Die neu angekündigte Fahrzeug-SOC erfordert eine einzigartige Reihe von Fähigkeiten und Richtlinien

Cyber Security News

Ein selbstfahrendes Auto von Google ist am Computer History Museum in Mountain View, Kalifornien, geparkt. (Don DeBold aus San Jose, CA, USA, CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons)

McAfee und Panasonic kündigten diese Woche ein Joint Venture an, um ein kommerzielles Security Operations Center (SOC) speziell für autonome Fahrzeuge zu entwickeln – das jüngste Anzeichen dafür, dass die Cyber-Industrie beginnt, sich ernsthaft mit den einzigartigen Sicherheitsherausforderungen zu beschäftigen, die vernetzte Autos auf den Markt bringen werden.

“Mit der innovativen Entwicklung des autonomen Fahrens, der fortschreitenden Digitalisierung und der zunehmenden Anzahl von vernetzten Autos steigt das Risiko von Cyberangriffen auf Automobile von Jahr zu Jahr”, heißt es in einer Pressemitteilung der beiden Unternehmen. “Das Vehicle Security Operation Center wird die Bereitstellung von Überwachungsdiensten ermöglichen, um vernetzte Autos auf der ganzen Welt zu überwachen und zur Entwicklung einer sicheren und geschützten Mobilitätsgesellschaft beizutragen.”

Es scheint, dass die Zeit für Fahrzeug-SOCs (VSOCs) gekommen ist, insbesondere da die Regulierungsbehörden bestimmte Erwartungen an die Automobilindustrie stellen. Tatsächlich “steigt aufgrund einiger spezifischer Anforderungen innerhalb der neuen UNECE (United Nations Economic Commission for Europe) Cybersecurity-Vorschriften, die die Mehrheit der weltweiten Fahrzeughersteller betreffen, die Nachfrage nach Fahrzeug-SOC-Diensten rapide an”, so Andy Davis, Global Transport Practice Director bei der NCC Group. Folglich “werden Automotive Managed Detection and Response Services von einer Reihe von Unternehmen auf der ganzen Welt erforscht.”

Aber es gibt einige einzigartige Herausforderungen bei der Schaffung eines VSOC, und eine einzigartige Reihe von Fähigkeiten, Fertigkeiten und Technologien wird erforderlich sein, um einen erfolgreichen Betrieb zu gewährleisten.

“Das zu überwachende Fahrzeug ist selbst eine Ansammlung von fortschrittlichen Technologien und Systemen. Und weil es zig Millionen davon gibt, sind die Komplexität und die Anzahl der zu überwachenden Ziele völlig anders als bei herkömmlichen SOCs”, so McAfee und Panasonic in einer Reihe gemeinsamer Antworten auf Fragen, die SC Media ihnen zukommen ließ. “Insbesondere sind Fahrzeuge im Gegensatz zu Personalcomputern nicht standardisiert, und es ist schwierig, sie zu analysieren, es sei denn, Teile werden tatsächlich als Tier 1 entwickelt.” (Tier-1-Lieferanten liefern Teile oder Systeme direkt an OEMs.)

Benjamin Vaughan, Director of Cyber Defense Solutions, North America bei Thales, sagte, ein zentrales technisches Problem sei, wie man Protokolle von der Fahrzeugplattform in Echtzeit in das SOC importieren könne, “ohne übermäßige Kosten zu verursachen.” Ein weiteres Problem ist laut Davis die Vermeidung von falsch-positiven Ergebnissen, da “eine Flotte von zehn- oder hunderttausenden von Fahrzeugen potenziell eine große Anzahl von Alarmen generieren könnte. Daher ist es entscheidend zu verstehen, welche Alarme die echten und welche die falsch-positiven sind.”

Andere technologische Fragen könnten auf der OEM-Seite der Gleichung eine Herausforderung darstellen. Dazu gehören laut Davis die Entscheidung, wo die Sensorik zur Angriffserkennung installiert werden soll, sowie die Verwaltung der Entwicklungs- und Integrationskosten für das Hinzufügen einer Software-Schicht zur Erkennung von Eindringlingen in die eingebetteten Computer eines Fahrzeugs. Davis merkte auch an, dass dedizierte Intrusion-Detection-Geräte “tatsächlich neue Sicherheitsschwachstellen in ein vernetztes Auto einführen können, da sie die Angriffsfläche vergrößern”, was potenziell neue Risiken mit sich bringt, mit denen Automobilhersteller und ihre SOC-Anbieter dann fertig werden müssen.

Neben den technischen Herausforderungen geht es auch darum, Mitarbeiter mit dem richtigen Know-how zu finden. Dazu gehört laut Vaughan das Verständnis für die einzigartige “Mischung aus IT- und OT-Systemen an Bord des Fahrzeugs, die überwacht werden müssen.”

“Bei traditionellen IT-Umgebungen besteht die Bedrohung vor allem im Verlust von Daten. Bei einem autonomen Fahrzeug besteht jedoch auch die Gefahr der physischen Beschädigung und Zerstörung”, so Vaughan. “Die Analysten/Ingenieure müssten zum Beispiel verstehen, wie die verschiedenen Systeme an Bord den Antrieb, die Lenkung, die Bremsen usw. steuern. Fähigkeiten in Bereichen wie Mechanik, Automatisierung und Luftfahrttechnik würden mit Erfahrungen in der Cybersicherheit kombiniert werden, etwas, das in traditionellen IT-Umgebungen sicher nicht benötigt wird.”

Außerdem, so Vaughan weiter, “wird es für einen Analysten wichtig sein, das Lebensmuster des Fahrzeugs/der Plattform, das/die er überwacht, wirklich zu verstehen, um nicht nur Bedrohungen und Schwachstellen zu erkennen, sondern auch Hinweise und Anleitungen für die besten Mittel zur Sicherung einer Schwachstelle zu geben.”

Zusätzlich werden SOC-bezogene IT-Fähigkeiten und -Erfahrungen wichtige Attribute sein, “und ein tiefes Verständnis von Automotive IDS und Automotive SIEM ist ebenfalls erforderlich”, so McAfee und Panasonic. “Sie müssen eine Risikobewertung in Bezug auf Cyberangriffe auf fahrzeuginterne Netzwerke durchführen und Ideen haben, wie man darauf reagieren kann, und das Thema fest im Griff haben.”

Allerdings kann eine bessere Technologie dazu beitragen, den Schulungsaufwand für SOC-Analysten zumindest für die grundlegenden Angriffe zu reduzieren.

“Wenn die Alarmierungslösung, die in das VSOC integriert ist, klare und präzise Informationen über den Ursprung und die Auswirkung jedes Alarms liefert, dann sollten die SOC-Analysten nur minimale zusätzliche Schulungen benötigen”, so Davis. “Der Schulungsaufwand hängt also im Wesentlichen von der Qualität der Erkennungs- und Alarmierungslösung ab. Wenn jedoch komplexere Angriffe erkannt werden, ist immer noch eine Analyse in zweiter und dritter Linie erforderlich, die spezielle Kenntnisse und Erfahrungen im Bereich der Cybersicherheit in der Automobilindustrie erfordert.”

Und dann gibt es noch politische Herausforderungen, von denen die wichtigste ist, was zu tun ist, wenn ein Cyberangriff tatsächlich stattfindet, während das Auto aktiv betrieben wird.

Davis vom NCC stellte eine Reihe von kritischen Fragen: “Wen informieren Sie über den Angriff? Den Fahrer? Das Autohaus, bei dem das Auto gekauft wurde? Den Fahrzeughersteller? Welche Maßnahmen ergreifen Sie dann? Das Auto in den “limp home mode” versetzen, um mögliche Sicherheitsrisiken für den Fahrer und die Insassen zu reduzieren? Oder vielleicht nur eine Warnung auf dem Armaturenbrett anzeigen, dass ein ernsthaftes Problem aufgetreten ist und der Fahrer anhalten sollte, wenn es sicher ist, dies zu tun? Dies sind alles betriebliche Herausforderungen, die von Fahrzeugherstellern, die die Implementierung eines VSOC in Betracht ziehen, berücksichtigt werden müssen.”

Und es geht nicht nur um Autos. Ähnliche Richtlinien müssen für alle autonomen Fahrzeuge festgelegt werden, einschließlich Drohnen oder unbemannte Luftfahrzeuge (UAVs). “Würden Sie zum Beispiel bei einer Drohne die Software während eines Live-Flugs, am Boden oder während der Wartungszeiten patchen?” fragte Vaughan. “All diese Dinge müssten von dem Team berücksichtigt werden, das die schützende Überwachung und die anschließende Behebung oder Reaktion auf Vorfälle übernimmt.”

Im Rahmen der Partnerschaft zwischen McAfee und Panasonic wird Ersteres seine Erfahrung mit dem Aufbau und der Unterstützung von SOCs und verwalteten Sicherheitsdiensten einbringen, während Letzteres sein Automotive Intrusion Detection System einbringt, das an einem Fahrzeug montiert wird und nach einem erkannten Angriff Analysedaten an das Fahrzeug-SOC und ein Security Information and Event Management System übermittelt.

“Das Automotive Intrusion Detection System und das Automotive SIEM erkennen Eindringlinge in ein fahrzeuginternes Netzwerk, indem sie die Netzwerkkommunikation und den Betrieb und Zustand der Hosts überwachen”, so McAfee und Panasonic. “Es steht kurz vor der Implementierung in die Fahrzeuge als Gegenmaßnahme gegen Cyberattacken. Panasonic hat an der Entwicklung des Network Intrusion Detection Systems wie CAN [Controller Area Networks] und Ethernet-Überwachung, sowie an der Entwicklung des Host-basierten Intrusion Detection Systems in IVI [in-vehicle infotainment] Systemen, und einige davon wurden in IVI installiert.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com