Hi同路人,这里是青骥信息安全公益小组,上一篇与您分享了关于汽车信息安全应急响应的最佳实践,文中对应急响应的四个关键阶段: 准备、识别、修复、关闭进行了详细内容的介绍,各位小伙伴也应该初步了解了信息安全应急响应包含的基本要素。本篇将与您分享业内权威资料较少,但对于OEM较为重要的《汽车信息安全第三方合作与管理指南》。再次感谢大家的反馈,也希望大家多提宝贵建议,本期统筹编译为公益翻译团荣誉创始成员黄镇@镇长theoneandone,校稿为荣誉创始成员 韩方旭@油落西裤,为他们的无私奉献点赞。

-- 主理人:李强 @Keellee

本篇概述

昨天的推文,我们重点介绍了应急响应最佳实践指南,核心关键词是事件。通过阐述准备、识别、修复和关闭四个关键阶段内容,以此说明针对事件本身的应急响应程序和方法,然后AUTO-ISAC各组织成员结合实践经验,在每个环节都提出了相应的最佳实践,供业界参考,这也是BP的整体思路。

言归正传,我们今天要给大家介绍BP系列的第二部分《第三方合作与管理》。本期的关键词是组织合作关系,以汽车行业的角度出发,如何处理与第三方的合作问题? 这是本篇要解决的问题。

相关第三方

何为第三方?指两个相互联系的主体之外的某个客体,叫作第三方。在整个网联汽车信息安全生态系统中,OEM与其供应商体系也就是我们说的两个主体,至于某个客体也就是我们要介绍的第三方,以下是BP提到的第三方。

首先是行业组织,比如汽车行业协会、标准委员会、信息共享平台AUTO-ISAC等行业联盟,以支持汽车信息安全行业发展工作。然后是政府部门,承担信息安全监管作用,同时进行政策决策,推动汽车网络安全发展。当然还有学术界,比如高校、科研机构,负责相关项目的研究和测试,还有很多独立的研究人员,比如白帽黑客。最后就是媒体,主要建立汽车与潜在客户的有效沟通渠道,提高客户威胁意识,识别和响应企业信息安全相关的新闻。

开放程度

不管是在组织业务开展还是部门规划方面,整个生态系统所涉及的第三方都是我们需要考虑进行交互的。谈完了谁是第三方的问题,接下来我们该聊聊,如何与第三方相处?开放程度到底如何?

本文定性的给出了对第三方开放程度的参考,主要分三类:限制性参与,中等级别的参与,广泛的参与。为什么要这么定义呢?文档给出了理由,比如限制第三方参与,主要考虑内部信息的保密性,同时尚无能力管控第三方;中等级别的参与,主要是为了获取内部缺乏的外部能力,提高内部暂时无法提升的能力,而广泛性参与,是希望提升产业与合作伙伴的成熟度,建立行业的地位和名声。

换句话说,所谓的开放程度,也就是与第三方保持合适的距离,管控能力有限,又有核心信息不想让别人看到,于是与限制第三方参与。中间状态,也就是有所求,希望能够通过与外部合作提升自身的能力,达到双赢的状态,广泛性参与合作其实就是相当于自己能力非常可以了,也很自信,需要广泛的结交朋友,以赢得口碑和行业地位,比如积极从国内外论坛活动,牵头各项标准的制定,甚至能影响政府政策走向,这都是实力到一定程度的表现。

风险与益处

说完了如何保持适当距离的问题,然后就是真的要与第三方合作,到底有哪些风险,又有哪些益处呢? 风险可能包括

  • 资源分配管理不当,导致组织其他部分的缺陷

  • 分享错误或误导性信息,可能会消耗资源,削弱网络防御姿态

  • 破坏既定战略或流程

  • 知识产权或其他敏感信息的意外泄露

  • 本来要在合适时间提供信息给受影响方以提出应对措施,但过早地暴露行业漏洞

  • 增加共享信息的层次,需要时间来过滤和优先处理问题

  • 不一致或不清晰的报告和响应协议导致的混乱

与第三方合作的益处当然是降低汽车信息安全风险,益处主要包括以下内容:

  • 透过集体情报,例如弱点、威胁、行动、工具、技术、协议和妥协指标,提高对威胁情况的认识

  • 了解潜在的汽车网络事件背景

  • 评估该组织网络态势的潜在风险

  • 改善事故响应能力

  • 建立良好的关系和沟通渠道,以备不时之需,这有助于加快响应速度

  • 整合网络安全专业知识,协助开发汽车网络安全解决方案

  • 将传统IT的安全原则应用于网联汽车生态系统的相关元素

  • 确定可供选择的测试策略、技术和解决方案

  • 传播相关知识给汽车网络安全生态系统的利益相关者(例如业务伙伴、经销商、政府组织),以减轻潜在的全行业风险

  • 寻求对产品网络安全能力的独立评估

  • 与同类机构分享最佳作业方法和标准

  • 扩大对邻近技术的使用

  • 了解以往的经验、策略和解决方案

  • 参与行业基准制定以告知网络优先级

当然除以上内容外,还可以通过与第三方合作提高业务绩效,帮助组织降低成本。

总结

文档最后一章节的内容就是最佳实践内容本身了,包括信息共享、安全活动、项目三个部分的最佳实践,由于篇幅所限,就不跟大家逐一展开具体内容,详情还请下载相应的译稿。

最后再总结下,我们从第三方都有哪些组织结构,到如何把握与第三方的关系距离,限制,中等参与,或者广泛参与呢? 接着说明了与第三方合作的风险和益处,接着简单引出了与第三方合作参与的信息共享、安全活动、项目最佳实践,由此完整的给出与第三方的合作与管理的建议。

以上,希望对大家阅读原文或译稿有所帮助,如有问题,欢迎探讨交流,谢谢!

下为全文预览

青骥信息安全公益翻译团本期成员

编译:@镇长theoneandone

主编:@Vincent Yang

责编:@油落西裤

主理人@Keellee

声明:本文来自汽车信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。