汽车强规之网络安全持续监控细则-木卫四实践

　　随着智能网联汽车技术的迅速发展，车辆信息安全已成为保障行车安全和保护用户隐私的重要基石。为响应这一趋势，GB44495-2024《汽车整车信息安全技术方面的要求》对车辆制造商提出了明确的持续监控要求。木卫四深入解读该法规中的持续监控要求及其细则范围，并分享在实践中的成功案例，助力行业伙伴共同提升车辆信息安全的整体水平。

　　建立确保对网络攻击、网络威胁和漏洞进行持续监控的过程，且车辆纳入监控范围的时间应不晚于车辆注册登记的时间。

　　基于这一强标要求，木卫四结合过往过审经验，认为持续监控需要车辆制造商建立并实施一套能够实时对车辆信息安全状态监控的系统和运营团队，及时有效地发现、识别和应对网络攻击、网络威胁和漏洞。这包括：

　　根据GB 44495-2024《汽车整车信息安全技术方面的要求》，木卫四总结了如下持续监控的核心要点：

　　监控能力：持续监控与车辆相关的网络威胁和漏洞，保持对车辆安全威胁的持续跟踪。

　　取证能力：在发生安全事件时，可提供完整的日志和证据，支持事件调查和溯源。

　　网络攻击：针对车辆网络系统的攻击行为，如拒绝服务攻击、远控指令重放攻击等。

　　根据GB 44495-2024《汽车整车信息安全技术方面的要求》，木卫四从持续监控的实施范围和对象着手，梳理出如下监控事件细则，旨在覆盖并满足强标要求：

　　例如：用于车辆远控功能的通信模块，需监控其网络连接状态和远控指令日志的异常状态。

　　例如：USB接口、OBD接口等，这些接口已被用于物理接入车辆系统，需监控其访问和使用日志的异常状态。

　　例如：非法用户尝试登录车辆的远程控制管理系统，但由于身份验证失败而被拒绝；或用户使用过期凭证试图访问车内通信网络，导致访问失败。

　　例如：蓝牙、Wi-Fi、NFC等无线通信接口已成为潜在的远程攻击入口，需实时监控这些接口的连接行为日志，以预防潜在风险。

　　例如：攻击者向车载网络发送大量无效请求，导致车载网络超负荷，需要监控关键服务的运行状态。

　　例如：车载系统在接收远程指令时，由于解密密钥错误导致指令无法正确解密，或车辆内部的加密密钥被篡改，造成数据加解密失败。

　　例如：包含与 OTA服务器建立连接时的身份认证成功/失败事件、签名验证成功/失败、升级密钥错误事件。

　　例如：升级版本回退或降级事件、升级包不兼容事件、多次升级失败重试事件等。

　　例如：胎压篡改事件、动力电池参数篡改事件、安全气囊展开阈值篡改事件和制动参数篡改事件等。

　　木卫四依据GB 44495-2024和过往项目经验，提出构建持续监控体系的5个最佳步骤：

　　该委员会负责战略决策、资源分配与监督，确保VSOC持续监控平台的建设和运营符合GB 44495-2024标准的各项要求。委员会还负责协调各部门资源，以支持信息安全战略的全面实施。

　　专职负责安全策略的制定、实施和管理，确保持续监控平台的技术方面的要求与GB 44495-2024标准保持一致。该部门还负责持续改进监控技术和流程，提升平台的安全监控能力。

　　包括IT部门、研发、生产、供应链管理等有关部门共同参与，建立紧密的协作机制。通过整合各方资源和技术能力，确保信息安全监控体系的高效运作，并形成统一的响应机制以应对潜在安全风险。

　　参考标准规定：根据GB 44495-2024的具体条款，制定符合标准要求的监控策略和流程。

　　确定监控范围：参考规定要求的车辆外部连接、车辆通信、车辆软件升级和车辆数据安全要求，以具体车型的风险评估为具体策略设计，识别攻击与风险，制定针对性的USECASE。

　　确定数据收集范围：依据监控策略，确定需要收集的日志和事件数据类型，如安全事件日志、系统性能指标等。

　　确定漏洞监控场景：根据GB 44495-2024安全要求，对远程控制功能的系统、授权的第三方应用以及车载软件升级系统中引用的开源组件、第三方库文件等，建立车辆SBOM库，确保漏洞快速识别和响应。

　　车端部署安全日志：根据GB强规要求，在车端控制器上统一部署安全日志收集模块（如Security Log），确保关键数据的实时采集和存储。此模块为安全事件的分析与响应奠定基础，有助于全面满足合规要求。

　　云端部署监控平台：部署具备持续监控能力的云端平台（如VSOC），提供全方位的异常检测和情报收集服务。平台具备先进的威胁检测功能，并严格遵循标准对数据处理与存储的安全规范。

　　USECAE分析工具：使用安全信息和事件管理系统对海量车辆安全日志进行实时分析，基于预设的监控场景（Use Cases）检测异常，识别潜在威胁。

　　人工研判：安全专家对识别出的可疑事件进行深度分析，结合具体业务场景评估事件的真实性和潜在风险，确保分析的精准性与可靠性。

　　威胁情报：从国内外权威漏洞信息平台获取最新汽车领域威胁情报，并与行业伙伴共享，构建更全面的威胁情报网络，以提高安全监控的准确性和前瞻性。

　　告警和响应机制：建立合乎行业标准和企业特别的条件的告警分级系统及响应流程，确保不同严重等级的安全事件均能得到及时、适当的处理和响应。

　　漏洞处置和修复：制定漏洞处置优先级规则，并实施闭环工单管理流程，确保漏洞在被识别后能快速得到修复与验证，以降低安全风险。

　　安全事件记录与取证：详细记录所有安全事件及处理过程，保留完整的日志和取证数据。这不仅满足数据合规和取证要求，更为未来的安全左移策略提供基础数据支持，促进在开发早期识别和预防安全风险。

　　经验总结与流程的优化：对每个安全事件进行缘由分析，从技术和流程上识别潜在漏洞和不足，尤其关注新型攻击模式。制定并实施改进措施，推动安全设计理念贯穿于系统开发生命周期的各个阶段，以提高下一代车型的整体防御能力。

　　人员培训与模拟演练：不断的提高团队对新兴威胁和攻击手段的认知，加强安全设计理念的培训。定时进行包括新型攻击情景的应急演练，提升团队在真实攻击下的响应能力，确保安全防护始终走在威胁前面。

　　在GB强标的框架下，已针对车辆外部连接、车辆通信、车辆软件升级以及车辆数据安全提出了详细的安全监控要求，基于这些技术方面的要求，木卫四深入分析了历史上发生的典型汽车网络攻击案例，梳理了以下网络攻击与威胁监控的USECASE用例，供行业内各方参考。

　　使用专用设备模拟恶意Wi-Fi接入，向车辆发送没有经过授权的设置修改指令（若有）

　　使用模拟器或工具对车载娱乐系统发送大量伪造的以太网数据包，模拟DoS攻击

　　在汽车行业的智能化服务应用中，OTA升级、远程控制和第三方应用等功能通常依赖于诸如远程登录、文件传输、数据压缩与解压缩、数据加密算法、消息传输协议，以及第三方库文件等开源组件。然而，这些开源组件由于其公开性质，存在已知的安全漏洞，可能为恶意攻击者提供攻击入口，带来严重的潜在安全风险。

　　针对这一问题，GB强标已明确要求，所有涉及OTA升级、远程控制和第三方应用的系统必须关注汽车行业相关的安全漏洞，木卫四基于自有威胁情报梳理出了OTA、远控及其他汽车智能服务场景中常见开源组件的SBOM清单及潜在的威胁风险，供行业内各方参考。

　　注：目前存在已知漏洞251个，成为黑客可利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞116个，成为黑客可利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞39个，成为黑客可利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞5个，成为黑客可利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞1个，成为黑客可利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞8个，成为黑客可利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞4个，成为黑客可利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞13个，成为黑客可利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞430个，成为黑客常利用漏洞攻击的开源组件，同样在汽车领域值得监测

　　注：目前存在已知漏洞3个，成为黑客常利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞14个，成为黑客常利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　注：目前存在已知漏洞1个，成为黑客常利用漏洞攻击的开源组件，同样在汽车领域值得监测。

　　木卫四（北京）科技有限公司是由全球首批专注于汽车网络安全的技术专家创立、由全球知名机构投资、具备多项自主知识产权的国家高新技术企业。木卫四正为全球智能汽车领域、无人驾驶和高级驾驶辅助系统的领军公司可以提供强有力的网络安全支持。客户包括但不限于宝马中国、福特中国、赛力斯、奇瑞、上汽、广汽、蔚来、合众等汽车行业佼佼者。木卫四的发展得益于众多生态伙伴的全力支持，包括华为云、亚马逊云、百度、腾讯云、微软云、地平线、天准科技、艾拉比、德勤、普华永道等有名的公司。