青骥原创编译 | 《汽车信息安全第三方合作与管理指南》 – 作者:汽车信息安全

3.png

Hi同路人,这里是青骥信息安全公益小组,上一篇与您分享了关于汽车信息安全应急响应的最佳实践,文中对应急响应的四个关键阶段: 准备、识别、修复、关闭进行了详细内容的介绍,各位小伙伴也应该初步了解了信息安全应急响应包含的基本要素。本篇将与您分享业内权威资料较少,但对于OEM较为重要的《汽车信息安全第三方合作与管理指南》。再次感谢大家的反馈,也希望大家多提宝贵建议,本期统筹编译为公益翻译团荣誉创始成员 黄镇 @镇长theoneandone,校稿为荣誉创始成员 韩方旭@油落西裤,为他们的无私奉献点赞。

  

— 主理人:李强 @Keellee

图片1.png

本 篇 概 述

昨天的推文,我们重点介绍了应急响应最佳实践指南,核心关键词是事件。通过阐述准备、识别、修复和关闭四个关键阶段内容,以此说明针对事件本身的应急响应程序和方法,然后AUTO-ISAC各组织成员结合实践经验,在每个环节都提出了相应的最佳实践,供业界参考,这也是BP的整体思路。

言归正传,我们今天要给大家介绍BP系列的第二部分《第三方合作与管理》。本期的关键词是组织合作关系,以汽车行业的角度出发,如何处理与第三方的合作问题? 这是本篇要解决的问题。

相关第三方

何为第三方?指两个相互联系的主体之外的某个客体,叫作第三方。在整个网联汽车信息安全生态系统中,OEM与其供应商体系也就是我们说的两个主体,至于某个客体也就是我们要介绍的第三方,以下是BP提到的第三方。

首先是行业组织,比如汽车行业协会、标准委员会、信息共享平台AUTO-ISAC等行业联盟,以支持汽车信息安全行业发展工作。然后是政府部门,承担信息安全监管作用,同时进行政策决策,推动汽车网络安全发展。当然还有学术界,比如高校、科研机构,负责相关项目的研究和测试,还有很多独立的研究人员,比如白帽黑客。最后就是媒体,主要建立汽车与潜在客户的有效沟通渠道,提高客户威胁意识,识别和响应企业信息安全相关的新闻。

开放程度

不管是在组织业务开展还是部门规划方面,整个生态系统所涉及的第三方都是我们需要考虑进行交互的。谈完了谁是第三方的问题,接下来我们该聊聊,如何与第三方相处?开放程度到底如何?

本文定性的给出了对第三方开放程度的参考,主要分三类:限制性参与,中等级别的参与,广泛的参与。为什么要这么定义呢?文档给出了理由,比如限制第三方参与,主要考虑内部信息的保密性,同时尚无能力管控第三方;中等级别的参与,主要是为了获取内部缺乏的外部能力,提高内部暂时无法提升的能力,而广泛性参与,是希望提升产业与合作伙伴的成熟度,建立行业的地位和名声。

换句话说,所谓的开放程度,也就是与第三方保持合适的距离,管控能力有限,又有核心信息不想让别人看到,于是与限制第三方参与。中间状态,也就是有所求,希望能够通过与外部合作提升自身的能力,达到双赢的状态,广泛性参与合作其实就是相当于自己能力非常可以了,也很自信,需要广泛的结交朋友,以赢得口碑和行业地位,比如积极从国内外论坛活动,牵头各项标准的制定,甚至能影响政府政策走向,这都是实力到一定程度的表现。

风险与益处

说完了如何保持适当距离的问题,然后就是真的要与第三方合作,到底有哪些风险,又有哪些益处呢? 风险可能包括:

资源分配管理不当,导致组织其他部分的缺陷

分享错误或误导性信息,可能会消耗资源,削弱网络防御姿态

破坏既定战略或流程

知识产权或其他敏感信息的意外泄露

本来要在合适时间提供信息给受影响方以提出应对措施,但过早地暴露行业漏洞

增加共享信息的层次,需要时间来过滤和优先处理问题

不一致或不清晰的报告和响应协议导致的混乱

与第三方合作的益处当然是降低汽车信息安全风险,益处主要包括以下内容:

透过集体情报,例如弱点、威胁、行动、工具、技术、协议和妥协指标,提高对威胁情况的认识

了解潜在的汽车网络事件背景

评估该组织网络态势的潜在风险

改善事故响应能力

建立良好的关系和沟通渠道,以备不时之需,这有助于加快响应速度

整合网络安全专业知识,协助开发汽车网络安全解决方案

将传统IT的安全原则应用于网联汽车生态系统的相关元素

确定可供选择的测试策略、技术和解决方案

传播相关知识给汽车网络安全生态系统的利益相关者(例如业务伙伴、经销商、政府组织),以减轻潜在的全行业风险

寻求对产品网络安全能力的独立评估

与同类机构分享最佳作业方法和标准

扩大对邻近技术的使用

了解以往的经验、策略和解决方案

参与行业基准制定以告知网络优先级

当然除以上内容外,还可以通过与第三方合作提高业务绩效,帮助组织降低成本。

总结

文档最后一章节的内容就是最佳实践内容本身了,包括信息共享、安全活动、项目三个部分的最佳实践,由于篇幅所限,就不跟大家逐一展开具体内容,详情还请下载相应的译稿。

最后再总结下,我们从第三方都有哪些组织结构,到如何把握与第三方的关系距离,限制,中等参与,或者广泛参与呢? 接着说明了与第三方合作的风险和益处,接着简单引出了与第三方合作参与的信息共享、安全活动、项目最佳实践,由此完整的给出与第三方的合作与管理的建议。

以上,希望对大家阅读原文或译稿有所帮助,如有问题,欢迎探讨交流,谢谢!

本文及系列中文编译作品版权归青骥信息安全公益翻译团所有

欢迎您转载分享通过公众号或只是星球回复建议

本期全文PDF版本将在本星球独家发布全,预览详见后文

这是我们与您共建共享的公益知识星球,感谢您的持续关注

这里有免费的干货资料 & 200+ 精英小伙伴

每日不间断放送的汽车及信息安全干货&资讯

640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

下为全文预览

中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_00.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_01.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_02.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_03.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_04.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_05.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_06.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_07.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_08.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_09.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_10.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_11.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_12.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_13.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_14.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_15.png中文_Auto-ISAC-BPs-第三方合作与管理最佳实践_青骥信息安全公益小组-v1.3.2_16.png

微信图片_20200412003255.gif

青骥原创编译 | 《汽车信息安全应急响应指南》 

青骥原创编译 | 《汽车信息安全执行摘要》中文编译版本概述及全文首发

创事记 | 除了免费放送100+的公益资料干货之外,我们还想 …

行业标准 | 网络数据安全标准体系建设指南 技术文章 l 汽车数字钥匙解决方案

标准介绍 l 车载网络设备信息安全技术要求汽车风险评估方法探讨

重磅发布:2020全球智能网联汽车信息安全报告 

信息安全龙头“360”被曝裁员,比例为15%到20%?

 Hackers Can Clone Millions of Toyota, Hyundai, and Kia Keys 

《网络与信息安全学报》最新论文:基于同态加密和区块链技术的车联网隐私保护方案 

《网络与信息安全学报》最新论文:基于通信特征的 CAN 总线泛洪攻击检测方法

本站欢迎投稿并提供免费定制化行业资料搜集,反馈建议及合作烦请关注公众号

(星球提问或微信后台回复关键词:资料获取

 再次感谢您关注汽车信息安全 相关动态,目前本站除了公众号之外,还有同名的FreeBuF专栏、知识星球、微博以及头条号

希望伴君一路同行,做汽车信息安全知识的践行与传播者

01.jpg


来源:freebuf.com 2020-04-16 11:18:11 by: 汽车信息安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论