她首先提到了車聯網數字資產的安全現狀:一是隨著汽車智能化網聯化功能增加,汽車數字資產所遭受的安全攻擊越來越多;二是車聯網產業鏈條長,安全的薄弱環節極難排查,汽車廠商需要進行完善的攻擊面管理以此來判斷供應鏈中的安全薄弱環節,來追蹤和排查問題;三是開源代碼廣泛使用,由于缺少開源漏洞的信息跟蹤能力,使得漏洞修復具有滯后性,一旦發生安全事件,必將極具破壞性;四是近幾年汽車的組成結構愈加復雜,汽車的一些功能組件的信息安全弊端也在逐漸浮現出來。
汽車由于包括多種復雜的軟硬件,導致暴露的攻擊面也是尤其多,Upstream通過分析2010年-2020年發生的車聯網攻擊時間,發現了五種最常見的攻擊面,分別是車聯網服務器、無鑰匙進入系統、移動應用程序、OBD端口和車載信息娛樂系統。
由此引申出車聯網背景下,需要保護的汽車關鍵資產:
1. 平臺層。包括TSP平臺、OTA平臺以及第三方服務平臺等。
2. 通信層。包括用于實現V2X交互的設備,以及衛星協議、4G/5G、WIFI、藍牙等通信。
3. 車端層。包括車輛自身的數字零部件,比如T-Box、IVI、智能座艙、汽車網關、車載計算平臺等。
4. 移動終端。APP可以下發控車指令,也是需要保護的關鍵資產。
在分享中,張晶晶還總結了車聯網攻擊面管理的痛點,包括:
1. 汽車零部件資產眾多,對這些資產的認識不夠,將對威脅分析帶來困難。
2. 漏洞驗證時間長,成本高。較為匱乏的網絡安全人才儲備,在漏洞驗證過程中使成本大幅提高,并且驗證周期普遍較長,加大了漏洞帶來的損失。
3. 大多數企業漏洞獲取渠道有限,情報信息收集不全,無法從漏洞情報中得到有價值的數據,導致對安全時間的后知后覺。
4. 攻擊事件往往伴隨多個攻擊向量,涉及到汽車的多個部件,不能快速定位到漏洞的影響范圍。
5. 當檢測到重大漏洞時,部分企業對漏洞修復的跟蹤不夠,流程沒有實現閉環。
6. 被爆出的關于網聯汽車的攻擊事件,企業無法判斷自己是否存在潛在威脅。
針對以上現狀和痛點,張晶晶提出,分六個階段對車聯網數字資產進行攻擊面管理:
1. 檢測。對數字資產進行合規性測試、基于黑盒的漏洞挖掘以及收集漏洞情報。
2. 分析。將收集的漏洞進行分級分類,分析其攻擊可行性及安全危害程度,并借助人工智能等手段進行建模,預測潛在攻擊面。
3. 驗證。通過高效實用的漏洞驗證或利用工具,提高驗證效率。
4. 情報。將單個的漏洞或攻擊向量輸入情報系統,通過知識圖譜威脅模型發現潛在威脅。
5. 修復。將情報信息和修復方案快速反饋給受影響的供應鏈中的服務提供商,并形成閉環管理。
6. 感知。構建平臺級的大數據AI分析引擎,以豐富的資產/漏洞數據、漏洞情報,達到全供應鏈漏洞感知能力。
在具體實現上,華云安倡導在企業部署汽車攻擊面管理平臺,首先構建強大的汽車漏洞情報中心,幫助企業解決漏洞情報獲取不全的問題;通過部件管理幫助企業梳理核心資產,發現自身弱點,建立覆蓋全車型的數字資產信息庫;接著對汽車各部件和模塊進行合規性檢測和定向的漏洞挖掘,檢測完整的攻擊面;在企業本地部署的攻擊面管理中心,包括資產庫和情報庫,通過指紋將情報自動匹配到汽車資產,形成資產的告警信息;然后分析告警信息在攻擊路徑中的位置、威脅程度、影響等指標,評定告警處置的優先級;最后需要建立完整和開放式的流轉體系,將技術和流程打通,尤其是跨單位協同合作,從而完成對告警的驗證和漏洞修復。
由此,情報、平臺、服務一體化,將情報的價值賦能到攻擊面管理的過程中,充分有效的利用情報快速響應,在安全事件發生時才能實現損失最小化,甚至是提前做好防護,比攻擊者更快一步,讓攻擊者無從下手。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
關鍵詞:
