官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工控安全

青骥原创编译 | 《汽车信息安全应急响应指南》

2020-04-15 18:20:13

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

Hi同路人，这里是青骥信息安全公益小组，上一篇与您分享了关于汽车信息安全的概览部分，因为团队成员均是利用业余时间完成编译内容，虽然对于交付物质量我们也已尽所能，由于编译时间实在仓促，难免在细节上购完善，非常感谢大家的积极反馈和包容，我们也将对内容持续进行改进。在之前的《汽车信息安全执行摘要》介绍了最佳实践系列各部分的基础内容，对于汽车信息安全无从下手的小伙伴们，也应该初步了解了信息安全七个关键安全功能域的基本信息。再次感谢大家的反馈，也希望大家多提宝贵建议，本期统筹编译为主笔@杨文昌，校稿为公益翻译团荣誉创始成员李玉洲@Dr. Liyz，为他们的无私奉献点赞。

-- 主理人：李强 @Keellee

本篇概述

本系列开篇中，我们隆重推出了《汽车信息安全执行摘要》中文编译内容，对该系列文档进行了基础性的介绍。依据发布计划，今天要给大家介绍是应急响应部分。照例，在释放编译稿之前，我们还是简单的分享下个人对汽车应急响应的理解。

虽然我们的车辆容易受到各种已知和未知风险的威胁而导致信息安全事件的发生，不过很多汽车信息安全事件其实可以通过技术、管理已经操作的方法予以消减，但没有任何一种信息安全策略或防护措施，能够对整车的运行系统提供绝对的保护。

即使采取了防护措施，依然可能存在残留的风险问题，使得信息安全防护可能被攻破，从而导致各类信息安全事件发生，并对用户和OEM直接或间接的负面影响。

由于信息安全事件的不可预测性以及其事件后果的严重性，使得我们非常有必要建立有效的应急响应机制，并形成相应的应急预案。

汽车信息安全事件可能来源于车辆生命周期的任何阶段，但是在车辆正常运营过程中发生信息安全事件对客户的影响最大。以个人的理解，这也就是ISO 21434将应急响应放在运维阶段的原因，当然在汽车的全生命周期里，应急响应也是持续运营的过程。

最后我们还是要回到指南内容本身，昨天也提到了应急响应的四个关键阶段：准备、识别、修复、关闭，整个的BP的核心内容也是围绕这四个阶段展开的，在介绍之前，文档重点描述了应急响应所面临的需求、挑战和威胁，作为应急响应的背景知识。

首先从需求上说，车辆网络IR有助于防止或最小化车辆网络事件的影响，损害和成本。成熟的IR流程，工具和功能可帮助组织最大限度地减少对客户安全和隐私的影响，减少损失并保持客户信任。

然后从挑战上说，车辆网络事件可能很复杂，因为它们有可能影响或源自所连接的车辆生态系统的任何方面，包括产品硬件和软件，网络连接，移动应用程序，****，车辆数据以及供应商/制造网络以及应用程序。此外，车辆网络事件会影响客户安全，隐私和信任，以及产品可靠性和品牌声誉。当下面临的一系列挑战主要包括新型的安全事件、车辆及售后的资产管理、事件涉及到诸多组织、车辆生态系统跨区域、以及对车辆权限的控制等。

最后提到了威胁本身，列表分析了信息安全事件的后果，可能实现攻击的路径，以及入侵车辆生态系统的切入点，以及从利益的角度分析，谁有可能成为攻击者。

以上希望对大家了解应急响应的现状有所帮助，然后开始四个关键阶段的介绍了，准备，识别、修复、关闭，详细内容，还是建议大家参考英文原文或者译稿。

1. 准备

应急响应准备可以帮助组织有效地对事件作出反应事件响应准备可以帮助组织有效地对事件做出反应。准备工作需要计划，培训，测试和持续改进，而整体的准备内容包括IR计划、事件定义、角色和责任、触发条件、严重性矩阵、呼叫表、遏制选项图、事件通信工具包、成功标准。

2. 识别

识别阶段的目标是快速，一致且有效地分类和升级已发现的潜在问题，事件评估和确认过程有助于促进业务和技术利益相关者之间的协调响应。

识别事件：组织可以通过各种内部（例如，威胁监视，外围监视）和外部（例如，ISAC自动情报）机制来识别潜在事件。

记录事件：“事件日志”记录了响应活动。事件日志的目的是记录事件详细信息，操作并确保响应团队能够及时访问信息。事件日志还有助于满足有关报告和证据收集的要求，并有助于准备有效的事后报告。

验证事件：验证事件的发生和相关的信息有助于组织评估是否需要IR操作

对事件进行分类和升级：评估事件的影响和范围有助于通知响应活动。

3. 修复

此阶段的重点是从技术上解决事件（例如，根本原因分析，遏制，补救），以及通过补充公司活动（例如，通信）来管理业务风险。通过激活一个团队来快速控制、减轻、纠正和修复。这可能包括执行技术响应活动(例如，根本原因分析、遏制、取证)，通过互补的公司响应(例如，通信、法律、法规)管理业务风险，以及跨工作流的协调

4. 结束

事件发生后，重要的是要反思响应过程，以评估优点和缺点，并考虑并实施任何长期的补救措施。这包括评估IR计划，以使其不断发展以反映新的威胁，改进的技术和经验教训。

组织汇报：事件汇报会审查响应程序的有效性，以确定必要的程序或策略更改。这也可能包括评价、实施和监测任何较长期的残余风险补救行动；以及计划的更新跟踪。

以上简单的介绍了应急响应最佳实践指南的重点内容，目的是为了让大家对应急响应部分有感性上的认识。对于笔者来说也是学习过程。不管是翻译，还是整理写作思路，其实都是希望深化个人对应急响应部分的理解，同时分享大家，希望对你们有所帮助。欢迎各位拍砖提意见，我们及时改进，谢谢！

最后，希望我们的编译对您有所帮助，同时也请关注后续该系列的深入分析和解读。

本文及系列中文编译作品版权归青骥信息安全公益翻译团所有

欢迎您转载分享通过公众号或只是星球回复建议

本期全文PDF版本将在本星球独家发布全，预览详见后文

这是我们与您共建共享的公益知识星球，感谢您的持续关注

这里有免费的干货资料 & 200+ 精英小伙伴

每日不间断放送的汽车及信息安全干货&资讯

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

下为全文预览

Auto-ISAC-应急响应最佳实践v1.3.2_01.png Auto-ISAC-应急响应最佳实践v1.3.2_02.png Auto-ISAC-应急响应最佳实践v1.3.2_03.png Auto-ISAC-应急响应最佳实践v1.3.2_04.png Auto-ISAC-应急响应最佳实践v1.3.2_05.png Auto-ISAC-应急响应最佳实践v1.3.2_06.png Auto-ISAC-应急响应最佳实践v1.3.2_07.png Auto-ISAC-应急响应最佳实践v1.3.2_08.png Auto-ISAC-应急响应最佳实践v1.3.2_09.png Auto-ISAC-应急响应最佳实践v1.3.2_10.png Auto-ISAC-应急响应最佳实践v1.3.2_11.png Auto-ISAC-应急响应最佳实践v1.3.2_12.png Auto-ISAC-应急响应最佳实践v1.3.2_13.png Auto-ISAC-应急响应最佳实践v1.3.2_14.png Auto-ISAC-应急响应最佳实践v1.3.2_15.png Auto-ISAC-应急响应最佳实践v1.3.2_16.png Auto-ISAC-应急响应最佳实践v1.3.2_17.png Auto-ISAC-应急响应最佳实践v1.3.2_18.png Auto-ISAC-应急响应最佳实践v1.3.2_19.png