汽车网络安全运营专题：VSOC简介.docx

汽车网络安全运营专题：VSOC简介 联网车辆的数量正在快速增长，从2022年的3.57亿辆增加到2030年的8.98亿辆。与此同时，从联网汽车到自动驾驶，软件控制功能的数量也在增加。这两个因素结合在一起增加了车辆的攻击面以及相关的网络安全风险的数量和严重性。UN R155是全球首个针对车辆的网络安全法规，UN R155没有特别要求使用汽车安全运营中心（Vehicle Security Operations Center, VSOC），但在实际运营中，如果没有VSOC支持的情况下，汽车OEM又很难满足合规要求。这些因素都推动了汽车制造商不得不采取措施高效地规划、建设和运营VSOC。 一、?什么是SOC 首先说一下安全运营中心(Security Operations Center ,SOC)的概念。传统的SOC是内部或外包的?IT 安全专业团队，负责24*7小时全天候监控组织的整个IT基础设施，包括网络、服务器、终端、数据库、应用程序、网站和其他系统活动；并调查任何潜在的安全事件。如果检测到网络攻击，安全分析人员将负责采取任何必要措施进行修复。 一个SOC的看起来大概是下图这个样子，本文尝试对SOC做一些基本介绍。 图片来源Internet 1.1?安全运营中心(SOC)的组成 SOC包含管理和增强组织安全态势的三个主要组成部分：人员、流程和技术。而安全治理和合规提供了一个框架，将这三部分有机的联系在一起。  1.?人员（People） ? ? ? ?将 SOC 视为一个由提供威胁监控、调查和响应的人员组成的团队。当网络攻击发生时，SOC充当前线，有力的应对安全事件，同时将对业务运营的影响降到最低。SOC 团队通常由具有计算机工程、数据科学、网络工程和/或计算机科学背景的安全分析师、威胁猎手和网络专业人员组成。大型SOC 团队有五个关键角色： 安全分析师：是网络安全第一响应者。他们报告网络威胁并实施保护组织所需的任何更改。他们被认为是抵御网络安全威胁的最后一道防线，与安全经理和网络安全工程师一起工作，通常向 CISO 报告。? 安全工程师：通常是软件或硬件专家，负责维护和更新工具和系统。他们还负责其他团队成员可能需要的任何文档。 SOC经理：负责?SOC 团队。他们指导 SOC 运营，并负责分析师和工程师之间的协同、招聘、训练; 制定和执行网络安全战略。他们还指导和协调公司对主要安全威胁的响应。 首席信息安全官?(CISO )：负责制定与安全相关的战略、政策和运营的领导职位。他们与公司高层密切合作，就安全问题向管理层报告。 事件响应?(IR) 主管：是大型安全组织中的一个角色，负责在事件发生时对其进行管理，并在发生重大数据泄露时向组织传达安全要求。 SOC 角色和职责SOC 分析师分为四个层级。首先，SIEM 警报流向一层分析师，他们对其进行监控、优先排序和调查。真正的威胁被传递给具有更多安全经验的二层分析师，他们进一步分析并决定遏制策略。严重违规事件将移交给第三层的高级分析师，该分析师负责管理事件并负责持续积极寻找威胁。第四层分析师是?SOC 经理，负责招聘、战略、优先事项，并在发生重大安全事件时直接管理 SOC 员工 。 下表更详细地解释了每个?SOC 角色 角色 职位要求 工作职责 一层分析师（Tier 1 Analyst）：警报调查员 系统管理技能；网络编程语言，例如 Python、Ruby、PHP；安全认证，如 CISSP 或 SANS SEC401 监控 SIEM 警报、管理和配置安全监控工具。对警报或问题进行优先级排序和分类，以确定是否发生了真正的安全事件。 二层分析师（Tier 2 Analyst）：事件响应者 类似于Tier 1 分析师，但具有更多经验，包括事件响应。高级取证、恶意软件评估、威胁情报。道德黑客认证或培训是一个主要优势。 接收事件并进行深入分析；与威胁情报相关联，以识别威胁发起者、攻击的性质以及受影响的系统或数据。定义并执行遏制、修复和恢复策略。 三层分析师（Tier 3 Analyst）：领域专家/威胁猎手 类似于Tier 2 分析师，但经验更多。具有渗透测试工具和跨组织数据可视化的经验。恶意软件逆向工程，具有识别和开发对新威胁和攻击模式的响应的经验。 日常执行漏洞评估和渗透测试，并审查警报、行业新闻、威胁情报和安全数据。积极寻找已经进入网络的威胁，以及未知的漏洞和安全漏洞。当发生重大事件时，与Tier 1 分析师一起响应和控制它。 Tier 4 SOC 经理 类似于 Tier 3 分析师，包括项目管理技能、事件响应管理培训和强大的沟通技巧。 就像一个军事单位的指挥官，负责招聘和培训SOC人员，负责防御和进攻战略。管理资源、优先级和项目，并在响应关键业务安全事件时直接管理团队。组织的安