Vehicle Security Operations Center

Die Fahrzeugflotte permanent im Blick

Egal wie hoch das Schutzlevel vor Cyberangriffen, das bei der Entwicklung geschaffen wurde, auch ist, es wird über die Lebensdauer des Fahrzeugs hinweg zwangsläufig erodieren. Fahrzeuge und Fahrzeugflotten benötigen daher künftig eine aktive, fortwährende Security-Behandlung, die zum einen bekannte Risiken und Angriffsvektoren überwacht und zum anderen neue Risiken identifiziert und mitigiert. Umso mehr, als mit Inkrafttreten der Regularien der UNECE.WP29 der Nachweis einer angemessenen Risikobehandlung über den gesamten Fahrzeuglebenszyklus hinweg zur verpflichtenden Voraussetzung für die Typgenehmigung wird.

Für ein aussagekräftiges Bild der Gesamtbedrohungslage braucht es mehrere Blickfelder und Handlungsebenen. Die beiden zentralen Komponenten sind hier eingebettete Angriffserkennung im Fahrzeug in Form eines Intrusion Detection System (IDS) und ein Security Operations Center (SOC) im Backend, in dem das Angriffsgeschehen aggregiert und ausgewertet wird und das eine Skalierung von Angriffen über die ganze Flotte hinweg unterbindet.

Intrusion Detection im Fahrzeug

Intrusion Detection Systeme im Fahrzeug übernehmen die Aufgabe, Angriffe von außen (per Remote Connectivity) frühzeitig zu entdecken sowie Manipulation fahrrelevanter Systeme (z.B. Lenksystem, Motorsteuerung) oder auch Manipulationsversuche über leicht zugängliche Schnittstellen (z.B. Diagnoseschnittstelle) zu erkennen:

  • Ein Netzwerk-basiertes IDS für den CAN-Bus überwacht den CAN-Traffic und analysiert ihn nach regelbasiertem Vorgehen. Die Intrusion Detection erkennt dabei typische CAN-Angriffssignatur sowie Anomalien, die auf bisher nicht klassifizierte Angriffe hindeuten.
  • Ein Host-based IDS auf der Connectivity ECU überwacht unter anderem die Integrität des Betriebssystems und der Anwendungen. Es erkennt dabei Veränderungen von System- und Anwendungsdateien und scannt die aus- und eingehenden Netzwerkverbindungen.
  • Durch Kombination von host- und netzwerk-basiertem IDS schließlich entstehen hybride/verteilte Intrusion Detection Systeme, die die Angriffsfläche im Fahrzeug besser abdecken und umfassende Information über das Vorgehen von Angreifern liefern.

Weiterer wichtiger Pluspunkt eines IDS im Fahrzeug: Statt des gesamten Datenverkehrs und großer Logs werden nur die entdeckten Anomalien an das Backend reportet. Der Bandbreitenbedarf für die Übertragung der Security-Monitoring-Informationen wird dadurch drastisch reduziert.

 Incindent Management

Bild 1: Das Security Incident Management für die Fahrzeuge folgt einem Zyklus aus Monitoring, Angriffserkennung, Analyse und Response. Durch das IDS im Fahrzeug wird der Bandbreitenbedarf für die Übertragung der Security Monitoring-Informationen drastisch reduziert. (© NTT Security, ESCRYPT)

V-SOC: Synthese aus SIEM und Security-Analysten

Die vom IDS im Fahrzeug übermittelten Security Events aus der gesamten Flotte sowie weitere IT-sicherheitsrelevanten Daten aus dem vernetztem Automotive-Ökosystem laufen schließlich in einem Vehicle Security Operations Center (V-SOC) im Backend zusammen. Als zentrales Werkzeug wertet dort zunächst das Security Incident und Event Management (SIEM) automatisch und in Echtzeit die eingehenden IT-Sicherheitsereignisse aus. Das SIEM sucht dabei nach bestimmten vorher definierten Angriffsmustern und durchkämmt seine Datenbasis nach entsprechenden Symptomen. Es identifiziert so bekannte Angriffe präzise und zuverlässig, kann sie über ein Dashboard darstellen und mittels Machine-Learning-Funktionalitäten sogar eigene Modelle entwickeln. Allerdings ist eine SIEM-Lösung wenig geeignet, um bis dato unbekannte Angriffsszenarien zu erkennen. Zumal es für das Automotive-Security-Umfeld mit seinen dediziert auf die Fahrzeugplattform hin entwickelten Komponenten, noch keine standardisiert anwendbaren Vulnerability-Management-Lösungen gibt, die sich direkt ans SIEM anbinden ließen.

Daher benötigt die vernetzte Fahrzeugflotte neben dem technischen Betrieb einer SIEM-Lösung noch einen fachlich-inhaltlichen Betrieb: Der umfasst zum einen eine Threat Intelligence, die Quellen über neue Angriffe und Angriffsmethoden systematisch auswertet, daraus „Indicators of Compromise“ im eigenen Datenbestand ableitet und gezielt nach Symptomen dieser neuen Angriffstechniken sucht. Zum anderen braucht es – als unverzichtbare zentrale Instanz des V-SOC – Security-Analysten mit Automotive-spezifischen Know-how, die gezielt nach neuen Bedrohungen suchen und diese in den Logdatenbeständen verfolgen (Threat Hunting). Die Automotive-Security-Analysten können weitere Schritte im Angriffspfad entdecken und beschreiben (z. B. Lateral Movements) sowie die Analysemethoden des SIEM und der IDS-Sensoren dahingehend erweitern, dass sie die Bedrohungsszenarien künftig automatisch erfassen bzw. die Flotte retrospektiv auf bereits erfolgte Angriffe hin überprüfen.

 Security Monitoring

Bild 2: Bestandteile eines ganzheitlichen Vehicle Security Monitorings – Von der Intrusion Detection zum Vehicle Security Operation Center. (© ESCRYPT)

Alert Validation und weltweit verteilte Security-Strukturen

Ein gutes V-SOC sollte dem Flottenbetreiber „actionable information“ liefern, also Erkenntnisse über eine bereits eingetretene oder bevorstehende Bedrohung, die es ihm erlauben, geeignete Gegenmaßnahmen zu entwickeln, zu testen und auszurollen. Eine der größten Herausforderungen dabei ist die „Alert Validation“, die Unterscheidung zwischen "falsch-positiven" und "echten" Problemen. Je stärker die Assets (klassische ECUs, Domänencontroller, Aktoren, Sensoren u.v.m.) im Gesamtsystem der vernetzten Fahrzeugflotte automatisiert sind und je mehr Informationen des OEMs oder Flottenbetreibers (aktuelle Softwarebestände und Hardwarekomponenten im Fahrzeug, Werkstattaufenthalte etc.) integriert zur Verfügung stehen, desto valider kann eine situativ effektive und korrekte Bewertung möglicher Angriffe im V-SOC erfolgen und eine Alarmermüdung (Alert fatigue) vermieden werden. Die Alert Validation und die Fähigkeit der Security-Analysten, ein machine-learning-basiertes System in der Unterscheidung der Alerts zu trainieren, ist ein wesentliches Qualitätsmerkmal des V-SOC.

Darüber hinaus werden OEMs und Betreiber großer, weltweit verteilter Flotten nur dann die nötige Zuverlässigkeit und Resilienz erreichen, wenn sie in verschiedenen Regionen auf verteilte Security Operations Center zurückgreifen können – allein schon, um länderspezifisch unterschiedliche rechtliche Anforderungen (z.B. beim Datenschutz) zu erfüllen und die angemessene Risikobehandlung ihrer Flotten im Feld gegenüber Genehmigungs- und Aufsichtsbehörden jederzeit nachweisen zu können. Kosteneffizient möglich wird das, indem sie sich dabei der für den Bereich der Enterprise IT weltweit vorhandenen Security Operations Center und Best Practices bedienen. Diese sind heute bereits in der Lage, die hohen Datenmengen einer flottenweiten Angriffserkennung adäquat zu verarbeiten und ein den Vorgaben der neuen Security-Regelwerke entsprechendes Schutzlevel über die gesamte Lebenszeit des Fahrzeugs zu realisieren.

SHARE THIS

Language:
ISO 9001:2015 Home