車両用SOC: Upstream C4を利用したインシデント検知と対処
[Transcript]
このプレゼンテーションでは、Upstream SecurityのC4プラットフォームによるインシデント検知と対処を活用したITおよび
OTセキュリティ運用を包括するvSOCまたは車両用SOCのアーキテクチャと運用についてデモンストレーションします。
右側では、一般的なIT SOCが見えます。携帯電話、サーバ、ネットワークデバイスとエンドポイントのようなITネットワーク
の資産が監視されています。左側では、一般的なOT自動車ネットワークが見えます。その中での監視対象は、テレマティクス
サーバ (車両に往復してメッセージの送信と受信を実施)、車両自体、各種のモビリティサービスに加えて車両のAPIとセンサー
があります。
IT環境では、資産が内部および外部から脅威を検知するように設計されたファイアウォール、エンドポイントセキュリティなどの
ITサイバーセキュリティ検知製品に保護されます。OT環境では、資産が車両クラウド型サイバーセキュリティソリューション
であるUpstreamのC4プラットフォームによって保護されます。
ITおよびOTソリューションに検知されたイベントとインシデントは、SIEMソリューションによって集約されてから、SOCで
トレーニングを受けたアナリストによって調査され、トリアージが行われます。加えて、そのソリューションは一般的に
潜在的な脅威を緩和するために必要なアクションを取るワークフロー製品も含まれます。
さて、車両に対するサイバー攻撃の一例と、vSOC内における検知・トリアージ・緩和のライフサイクルについて見てみましょう。
– ハッカーがリモートでテレマティクスサーバを乗っ取るための脆弱性を悪用します。乗っ取ったら、ハッカーは機密データを
窃取、車両位置を追跡、そして複数の車両に対する悪質な攻撃を仕掛けることができます (例えば、ドアの開錠やエンジン停止
するためのリモートコマンドを送る)。その結果は、サービス全体に影響を与える可能性があります。
– Upstreamのクラウド型プラットフォームは。悪質な攻撃を検知し、ダッシュボードにインシデントを表示します。ここで見える
通り、このシナリオでは高いリスクのインジケータを付けています。
– Upstream C4の車両用SIEMモジュールとIT環境のSIEMへのシームレスな連携を活用して、インシデントが集約され、ITのSIEM
ダッシュボードに現れます。
– これでは、SOCアナリストが緩和計画を判断するために深層にわたる調査と解析を行ったり、攻撃のレメディエーションを
行い、車両とサービス全体への影響度を緩和する予め提示されたプレイブックを引き起こすワークフローを使ったりする
ことができます。