梆梆安全研究院 车联网检测专题之一| 七大执行步骤详解如何进行 TARA 分析
作者: 日期:2022年12月08日 阅:2,230

2022年10月28日,工信部装备司公开征求对《道路机动车辆生产准入许可管理条例(征求意见稿)》的意见,条例指出“智能网联汽车应当符合预期功能安全、功能安全、网络安全和数据安全相关标准、技术规范要求”,否则将无法在国内销售。当前,汽车网络安全强制国家标准《汽车整车信息安全技术要求》即将推出,标准明确了车辆本身的网络安全防护基线,并给出了相应的测试方法。

随着汽车电动化、网联化、智能化交融发展,车辆运行安全、数据安全和网络安全风险交织叠加,在车辆网络安全合规准入时代,如何验证车辆是否满足法规的要求充满挑战。梆梆安全研究院策划的车联网检测专题文章将围绕汽车网络安全检测的应用场景,从车联网常见测试技术进行详细梳理和展开分析,诚邀您持续关注。

什么是 TARA

TARA,全称 Threat Analysis and Risk Assessment,威胁分析与风险评估。是汽车电子电气架构中常用的网络安全威胁分析与风险评估的方法。TARA 从道路交通参与者角度,确定道路交通参与者遭受威胁场景影响的风险程度。

TARA 的执行步骤

执行 TARA 时通常会涉及 7步,这7步的顺序并不固定。ISO/IEC 21434标准中所推荐的 TARA 执行流程如下:

1.   资产识别

2.   影响评级

3.   威胁场景识别

4.   攻击路径分析

5.   攻击可行性评级

6.   风险等级判定

7.   风险处置决策

下文将详细介绍上述每一步流程,通过提供的示例可以创建适合自己的模板,以便在项目中执行 TARA。

1 资产识别

资产是指本身有价值的对象,或者能产生价值的对象。这里资产可以是实体资产或数据资产。在进行 TARA 分析时,可使用项目定义和网络安全规范来作为该任务的支持文档。通过数据流图或预定义分类等方法来识别出具有网络安全属性的资产,然后进一步分析其网络安全属性被破坏时可能潜在的损害场景,这里损害场景指会对用户造成的伤害和不利后果的场景。最后资产识别的输出内容包括资产清单、其网络安全属性和损害场景。

示例1 TARA 分析时的资产识别

2 影响评级

影响评级的先决条件是确定损害场景。需要分析每种确定的损害场景可能造成的后果。可以从安全、财务、运行、隐私这 4 方面来进行影响评级,其可能的影响等级可分为严重、重大、中等或可忽略。最终该损害场景的影响等级取这 4 个方面的最大影响值作为其总体的影响等级。

示例2 损害场景从4方面影响评级

3 威胁场景识别

威胁场景可以从已识别的资产和损害场景中识别出来,它是资产被破坏的原因,同时也是导致损害场景的原因。

注意:一个损害场景可以对应多个威胁场景,一个威胁场景可以导致多个损害场景。

示例3 威胁场景从损害场景中识别

4 攻击路径分析

应对每个威胁场景进行分析,以确定其攻击路径,攻击路径应与可被攻击路径实现的威胁场景相关联。对于攻击路径的识别可分为两种方法,一种为自顶向下的方法,通过分析实现对应威胁场景的不同方法来推断攻击路径。另外一种为自底向上的方法,从漏洞出发, 如果该攻击路径可导致威胁场景,则识别出攻击路径。

示例4 从威胁场景确定攻击路径

攻击可行性评级

可使用基于攻击潜力的方法来评估攻击的可行性,将攻击难易程度分为高、中、低、很低这4个等级,并从下面5个维度来进行评估。

  • 花费时间,指从识别该漏洞,到成功利用该漏洞的时间。分为小于等于1天、小于等于1周、小于等于1月、小于等于6月、大于6月这5个等级。
  • 专业能力,与攻击者的能力相关,与他们的技能和经验相关。分为非专业、熟练、专家、多个专家这4个等级。
  • 项目或组件的知识,与攻击者获得的有关项目或组件的信息量有关。分为公开信息、限制信息、机密信息、绝密信息这4个等级。
  • 机会窗口,与成功执行攻击的访问条件(时间、类型)有关。它结合了访问类型(例如逻辑和物理)和访问持续时间(例如无限和有限)。分为无限、容易、中等、困难这4个等级。
  • 设备,与攻击者用于发现漏洞和执行攻击的工具有关。分为标准、专业、定制、多个定制这4个等级。

依据ISO/IEC21434中对每个评估维度等级定义的数值进行评估,并给出合适的等级参数,最后汇总值,并参考下面矩阵表评估该攻击可行性的最终等级。

攻击可行性的最终等级矩阵表

示例5 基于攻击潜力进行攻击可行性评估

6 风险等级判定

威胁场景的风险值可以参照以下矩阵表,依据其影响等级和攻击可行性等级来评估其风险等级。

威胁场景的风险值矩阵表

最终风险等级分为1-5个等级,其中1级表示风险值极低,5级表风险值极高。

7 风险处置决策

对于每个威胁场景的风险,可以有如下 4 种风险处理方法。

  • 消除风险,通过消除风险源来避免风险,或者决定不开始或继续进行引起风险的活动;
  • 缓解风险,通过提供网络安全目标和概念来降低风险;
  • 分担风险,通过购买保险或与供应商签订风险转移合同来将风险转移出去;
  • 保留风险,通过提供关于风险的网络安全声明来保留风险。

合规引领,安全车联。车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态,呈现蓬勃发展的良好态势。在实际的汽车整车及零部件研发过程中,TARA 并非一蹴而就,它贯穿了整个研发过程。在总体上遵循着渐进明细的规则,随着项目的深入和对产品的了解,TARA 的粒度也会越来越细。通过深入了解 TARA技术,可以帮助更好地打磨汽车合规安全检测的场景化解决方案,牢牢构筑车联网飞速发展的安全基石。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章