2. Asset identification
對系統(tǒng)中的資產(chǎn)進行識別�����,資產(chǎn)一般是系統(tǒng)中有價值的組件����、數(shù)據(jù)等,一般將會結(jié)合相應(yīng)的損害場景(Damage scenarios)進行分析�����。分析系統(tǒng)中各個實體的每種安全屬性被破壞時會帶來什么損害會有助于損害場景的分析�����。這個過程一般是頭腦風(fēng)暴,經(jīng)驗豐富的安全工程師和充分的溝通有助于保證分析的完整性����。
損害場景舉例:
· 在靜止?fàn)顟B(tài)電池拒絕接受啟動命令從而無法啟動電池。
· 由于網(wǎng)關(guān)與CAN收發(fā)器之間的通信被攻擊��,電池在靜止?fàn)顟B(tài)非預(yù)期的啟動����。
安全屬性(Security Objective)也是傳統(tǒng)網(wǎng)絡(luò)安全中經(jīng)常使用的概念,網(wǎng)絡(luò)攻擊一般都是通過破壞一個或者多個安全屬性來實施����,不同屬性一般攻擊的方式也不一樣。常用的安全屬性包括CIA��,即機密性(Confidentiality)��、完整性(Integrity)�����、可用性(Availability)����,同時根據(jù)項目需要�,也可以添加一下其它安全屬性�,如真實性(Authenticity)等。
安全屬性舉例:
· 由于網(wǎng)關(guān)與CAN收發(fā)器通信的身份真實性被攻擊�,電池在靜止?fàn)顟B(tài)非預(yù)期的啟動。
3. Impacting rating
嚴(yán)重性評估��,這是用來評估風(fēng)險等級的二要素之一����,可以基于已經(jīng)評估出來的損害場景進行分析��。由于未發(fā)生事件的不確定性與一些資產(chǎn)定量分析的困難性(如企業(yè)形象�、數(shù)據(jù)商業(yè)價值等),嚴(yán)重性評估借鑒一些方法論進行定性評估��。一般分為ISO/SAE 21434中建議分為四個維度:
· 人身安全影響(參照ISO 26262)
– 重大:重大傷害���,危及生命
– 較重:嚴(yán)重傷害�����,但可能幸存
– 中等:輕微傷害
– 可忽略:沒有傷害
· 經(jīng)濟損失(參考BSI-Standard 100-4����,主要以企業(yè)維度)
– 重大:企業(yè)可能直接破產(chǎn)
– 較重:較大損失但不會破產(chǎn)
– 中等:有限損失
– 可忽略:幾乎沒有損失
· 可操作性損失
– 重大:汽車直接無法工作
– 較重:汽車部分功能無法工作
– 中等:汽車部分性能下降
– 可忽略:汽車性能無影響
· 隱私損失(參考ISO/IEC 29100)
– 重大:非常敏感信息,且能夠與個人身份識別信息輕易關(guān)聯(lián)
– 較重:非常敏感信息�,但不易與個人身份識別信息關(guān)聯(lián);敏感信息�,且能夠與個人身份識別信息輕易管理
– 中等:敏感信息,但不易與個人身份識別信息關(guān)聯(lián)�;不敏感但能關(guān)聯(lián)個人身份識別信息
– 可忽略:不敏感且不與個人身份識別信息關(guān)聯(lián)
嚴(yán)重性評估舉例:
· 由于網(wǎng)關(guān)與CAN收發(fā)器通信的身份真實性被攻擊,電池在靜止?fàn)顟B(tài)非預(yù)期的啟動��。
– 人身安全影響:可忽略(其它制動系統(tǒng)仍然有效)
– 可操作性損失:中等(可能在需要使用時電池電力不足)
– 經(jīng)濟損失:較重(可能的需要召回)
– 隱私損失: 可忽略
– 綜合嚴(yán)重性:Serious
4. Threat Identification
威脅識別�����,識別出對損害場景的潛在威脅����,進一步為攻擊可能性評估鋪墊。要評估威脅����,首先需要了解一般都有哪些威脅,可以參考的模型包括微軟的STRIDE模型�,OWASP,IT Security等�。這里采用STRIDE模型:
· Spoofing:身份偽造
· Tampering:信息篡改
· Repudiation:抵賴����,不承認(rèn)自己做過的行為
· Information disclosure:信息泄露
· Denial of service: 拒絕服務(wù)
· Elevation of privilege: 權(quán)限提升
威脅場景舉例:
· 網(wǎng)關(guān)與CAN收發(fā)器通信中身份被偽造���,造成通信的身份真實性被攻擊����,電池在靜止?fàn)顟B(tài)非預(yù)期的啟動
· 后端系統(tǒng)的惡意權(quán)限提升����,造成非法用戶侵入后端系統(tǒng)破壞信息機密性,竊取敏感數(shù)據(jù)���。
5. Attack Path Analysis
對于現(xiàn)代網(wǎng)絡(luò)安全威脅來說,攻擊者一般會通過多個步驟來進行攻擊�����。一開始可能只是利用一個不起眼功能的漏洞���,然后通過這些漏洞一步步的提升自己的權(quán)力��,攻擊到核心的功能�。因此我們根據(jù)具體的威脅建立完整的攻擊路徑以進一步評估攻擊的可能性。
攻擊路徑舉例:
· 網(wǎng)關(guān)與CAN收發(fā)器通信中身份被偽造 ← 網(wǎng)關(guān)軟件代碼完整性被破壞 ← OTA數(shù)據(jù)包完整性被破壞 ← 后端服務(wù)被提權(quán)攻擊
6. Attack Possibility Rating
攻擊可能性�����,我們使用HEAVENS并考慮攻擊時間來進行評估���。該方法主要也是定性的評估�,評估分為5個方面:
· 攻擊時間
– 少于一周
– 少于一個月
– 少于六個月
– 少于三年
– 多于三年
· 攻擊者需要具備的能力
– 外行:普通人照著教程一步一步做就能攻擊
– 熟手:可以使用常用的攻擊工具的人
– 專家:富有經(jīng)驗的安全專家
– 多個專家:一群有經(jīng)驗的安全專家
· 對組件信息的了解程度
– 組件的信息是公開的
– 組件的信息是受限的�,比如只在供應(yīng)商之間傳遞的內(nèi)部信息
– 機密信息,只被內(nèi)部特定團隊獲取
– 高機密信息:只被內(nèi)部少部分人獲取
· 攻擊窗口
– 無限制的����,可用性,時間窗口���,遠(yuǎn)程控制等方面
– 容易的
– 中等的
– 困難的
· 需要的設(shè)備
– 普通設(shè)備
– 特殊設(shè)備����,通過一定方式可以得到
– 定制設(shè)備��,需要專門定制生產(chǎn)
– 多種定制設(shè)備
需要注意的是��,與嚴(yán)重性評估一樣��,可能性評估中一些維度同樣并不是顯而易見就能得到結(jié)果,很多需要參考多方面的數(shù)據(jù)�。
攻擊可能性舉例:
· 網(wǎng)關(guān)與CAN收發(fā)器通信中身份被偽造,造成通信的身份真實性被攻擊�,電池在靜止?fàn)顟B(tài)非預(yù)期的啟動
– 攻擊時間:少于六個月
– 攻擊者能力:可以使用常用的攻擊工具的人
– 對組件了解程度:公開的標(biāo)準(zhǔn)
– 攻擊窗口:容易的
– 需要的設(shè)備:普通設(shè)備
– 綜合攻擊可能性:High
7. Risk Determination
風(fēng)險等級評估,綜合參考嚴(yán)重性與可能性的等級�����,對風(fēng)險等級進行綜合評定����,評估出1-5級風(fēng)險等級。
風(fēng)險等級評估舉例:
· 網(wǎng)關(guān)與CAN收發(fā)器通信中身份被偽造����,造成通信的身份真實性被攻擊,電池在靜止?fàn)顟B(tài)非預(yù)期的啟動
– 嚴(yán)重性:Serious
– 攻擊可能性:High
– 風(fēng)險等級:level 4
8. Risk treatment
有了風(fēng)險等級后��,就可以考慮選擇風(fēng)險處置方式�����,一般的處置方式包括:
· 降低風(fēng)險
· 規(guī)避風(fēng)險
· 轉(zhuǎn)移風(fēng)險
· 接受風(fēng)險
風(fēng)險處置方式不是一個單一的風(fēng)險��,可能需要考慮成本���、公司策略�����、客戶要求等多個方面綜合考慮����。
風(fēng)險處置實踐舉例:
· 網(wǎng)關(guān)與CAN收發(fā)器通信中身份被偽造��,造成通信的身份真實性被攻擊��,電池在靜止?fàn)顟B(tài)非預(yù)期的啟動 → 降低風(fēng)險
· 后端系統(tǒng)的惡意權(quán)限提升��,造成非法用戶侵入后端系統(tǒng)破壞信息機密性�,竊取敏感數(shù)據(jù) → 轉(zhuǎn)移風(fēng)險到后端服務(wù)團隊
通過上文中所有的TARA步驟,我們就能夠提取出進一步細(xì)化的安全需求�����、優(yōu)先級與其相應(yīng)的控制策略�,例如:
需求描述:對CAN通信中身份偽造攻擊進行防御,防止CAN通信中網(wǎng)關(guān)身份的真實性被破壞�,電池非預(yù)期的啟動。
嚴(yán)重性等級:3��,可能性等級:4,風(fēng)險等級:4�����,控制策略:降低風(fēng)險���。
