By Ling Cheng (Senior Product Marketing Manager)
在網路安全的動態領域以及來自法規的壓力越來越大的情況下,我們經常發現汽車產業採用建立基於雲端的車輛安全營運中心(VSOC)的傳統方法。這種方法因其快速安裝和非侵入性的優勢而受到青睞,滿足了快節奏產業的需求。然而,隨著汽車網路安全領域擴展到雲端的範圍之外,包括車載組件和基礎設施,僅依賴當今基於雲端的 VSOC 平台可能不足以確保強大的保護。
和VicOne一起深入研究現實世界的狀況,並且說明為什麼現在是時候重新思考 VSOC 和 VSOC 平台,並探索車聯網真正需要怎樣的網路安全防護。
真實案例:當今的 VSOC 平台無法確保強大的保護
讓我們以2020年一個真實的攻擊實驗案例讓這個說明更為鮮明生動。這個情境是研究人員成功注入了惡意程式碼,使受感染的車載資訊娛樂(IVI)系統自動連接到惡意Wi-Fi 熱點,從而使他們能夠注入惡意CAN 訊息並讓汽車在未經身份驗證的情況下執行診斷。
攻擊過程如下(見圖1):
- 利用藍牙部署惡意程式碼。
- 連接到惡意 Wi-Fi 存取點以安裝後門。
- 透過閃存操作固件。
- 控制 IVI 系統。
- 注入惡意 CAN 訊息。
圖 1. 2020 年攻擊實驗案例中的攻擊鏈
目前市場上既有的 VSOC 平台在檢測步驟 1 至 5 都遇到侷限(見圖 2)。 簡單來說,這些 VSOC 平台都只在車輛出現可疑行為時才發出警報或像是啟動自我診斷。 因此,當目前的VSOC偵測到異常時,對照圖1會發現其實整個攻擊路徑幾乎從步驟1至5都已經走完,攻擊者已進入最後一步,從而限制了相關人員的回應時間。此實驗情境強調了僅依賴基於雲端的 VSOC 平台相關的限制。
圖2. 目前市場上 VSOC 平台的視圖:步驟 1 到 5 都不可見
目前既有 VSOC 平台的侷限性
僅依賴當今的 VSOC 平台感覺就像是開車時存在視覺死角。它們在偵測網路攻擊方面有三個明顯的限制:
- 異常警報噪音太多。今日依賴人工智慧偵測的 VSOC 平台通常會針對所有可疑異常觸發警報,從而導致警報疲勞,讓團隊因延遲且通常不相關的警示通報而不堪重負。從 IT 產業的經驗中汲取見解,發現其中 55% 的 IT和 SOC 團隊承認他們對確定這些警報的優先順序和回應缺乏充分的信心。類似的情況也可能發生在汽車產業。
- 問題回報太晚。現今的 VSOC 平台使用通用日誌收集器,產生缺乏可操作威脅情報的無用安全日誌。這會導致風險補救的延遲,因為缺乏攻擊來源詳細資訊需要靠手動進一步調查。在我們的現實範例中,缺乏步驟 1 到 5 的可見性導致 VSOC 團隊無法主動應對威脅,讓及時預防變得困難。
- 太模糊,難以追蹤。如果威脅向量相對較新,所有這些明顯的威脅活動跡像都不會那麼明顯,並且會被認定為“可疑異常”,直到它被識別為新的威脅向量。現在的 VSOC 平台很難將事件分解為具體的攻擊手法和技術。這會導致對攻擊者的目標與方法的理解不明確,從而使實施必要的補救計劃變得困難。
攻擊路徑展開:從頭到尾,盡在眼前
我們如何應對上述挑戰? 關鍵在於具有上下文的攻擊路徑。 攻擊路徑是惡意行為者(例如駭客)可能使用的一系列步驟或方法,以未經授權的方式獲取對車輛系統、車輛網路或敏感資訊的存取權限。了解和分析攻擊路徑對於 VSOC 團隊識別漏洞和實施有效的安全措施至關重要(見圖 3)。
圖3. 透過情境化攻擊路徑看得更清楚
具有情境化攻擊路徑的下一代 VSOC 平台
VicOne 的 xNexus 下一代 VSOC 平台與我們的車載 VSOC 感測器集成,可在新興威脅向量廣為人知之前主動識別它們,類似於尋找零號病人的概念。車載 VSOC 感測器使下一代 VSOC 平台能夠尋找這些新的威脅向量,並提供有關攻擊路徑的情境洞察。這種方法使 VSOC 團隊能夠自信地追蹤攻擊的起源、識別受影響的區域並辨別最終目標。這個清晰的可視度讓 VSOC 團隊能夠自信地實施主動措施,顯著提升風險補救的機會。
下一代 VSOC 平台比現今的 VSOC 平台功能更多,後者僅能重度依賴人工智慧驅動的偵測出匹配模式(見圖 4)。 VicOne將大型語言模型 (LLM) 與我們的情境化汽車威脅情報相結合,使xNexus 能夠明確偵測到惡意攻擊,而不僅僅顯示有可疑的異常。 這種加乘作用有效地減輕了要追蹤莫名其妙錯誤警報的負擔,並使 VSOC 分析師能夠獲取威脅情報並將其與現有業務流程結合起來,以採取相應的行動。
圖 4. xNexus 新一代 VSOC 平台的工作邏輯與原理
歡迎到VicOne網站上暸解更多有關xNexus 下一代 VSOC 平台的產品介紹,更好地了解並感受車用資安專家為VSOC團隊提供的服務,減少焦慮。