一文解读上汽大众汽车网络安全的应急响应流程

随着智能网联汽车渗透率的快速提升，越来越多的车载组件漏洞为攻击者提供了入侵路径。据悉，中汽数据CAVD漏洞库截至今年8月底，已收录超过3700个漏洞，涉及车型共1000多个，业内“流行”的漏洞重复率更是达到了70%。

与此同时，真实网络攻击数量也逐年攀升，几乎呈现几何级增长。中国工程院院士、清华大学教授***表示，仅今年上半年，针对车联网平台的网络恶意行为已经超过100万次。

在这一背景下，国家对汽车网络安全问题高度重视，针对汽车网络、信息安全的法规、标准陆续出台，用来检验各车企的网络安全综合防护能力的实战演练也逐渐频繁，由上海市网信办和通管局联合举办“磐石行动”就是其中之一。

在今年9月13日-15日举办的“谈思AutoSec第七届中国汽车网络安全周”上，上汽大众网络安全控制与事件管理经理徐彦晨就分享了上汽大众的应急响应流程，以及其在今年6月举办的“磐石行动2023”中的应急演练实践。

上汽大众的应急响应流程

在介绍上汽大众汽车网络安全的应急响应流程之前，徐彦晨表示，现阶段可能很多主机厂在整个汽车网络安全管理体系的架构下，有单独的应急响应流程，但上汽大众是把应急响应流程嵌入到整个架构当中的事件管理模块下面。

上汽大众的体系组织架构图的形成，是基于ISO21434以及国标整车汽车信息技术安全要求的内容。整个体系建设项目启动于2021年7月，在第一次向质管会最高层进行汇报后，陆陆续续也开展了很多自查，包括差距分析、试点审核，以及后面一系列的预审核工作，都是在为2024年年终的体系审核做准备。

早在2021年2月，上汽大众就开始对汽车网络安全事件做收录和处理工作，所以在审核证据当中，最早可以查询到的记录是在这个体系建设项目开始之前。

有的主机厂可能是把网络安全监控和事件管理并在一个部门下面，上汽大众在整个体系建设中，为方便管理，将它们分为两个独立、但又紧密交织的关系模块。

不过，虽然说是两个团队，但用的是一套班子、两块牌子，分别是网络安全监控和网络安全实践管理。

在整个应急响应流程中，上汽大众定义了许多网络安全监控的渠道，有来自集团的输入（上汽集团以及德国大众），也有用户反馈、产品研发、供应商管理、新闻媒体舆论报道、监管部门质询等。

其中，网络安全监控团队负责收集、筛选、传递，并进行汽车网络安全信息的跟踪，当这些信息流转到了事件管理团队这边，他们会做相关性的排查，以确定上汽大众车型是否受影响，在做好分类分级后再做处置。

网络安全实践管理团队处理的事件主要分为车端、后台、以及传统的汽车网络安全相关事件这三类，并根据攻击的难易度、攻击的向量是否可以实现攻击、是网络安全漏洞还是一个正在发生的事件，做进一步分类，最后利用从拦保吸取的经验以及法规要求，形成一套风险等级分析的方法论，并利用其来做风险分级。

“就像我说明的那样，上汽大众的应急响应流程是嵌入在事件管理当中，当常规的事件从信息监控这边流转过来，从信息流转到完成初步分析，我们规定在10天之内，深入分析大概需要20天，从制定措施到措施实施，是在30-50天之内。措施实施后，需要对每一个case进行长达6个月的跟踪，直到所有监控渠道没有新反馈，才可以做经验总结，直至把问题关闭。”徐彦晨说明道。

如果在初步分析阶段，就发现该事件满足了某一特定条件，就会将其升级为紧急case，进而触发应急响应的流程。

关于触发应急响应流程的条件，一共制定了三种，第一种是基于团队总结归纳的方法论得出来的结果，第二种是根据流程及法规的要求，预设一些应急响应的场景，一旦传递过来的信息中有与预设场景相匹配的内容，那么它也会被立即识别为紧急case，第三种就是来自政府的质询。

一旦触发应急响应流程，安全团队就要尽全力去缩减所有上述每一个阶段规定的时间，从初步分析到上报至汽车安全委员会，要在3天之内完成，并且要快速制定临时措施，在深入分析、措施制定、措施实施和有效性检查之前的这些时间，跟常规事件处理的时间相比，整体压缩了近一半。

网络安全攻防实践演练

今年6月，上汽大众参与了由上海市网信办和通管局联合举办的“磐石行动2023”，为积极响应这次活动，上汽大众做了很多准备。

据徐彦晨介绍，上汽大众此次攻防演练的目标有四个。“首先，不言而喻的是，任何一个安全体系应急演练，几乎都是强制性的。虽然《整车信息安全技术要求》中没有明文要求企业执行应急演练，但在《汽车网络安全应急管理指南》中，规定主机厂每年要执行至少一次二级以上的应急演练。此外，通过攻防演练，可以从法规及流程上来检验我们的网络安全流程，这对我们在实际的体系认证中也是很好的证据支撑。”

第二个目标则体现在文化推广层面。众所周知，安全意识很大程度上能决定安全体系到底做到什么程度，而这次应急演练不仅可以丰富文化活动，还可以通过增加企业内外部的曝光，让更多人了解到上汽大众在汽车网络安全方面的积极性和技术力。

三是检验内部安全人员的协同能力以及流程的效率；四是响应政府，建立与政府之间的良好联动。

在本次“磐石行动2023”应急演练中，上汽大众遵循“应急场景实战化、应急机制流程化、应急处置平台化、应急工作可视化”的演练原则，从对实车进行恶意攻击，到车辆入侵检测系统报警，到应急事件处置流转，到事件定位分析与修复，以及最后的应急事件复盘与总结，实现了应急响应全生命周期的攻防演练，使用了例如应急响应作战室、车辆安全态势感知平台、应急响应事件监测平台、车辆入侵检测和防御系统(IDPS)以及车辆软件升级平台等一系列数字化平台与产品。

徐彦晨提到，从整个项目启动，到体系调研，再到演练方案确认，加上演练前的相关人员培训，上汽大众共计耗时近两个月。

为从真实角度出发，上汽大众委托了帆一尚行，对其较为关注的三个组件，做了相关的汽车网络安全渗透测试，然后将渗透测试结果对应到上汽大众不同的网络安全监控渠道，包括IDS的监控、政府窗口对接、Vsoc监控人员、供应商管理、用户管理，来让不同渠道检验他们对待紧急事件发生时的响应能力。而此次演练也以圆满成功收尾。

编辑：黄飞