汽车信息安全运营中心VSOC 与传统SOC：相同但不同-Toy模板网

这篇具有很好参考价值的文章主要介绍了汽车信息安全运营中心VSOC 与传统SOC：相同但不同。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

汽车网络安全终于到了大放异彩的时候了。即将推出的新法规和标准，以及不断扩大的汽车网络攻击规模，正在优先考虑在全球领先的原始设备制造商之间建立网络安全运营。原始设备制造商正在迎接挑战，其中许多已经在运营或正在建立他们的车辆安全运营中心 (VSOC)。

关于 VSOC，并没有什么新鲜事——除了首字母缩写词的 V 部分。SOC 的三位一体——人员、流程和技术——确保 IT 系统的安全和可靠也与 VSOC 相关。

人们操作实际的中心，使用流程和剧本，为他们提供关于他们应该如何应对不同场景的精确说明。最后，人工智能和机器学习等技术通过自动化手动流程和减少信息过载来减轻 SOC 人员的负担。

汽车信息安全运营中心VSOC 与传统SOC：相同但不同,汽车安全,汽车,安全,网络安全

1、它到底是谁的 SOC？

VSOC 的引入引发了有关组织所有权的新问题。CISO 声称他们现有的 SOC 可以扩展到 IT 之外，将网络安全纳入汽车产品。另一方面，负责在车辆开发过程中嵌入强大网络防御的产品安全团队争辩说，VSOC 将他们的管辖范围扩展到后期制作，并希望这一新功能在他们的授权下。

事实上，虽然汽车网络安全与 IT 网络安全有许多相似之处，但我认为它们应该作为完全不同的功能来处理。尽管三位一体在 VSOC 中仍然适用，但使其运行的人员、流程和技术与用于运营 IT SOC 的人员、流程和技术有所不同。出于这个原因——以及我们即将深入探讨的其他原因——VSOC 应该由精通车辆产品安全的专家操作。

3、VSOC 应与 IT SOC 分离的 5 个原因

联网车辆的构建和运行方式与 IT 系统有着根本的不同，IT 系统要求采用不同的方法来进行持续的、生产后的监控和事件响应。

1. 领域不重叠：车辆系统与 IT 系统有着根本的不同。它们依赖于具有不同技术生态系统的嵌入式系统，例如特殊的硬件架构和不同的操作系统 (OS)，包括用于关键任务组件的实时操作系统，这造成了巨大的知识鸿沟，阻碍了将 IT SOC 中的程序利用到VSOC。此外，虽然人们可能会认为 IT 网络安全领域的专家可以很容易地为汽车网络安全重组，但事实并非如此。如果 1 级甚至 2 级安全专家拥有正确的行动手册和可用技术，他们就有可能同时处理 IT SOC 和 VSOC。然而，负责了解汽车领域不同协议、操作系统、硬件架构和威胁的关键 3 级产品安全事件响应团队 (PSIRT) 是高度专业化的。即使不是完全不可能，也极不可能获得具有这两个领域相关专业知识的人才。

2. 不同的网络风险：90% 的 IT 网络攻击是网络钓鱼企图；然而，联网车辆的网络威胁地图要复杂得多，包括勒索软件和 DoS 攻击。更重要的是，两者之间的技术攻击向量差异很大，成功攻击的潜在影响也是如此。

3. 威胁情报来源不兼容：威胁情报来源提供了大量关于已知攻击媒介的专业知识以及应采取的缓解措施。在 IT 世界中，有一个强大的网络专业人士社区，他们彼此分享知识和智慧（例如，MITRE ATT&CK 框架）。然而，这些情报来源并不特定于汽车行业。更多以汽车为中心的数据源，如 Auto-ISAC，可提供相关性更高的情报。

4. 事件响应：强制补丁（专门为消除漏洞而部署的安全更新）是 IT SOC 的标准补救技术。在汽车行业，车辆只有在实际运行时才会连接，这种技术只有通过与支持无线 (OTA) 更新的外部系统集成才可行。此外，虽然为组织的专有 IT 系统和设备部署补丁是他们的权利，但当补丁用于现在属于私人消费者的系统时，这并不适用。

5. IT 环境是为处理大数据而构建的：在 IT 网络中，近乎无限的带宽意味着持续发送、存储和处理大量数据几乎没有财务成本。节点安装了“哑”适配器，将大量原始数据和日志推送到 SIEM。数以千万计的互联汽车使用成本高昂的蜂窝数据连接到云端——每辆汽车平均每小时产生 25 GB 的数据——这种方法在汽车行业是不可行的。这个问题可以通过在车辆中添加智能功能来解决，以便只推出关键的相关数据。