵資產(chǎn):
1. 平臺(tái)層。包括TSP平臺(tái)、OTA平臺(tái)以及第三方服務(wù)平臺(tái)等。
2. 通信層。包括用于實(shí)現(xiàn)V2X交互的設(shè)備,以及衛(wèi)星協(xié)議、4G/5G、WIFI、藍(lán)牙等通信。
3. 車(chē)端層。包括車(chē)輛自身的數(shù)字零部件,比如T-Box、IVI、智能座艙、汽車(chē)網(wǎng)關(guān)、車(chē)載計(jì)算平臺(tái)等。
4. 移動(dòng)終端。APP可以下發(fā)控車(chē)指令,也是需要保護(hù)的關(guān)鍵資產(chǎn)。
在分享中,張晶晶還總結(jié)了車(chē)聯(lián)網(wǎng)攻擊面管理的痛點(diǎn),包括:
1. 汽車(chē)零部件資產(chǎn)眾多,對(duì)這些資產(chǎn)的認(rèn)識(shí)不夠,將對(duì)威脅分析帶來(lái)困難。
2. 漏洞驗(yàn)證時(shí)間長(zhǎng),成本高。較為匱乏的網(wǎng)絡(luò)安全人才儲(chǔ)備,在漏洞驗(yàn)證過(guò)程中使成本大幅提高,并且驗(yàn)證周期普遍較長(zhǎng),加大了漏洞帶來(lái)的損失。
3. 大多數(shù)企業(yè)漏洞獲取渠道有限,情報(bào)信息收集不全,無(wú)法從漏洞情報(bào)中得到有價(jià)值的數(shù)據(jù),導(dǎo)致對(duì)安全時(shí)間的后知后覺(jué)。
4. 攻擊事件往往伴隨多個(gè)攻擊向量,涉及到汽車(chē)的多個(gè)部件,不能快速定位到漏洞的影響范圍。
5. 當(dāng)檢測(cè)到重大漏洞時(shí),部分企業(yè)對(duì)漏洞修復(fù)的跟蹤不夠,流程沒(méi)有實(shí)現(xiàn)閉環(huán)。
6. 被爆出的關(guān)于網(wǎng)聯(lián)汽車(chē)的攻擊事件,企業(yè)無(wú)法判斷自己是否存在潛在威脅。
針對(duì)以上現(xiàn)狀和痛點(diǎn),張晶晶提出,分六個(gè)階段對(duì)車(chē)聯(lián)網(wǎng)數(shù)字資產(chǎn)進(jìn)行攻擊面管理:
1. 檢測(cè)。對(duì)數(shù)字資產(chǎn)進(jìn)行合規(guī)性測(cè)試、基于黑盒的漏洞挖掘以及收集漏洞情報(bào)。
2. 分析。將收集的漏洞進(jìn)行分級(jí)分類(lèi),分析其攻擊可行性及安全危害程度,并借助人工智能等手段進(jìn)行建模,預(yù)測(cè)潛在攻擊面。
3. 驗(yàn)證。通過(guò)高效實(shí)用的漏洞驗(yàn)證或利用工具,提高驗(yàn)證效率。
4. 情報(bào)。將單個(gè)的漏洞或攻擊向量輸入情報(bào)系統(tǒng),通過(guò)知識(shí)圖譜威脅模型發(fā)現(xiàn)潛在威脅。
5. 修復(fù)。將情報(bào)信息和修復(fù)方案快速反饋給受影響的供應(yīng)鏈中的服務(wù)提供商,并形成閉環(huán)管理。
6. 感知。構(gòu)建平臺(tái)級(jí)的大數(shù)據(jù)AI分析引擎,以豐富的資產(chǎn)/漏洞數(shù)據(jù)、漏洞情報(bào),達(dá)到全供應(yīng)鏈漏洞感知能力。
在具體實(shí)現(xiàn)上,華云安倡導(dǎo)在企業(yè)部署汽車(chē)攻擊面管理平臺(tái),首先構(gòu)建強(qiáng)大的汽車(chē)漏洞情報(bào)中心,幫助企業(yè)解決漏洞情報(bào)獲取不全的問(wèn)題;通過(guò)部件管理幫助企業(yè)梳理核心資產(chǎn),發(fā)現(xiàn)自身弱點(diǎn),建立覆蓋全車(chē)型的數(shù)字資產(chǎn)信息庫(kù);接著對(duì)汽車(chē)各部件和模塊進(jìn)行合規(guī)性檢測(cè)和定向的漏洞挖掘,檢測(cè)完整的攻擊面;在企業(yè)本地部署的攻擊面管理中心,包括資產(chǎn)庫(kù)和情報(bào)庫(kù),通過(guò)指紋將情報(bào)自動(dòng)匹配到汽車(chē)資產(chǎn),形成資產(chǎn)的告警信息;然后分析告警信息在攻擊路徑中的位置、威脅程度、影響等指標(biāo),評(píng)定告警處置的優(yōu)先級(jí);最后需要建立完整和開(kāi)放式的流轉(zhuǎn)體系,將技術(shù)和流程打通,尤其是跨單位協(xié)同合作,從而完成對(duì)告警的驗(yàn)證和漏洞修復(fù)。
由此,情報(bào)、平臺(tái)、服務(wù)一體化,將情報(bào)的價(jià)值賦能到攻擊面管理的過(guò)程中,充分有效的利用情報(bào)快速響應(yīng),在安全事件發(fā)生時(shí)才能實(shí)現(xiàn)損失最小化,甚至是提前做好防護(hù),比攻擊者更快一步,讓攻擊者無(wú)從下手。
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買(mǎi)賣(mài)依據(jù)。
關(guān)鍵詞:
