【车联网】汽车网络安全运营中心

VSOC概览

VSOC（Vehicle Security Operations Center）——汽车网络安全运营中心，用于检测、监控和缓解网络和其他威胁

通过连接到车辆网络并实时监测车辆的网络行为实现安全监测与防御、故障诊断与维护以及数据分析与优化等功能，VSOC可以快速检测并应对潜在的威胁和攻击事件，提高智能网联汽车生态系统的安全性

VSOC主要价值

VSOC功能架构设计

威胁场景

为什么建设VSOC

01 汽车潜在攻击场景

• 车路云通信场景多样化，汽车暴露面增多，由此产生的安全威胁包括但不限于：身份伪造、数据篡改、指令重放、隐私窃取、位置诱骗、女巫攻击、拒绝服务、蓝牙WIFI、控车APP等等
• 汽车数据价值高，成为攻击重点
• 攻击事件频发，涉及国家和生命安全

02 国内外法规

注：法规没有明确的说一定要建立VSOC，类似于GDPR条例，没有明确的法规，但是通过技术要求事实上变成强制要求，如44495要求：建立确保对网络攻击、网络威胁和漏洞进行持续监控的过程，且车辆纳入监控范围的时间应不晚于车辆注册登记的时间。R155要求至少每年报告一次监控结果，VSOC是市场从法规要求衍生出的产品，具备符合法规要求的能力。

03 市场概览

VSOC产品架构

IDPS + VSOC + 安全运营，也就是车端 + 云端 + 安全运营

车端IDPS

IDPS就是检测入侵事件、进行响应防御，由IDS和IPS组成，四种技术类别

• ETH：针对以太网的入侵检测
• CAN：针对CAN通信的入侵检测；
• Host：监视单个主机中发生的可疑事件，例如CPU监控，系统提权检测等；
• Network：针对网络流量以识别产生异常流量的威胁，例如DDoS攻击、扫描

分布在车辆不同位置的sensor会探测和收集事件信息，通过车内通信传递给IDSR（一般是TBOX），由统一的出口上报给云端

IDPS通常部署在网络安全高风险ECU中，例如TBOX、IVI、CGW、VCU等，无论攻击者通过何种方式进行攻击，当攻击行为进入车内后，必须通过车内通信下发控车指令，车内通信依赖于网关通过CAN或者ETH转发

如果IDPS节点部署在不同的域之间，则依据EE架构，若以太网通信，则通过以太网传输事件；若是网关，通过CAN通道传输事件

云端VSOC平台

VSOC平台是车端IDPS事件上报的处理中心，通常包括威胁概览、态势感知、安全配置、车型接入、事件工单、应急处理、策略下发、资产管理等功能

海外平台：

• 遵循相关法规要求部署，不数据回传
• 不考虑数据跨境
• 遵循本地GDPR安全要求
• 数据脱敏

国内平台：

• 遵循国内个人信息保护法/数据安全法
• 涉及数据跨境回传，需要向相关机构申报
• 敏感数据脱敏
• 数据分级分类

安全运营

类似于传统SOC机构，运营监测小组、运营管理小组、运营执行小组、属地售后、品质部、质量管理中心，可企业自行组建运营团队，也可外包给VSOC供应商合作运营。

自建式：企业内部自建，相对独立，拥有持续的日常安全运作所需的所有资源，核心功能和日常运作完全由内部团队提供

外包型：基于企业内部团队和外部供应商资源的结合，提供综合的SOC功能。企业将一些功能外包给供应商，同时保留了组织评估和响应的内部流程等功能。常见的的解决方案包括：管理安全服务（MSS）、管理检测和响应（MDR）或管理SIEM/COMSIEM

联合运营的托管式：在同一实体（常见于多实体/跨国公司）内由一家服务机构统筹协调多家供应商独立运营核心安全能力的托管式解决方案，但是核心部分仍然由企业内部（VSOC指挥中心或母公司）高层级VSOC同步提供统一的威胁检测和应急响应。联合运营的托管式VSOC解决方案逐渐成为企业的优选