使用 Splunk 推動汽車安全營運中心 (vSOC)

在 2022 年，一名德國安全研究人員宣稱他已經成功地從遠端控制了超過 25 輛電動汽車。藉此，他能夠使用這些車輛的許多內部功能，例如查詢車輛位置、停用防盜功能、解鎖車門，以及啟動引擎。這個安全漏洞並不是來自於車輛系統本身，而是由一個開放原始碼的配套應用程式所導致的。這個應用程式自帶一個網頁儀表板，讓車主可以在輸入有效的 API 金鑰後從遠端監控他們的車輛。但這個應用程式使得數百個儀表板暴露在網際網路上，而且安全強度不夠。有心人士可以取得存取權限、解開 API 金鑰，並從遠端控制這些車輛。

這個例子絕非是在連線能力和軟體定義車輛市場不斷成長時的單一事件。由於 WiFi 和行動電話網路可提供持續的連線能力，這些汽車成為了威脅行動者的目標。而且因為這些車商暴露於威脅之下，使得他們面臨的政策、財務和信譽風險倍增。車商必須確保車輛系統的安全性，以防止汽車事故、駕駛人傷害、車輛操作失誤或其他危險。因此，車輛安全營運中心 (vSOC) 迅速崛起。Splunk 將數位韌性視為自己的使命，我們正在與汽車製造商合作來加快這一項轉變，實現 vSOC。

數位馬力
如今的高級汽車不僅要連線起電腦系統，還有引擎和車輪。這些軟體定義車輛在電子控制單元 (ECU)、感應器、攝影機、雷達和激光雷達裝置之間，使用了多達一億多行的程式碼。除此之外，車輛上的娛樂資訊系統是由先進的應用程式處理器 (APU) 或圖形處理器 (GPU) 提供動力，具備高達 10 兆次浮點運算的運算能力。車商能根據上述元素為客戶提供差異化的數位體驗。

結果，軟體定義車輛或許是消費者可以買到的最複雜的軟體平台。但也因為如此，它們讓自己成了多種潛在攻擊的目標。例如 API 攻擊在 2022 年就成長了 380%，佔已知攻擊的 12%。和我們之前討論過的其他範例不同，這些 API 攻擊大多是由黑帽駭客所發動的。

實際應用方面
那麼，Splunk 在這個場景中的角色是什麼呢？車商通常會透過雲端服務提供商來在雲端建立他們的車輛應用環境。藉此，他們可以對移動中的數百萬輛車輛進行通訊和控制。為了幫助監控和保護這個環境，大量的雲端原生日誌將會被傳送到 Splunk Cloud 進行偵測和回應。此外，車商會收集來自車輛內部系統的遙測數據 (有時是透過第三方進行)，然後將日誌傳送到 Splunk 進行分析。這使得 Splunk 能夠全面了解鎖定車輛以及雲端應用環境的風險。

最後，車上還有大量的第三方服務生態系統。這些服務提供了導航到將媒體串流直接傳輸到車輛的各種功能。由於已經有多個透過這些服務從遠端存取車輛的實際案例，Splunk 將透過車輛遙測監控車輛是否有遭到入侵的跡象。

推動 vSOC 使用案例
現在是時候坐上駕駛座，解決幾個重要的車輛安全營運中心 (vSOC) 使用案例了。Splunk Enterprise Security 提供了超過一千個與雲端和端點安全相關且開箱即用的偵測功能。Splunk 平台的優勢在於能夠建立任何使用案例，無論規模有多麼龐大，無論對象是什麼資料。在新興的 vSOC 市場中，無疑地您將成為一位先驅。儘管潛力無限，以下先列舉出一些 Splunk 可以推動的使用案例：

• 利用機器學習來動態監控雲端應用程式環境中的異常情況，包括 API 請求激增、ACL 活動、安全群組活動、貯體刪除等...
• 透過監控認證通訊中的惡意雜湊值，偵測鎖定汽車 PKI 系統的潛在威脅活動
• 利用行為異常進行偵測，例如「首次」存取車輛內部或雲端系統的行為
• 自動處理特定領域的威脅情報，比如新興的 Auto-ISAC，以偵測出惡意活動
• 偵測試圖使用經過 Root 或越獄手機來執行與汽車相關的行動應用程式的行為
• 偵測來自與使用者行動裝置位置不符的地點所進行的遠端車輛操作 (例如遠端解鎖)
• 監控竄改內部系統或未經授權的韌體更新行為

最後，這裡還可以應用安全領域的一個重要經驗。若要獲得深入的可見性，您必須偵測所有攻擊管道和來自多個來源的資料。毫無疑問地，這意味著您必須處理超過人眼能力的訊號。此時可以採用一個以風險為中心的方法。透過 Splunk 的風險型警示功能，您可以將多個訊號關聯成一個高度可信的事件。這有助於您過濾雜訊，迅速啟動您的 vSOC 計畫。

想要了解更多資訊？看看 Splunk 如何幫助組織建立數位韌性，或者立刻聯絡我們！

作者
Jim Goodrich
Jim Goodrich 是 Splunk 的資深系統工程經理。他在科技行業的 20 年經驗中擔任過多種職務，包括 IT架構、售前工程、產品管理和支援。他將對技術的熱情與真誠的目標結合在一起，致力於幫助客戶取得成功。