03
關(guān)鍵概念辨析
為更好地介紹TARA分析�����,接下來(lái)將進(jìn)行關(guān)鍵概念辨析:
1. 資產(chǎn)(Asset):本身有價(jià)值的物體或者能產(chǎn)生價(jià)值的物體。
2. 損害場(chǎng)景(Damage Scenarios����,DS):描述對(duì)象功能與不良后果之間的關(guān)系;對(duì)道路使用者或者相關(guān)資產(chǎn)造成的危害。
3. 影響(Impact):由DS造成的損害、對(duì)身體傷害的嚴(yán)重度程度估計(jì)���。(DS造成為危害的影響)
4. 威脅場(chǎng)景(Threat Scenarios,TS):造成一個(gè)或多個(gè)資產(chǎn)的網(wǎng)絡(luò)安全屬性威脅的潛在原因,以造成損害情景���。(DS的原因)
5. 攻擊路徑(Attack Path):一套惡意的行為以實(shí)現(xiàn)威脅情景。(實(shí)現(xiàn)TS的一種或一組方法,是方法不是物理路徑!)
6. 攻擊可行性(Attack Feasibility):描述了成功執(zhí)行攻擊路徑的難易程度。
7. 風(fēng)險(xiǎn)等級(jí)(Risk Value):結(jié)合影響等級(jí)和攻擊可行性來(lái)描述道路車輛的網(wǎng)絡(luò)安全不確定性的影響。
*注:一個(gè)資產(chǎn)可以有多個(gè)網(wǎng)絡(luò)安全屬性,一個(gè)網(wǎng)絡(luò)安全屬性可對(duì)應(yīng)多個(gè)損害場(chǎng)景���。一個(gè)損害場(chǎng)景可對(duì)應(yīng)多個(gè)威脅場(chǎng)景,一個(gè)威脅場(chǎng)景可對(duì)應(yīng)多個(gè)損害場(chǎng)景�。
04
對(duì)象定義
在進(jìn)行TARA分析前需要完成對(duì)象定義(Item Defintion)來(lái)得到明確的分析范圍��。所謂對(duì)象,就是在車輛級(jí)別實(shí)現(xiàn)功能部件或組件。對(duì)象定義包括目標(biāo)對(duì)象的邊界、功能�����、初步系統(tǒng)架構(gòu)等�。
05
資產(chǎn)定義
本身有價(jià)值的物體,或者能產(chǎn)生價(jià)值的物體,即可定義為資產(chǎn)��。資產(chǎn)可分為實(shí)體資產(chǎn)�����、數(shù)據(jù)資產(chǎn)(包括ECU固件��、通訊數(shù)據(jù)、用戶隱私數(shù)據(jù)、安全算法等)�。識(shí)別資產(chǎn)所帶有的網(wǎng)絡(luò)安全屬性(Cybersecurity Properties)得到帶有網(wǎng)絡(luò)安全屬性的資產(chǎn)���,進(jìn)一步可分析其潛在的損害場(chǎng)景(Damage Scenarios��,DS),這是資產(chǎn)定義所需要輸出的兩大產(chǎn)物。可根據(jù)對(duì)象定義,借助數(shù)據(jù)流圖(Data Flow Diagram���,DFD),從進(jìn)程、數(shù)據(jù)流����、數(shù)據(jù)存儲(chǔ)����、交互方角度考慮得到資產(chǎn)��,也可基于預(yù)定義分類進(jìn)行枚舉��、基于損害場(chǎng)景-威脅場(chǎng)景得到資產(chǎn)。
對(duì)于資產(chǎn)的網(wǎng)絡(luò)安全屬性最常用的確定方法為微軟的STRIDE模型,該模型通過(guò)威脅來(lái)映射到相應(yīng)的網(wǎng)絡(luò)安全屬性�,常用的安全屬性包括完整性-I���、機(jī)密性-C�����、可用性-A。如表1所示。
表1 STRIDE模型->安全屬性映射表
對(duì)于損害場(chǎng)景的描述可包括對(duì)象功能與不良后果之間的關(guān)系�、外部環(huán)境�、對(duì)道路使用或者相關(guān)資產(chǎn)造成的危害�����。
損害場(chǎng)景示例��,假設(shè)資產(chǎn)為車輛行駛顯示數(shù)據(jù),網(wǎng)絡(luò)安全屬性為機(jī)密性��,那么可以得到損害場(chǎng)景為車輛行駛顯示數(shù)據(jù)被盜�,造成乘客隱私信息泄露。如表2所示�����。
表2 損害場(chǎng)景示例表
06
影響等級(jí)評(píng)估
對(duì)于影響等級(jí)的評(píng)定可從以下四個(gè)評(píng)判因子:Safety 安全�����、Financial 財(cái)產(chǎn)、Operational 操作�����、Privacy 隱私(S�����、F���、O����、P)來(lái)評(píng)定DS的危害影響���。每個(gè)評(píng)判因子評(píng)級(jí)分為四檔:Severe 嚴(yán)重的�、Major 重大的、Moderate 中等的�、Negligible 微不足道的��。對(duì)于影響等級(jí)評(píng)估除了標(biāo)準(zhǔn)附錄F以外還可參考J3601。表3-6詳細(xì)展示了ISO 21434中對(duì)于影響等級(jí)的評(píng)定打分�。
表3 Safety 安全評(píng)判因子等級(jí)評(píng)定表
表4 Financial 財(cái)產(chǎn)評(píng)判因子等級(jí)評(píng)定表
表5 Operational 操作評(píng)判因子等級(jí)評(píng)定表
表6 Privacy 隱私評(píng)判因子等級(jí)評(píng)定表
07
威脅場(chǎng)景識(shí)別
威脅場(chǎng)景是資產(chǎn)被破壞的原因���,同時(shí)也是損害場(chǎng)景的原因�����。對(duì)于威脅場(chǎng)景的描述可從以下幾個(gè)角度來(lái)考慮:目標(biāo)資產(chǎn)、資產(chǎn)的安全屬性損失����、安全屬性損失的原因。
威脅場(chǎng)景示例,假設(shè)資產(chǎn)為車輛行駛顯示數(shù)據(jù),網(wǎng)絡(luò)安全屬性為機(jī)密性,那么得到威脅場(chǎng)景為行車顯示數(shù)據(jù)在車內(nèi)傳輸過(guò)程中�,數(shù)據(jù)被篡改���,導(dǎo)致行車顯示數(shù)據(jù)的保密性和私密性被破壞��。如表7所示。
表7 威脅場(chǎng)景示例表
08
攻擊路徑分析
對(duì)于攻擊路徑的識(shí)別分為兩種方法��,一種為自頂向下的方法�,通過(guò)分析實(shí)現(xiàn)對(duì)應(yīng)威脅場(chǎng)景的不同方法來(lái)推斷攻擊路徑,可借鑒攻擊樹(shù)、攻擊圖����,通過(guò)R155進(jìn)行自檢����。另外一種為自底向上的方法,從漏洞(Vulnerability)出發(fā), 如果該攻擊路徑?jīng)]有導(dǎo)致威脅場(chǎng)景�,則可停止該條路徑的分析�。
圖2 攻擊樹(shù)架構(gòu)圖(From EVITAD2.3)
攻擊路徑示例�,對(duì)應(yīng)之前的威脅場(chǎng)景有如下攻擊路徑,設(shè)備接入通信信道和嗅探通信信道包���。如下表8所示。
表8 攻擊路徑示例表
09
攻擊可行性評(píng)估
評(píng)估攻擊可行性在標(biāo)準(zhǔn)附錄G中列舉了三種方法�����,基于攻擊潛力(重點(diǎn)介紹)�、基于CVSS�、基于攻擊向量�。
攻擊潛力方法對(duì)攻擊路徑實(shí)現(xiàn)的難易程度評(píng)估分為四個(gè)等級(jí):High、Medium�����、Low��、Very Low,主要從以下五個(gè)角度考慮:
1. 經(jīng)歷時(shí)長(zhǎng)(Elapsed Time)��,指基于專家知識(shí)來(lái)識(shí)別漏洞到最后利用漏洞所花費(fèi)的時(shí)間���;
2. 專業(yè)知識(shí)(Specialist Expertise)���,指攻擊者的能力包括技能�����、經(jīng)驗(yàn)等;
3. 對(duì)象或組件的知識(shí)(Knowledge of the Item or Component),指攻擊者對(duì)于對(duì)象和組件所需要的信息;
4.窗口期(Window of Opportunity)�,指能夠成功攻擊的條件因素���;
5.設(shè)備(Equipment)��,指攻擊者發(fā)現(xiàn)漏洞或執(zhí)行攻擊所需要的工具。
根據(jù)以上五個(gè)維度的打分,相加得到總分����,然后根據(jù)攻擊可行性等級(jí)評(píng)定表(如表9所示)映射到響應(yīng)的攻擊可行性等級(jí)���。
表9 攻擊可行性等級(jí)評(píng)定表
在標(biāo)準(zhǔn)中采納了CVSS(Common Vulnerability Scoring System�����,通用漏洞評(píng)分系統(tǒng))中可利用度的度量標(biāo)準(zhǔn)。主要從攻擊向量���、攻擊復(fù)雜性、權(quán)限要求和用戶交互四個(gè)維度進(jìn)行評(píng)估�。
基于攻擊向量是對(duì)攻擊可行性評(píng)估比較粗略的方法�����,以攻擊距離遠(yuǎn)近來(lái)評(píng)定�����,主要為網(wǎng)絡(luò)(Network)���、相鄰(Adjacent)�����、本地(Local)、物理(Physical)四個(gè)標(biāo)準(zhǔn)進(jìn)行評(píng)定����。
10
風(fēng)險(xiǎn)等級(jí)判定
危害場(chǎng)景的影響程度和相關(guān)攻擊路徑的可行性通過(guò)風(fēng)險(xiǎn)矩陣運(yùn)行確定一個(gè)風(fēng)險(xiǎn)值����。如果一個(gè)威脅場(chǎng)景對(duì)應(yīng)多損害場(chǎng)景,可為每個(gè)影響等級(jí)確定一個(gè)風(fēng)險(xiǎn)等級(jí)�����。如果一個(gè)威脅場(chǎng)景對(duì)應(yīng)多條攻擊路徑��,則取攻擊可行性最大的���。表10為風(fēng)險(xiǎn)矩陣表�。
表10風(fēng)險(xiǎn)等級(jí)評(píng)定矩陣表
11
風(fēng)險(xiǎn)處置決策
對(duì)于每一個(gè)威脅場(chǎng)景及其風(fēng)險(xiǎn)值����,在標(biāo)準(zhǔn)中建議了以下四種決策:
· 消除風(fēng)險(xiǎn),通過(guò)消除風(fēng)險(xiǎn)源來(lái)避免風(fēng)險(xiǎn),或者決定不開(kāi)始或繼續(xù)進(jìn)行引起風(fēng)險(xiǎn)的活動(dòng)��;
· 緩解風(fēng)險(xiǎn)����,通過(guò)提供網(wǎng)絡(luò)安全目標(biāo)和概念來(lái)降低風(fēng)險(xiǎn)�;
· 分擔(dān)風(fēng)險(xiǎn),購(gòu)買保險(xiǎn)或者與供應(yīng)商簽訂風(fēng)險(xiǎn)轉(zhuǎn)移合同���;
· 保留風(fēng)險(xiǎn),通過(guò)提供關(guān)于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全聲明來(lái)保留風(fēng)險(xiǎn)����。
同時(shí)在R155中也有對(duì)于風(fēng)險(xiǎn)處置的決策可參考����。
