Hi同路人,这里是青骥信息安全公益小组,上一篇与您分享了与OEM相关的第三方合作与管理最佳实践,解释了核心关键词“组织合作关系到底是什么?”,文中主要以汽车从业者的视角出发重点展开解释了如何处理与第三方的协作问题。本篇将着重与您分享对于信息安全从业人员相关的核心安全技术要素:安全威胁检测监控与分析相关内容。再次感谢大家的反馈,也希望大家多提宝贵建议,本期统筹编译为公益翻译团荣誉创始成员 @陈彬 同学,校稿为主编 杨文昌@Vincent Yang,为他们的无私奉献点赞。
-- 主理人:李强 @Keellee
本篇概述
欢迎大家来到本系列的第三篇推文,此前我们讨论了以事件为中心的应急响应,也组织关系为核心的与第三方合作管理,按照BP系列排序理应介绍《治理》,但考虑对信息安全技术有所偏爱的读者,于是我们提前安排了《汽车信息安全威胁检测、监控与分析》的译文,至少从BP名称来说显得技术点。
本部分内容主要是以威胁为关键词,围绕如何应对网联汽车生态系统所面临的威胁展开相应方法论的介绍。以个人的理解,威胁情报收集,威胁检测,以及相应的监控与分析,属于应急响应日常工作的一部分,或者说时事件发生之前重要的信息来源。该文档并没有做过多的铺垫介绍背景,整体行文和思路也比较清晰,下面还是给大家介绍下文本框架内容。
1
研究威胁的第一步就是了解汽车威胁生态系统,有了整个威胁可能分布的全景图,然后才能有针对性的进行分析,需要了解此前关于威胁的研究点,然后再是威胁所处的三个环境,客户环境自然是整车产品售出之后,紧随客户的运行环境和服务,企业环境主要整车生产商企业本身,最后再是第三方环境包括销售商,供应商等。
了解了汽车威胁生态系统环境之后,然后就是定义车辆威胁情报需求。公司要确定情报收集的威胁类型、威胁参与者和攻击向量。从攻击者的角度来考虑。到底哪些信息是攻击者关注的,也就是我们要重点分析保护的部分。通过分析攻击者可能的策略,异常事件的指标,逆向的信息分析可以帮助公司识别威胁,定义车辆威胁情报需求,以便集中监控威胁。
定义了威胁情报的需求,就要确定情报的来源,包括内部团队、漏洞数据库,以及公共和私人的情报来源,比如各种安全论坛会议,信息共享组织,监管机构,国际政府资源,以及行业同行,供应商和合作伙。整体来说分内部和外部,内部主要是通过OEM产品全生命周期过程中的威胁情报收集及经验数据库,外部一般也就是我们昨天提到了第三方机构。
威胁情报收集来了之后,数据信息量很大,不可能一概而论,而是通过事先议定的方法和和优先级进行收集和分析,分析和有限排序的结果通常记录在威胁情报中,那么确定优先级要考虑哪些因素呢?本文列举了很多,比如对车辆生态系统的适用性,攻击的潜在载体,评估对车辆潜在的影响等等因素。
2
威胁检测的过程本身还是威胁情报收集,并做相应的优先级排序,利用威胁情报来检测和处理攻击,并在事件响应过程中完善分析。然后重点介绍了威胁监测和分析的方法。
一般而言,由于车辆网络安全威胁情报监控与传统的企业信息安全有许多共同做法,因此在开发车辆威胁监测技术时,最好使用现有企业流程作为参考指南,当然针对其中差异化的内容,就需要按照人的意识和培训作为补充,按实际情况进行监控方法的调整。
与威胁情报收集同理,我们也需要按照威胁优先级进行威胁情报的监控,目的还是提高监控效率,有效节约资源。一旦确定了威胁的优先级,组织就可以开始监控情报来源,获取有关已定义和已确定优先级的新型威胁信息,那么针对优先级的考虑,本文也给了参考,比如威胁攻击的紧迫性,威胁攻击的严重性,威胁攻击的范围,容易利用资产的威胁等要素。
3
威胁检测,监控所获取的情报信息之后,然后在进行威胁分析,包括威胁事件识别,验证以及威胁确认。关于威胁事件的识别也介绍了相应的技术和方法,在车辆生态系统中,比如监控诊断错误代码,使用入侵/异常检测系统,监控后台/系统操作等,针对车队内识别威胁的技术和方法包括将车队监控系统收集的数据记录到一个集中的存储库中,并按照数据保留计划以可用的格式维护数据。
威胁分析之后,再就是确认分析结果。组织可以用不同的方式验证核实威胁。一些公司可能会定义一个结构化的流程来收集数据点并对其进行分析,以验证车辆生态系统中的任何威胁。检测到安全事件并将其升级后,也最好能跟踪到这些事件的生命周期内后续发展状态,最后就是针对验证后的威胁信息,采取相应应对措施。
威胁检测、监控与分析,最后落实到行动之后,只能解决单次问题,,作为程序需求(如定义、情报收集、威胁监测和威胁分析)的副产品生成的许多信息对组织及其威胁检测和响应程序都很有价值。通过使用历史趋势和结果,可以适当地组织、存储和共享信息,以通知威胁检测和响应程序中的未来决策。
4
以上就是今天要介绍的译稿的核心内容介绍,简单介绍下来,整体感觉BP本身更多的偏向于应对威胁的做事方法和思路,也就是我们常说的要做正确的事,要正确的做事。为我们做相应的工作提供了很好的参考,作为经验之谈,如果希望它能指导具体的实施工作,那就不太现实了,但在汽车信息安全前期,这样的方法思路的探讨对于我们做信息安全工作是非常有用的,尤其是工作初期,切不可因为方法理论有点虚,就忽略了它真正的指导意义。
今天的介绍就到这里,希望能够对你的学习和工作有所帮助,欢迎拍砖,我们一起探讨,共同进步,谢谢!
--主编: 杨文昌@Vincent Yang
下为全文预览
青骥信息安全公益翻译团本期成员
编译:@陈彬
主编:@Vincent Yang
主理人:@Keellee
声明:本文来自汽车信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。