強標《汽車整車信息安全技術要求》(以下簡稱GB整車強標)在第6章車輛信息安全一般要求中提到:“車輛生產企業應識別車輛的關鍵要素,對車輛進行風險評估,并管理已識別的風險。”
GB整車強標雖未正式發布,但已在本月順利通過審查。對智能網聯汽車制造商而言,已經到了必須采取行動的緊迫階段。而作為智能汽車網絡安全開發的起點和關鍵基石,汽車威脅分析與風險評估也成了車廠首要任務,無論是進行風險管理還是安全測試,威脅分析和風險評估都是最基礎的一步。
方法論概述
GB整車強標雖然對威脅分析與風險評估提出了要求,但是并未給出具體的方法論,在具體的工程實踐中,還是應該參考ISO/SAE 21434中提出的威脅分析和風險評估的方法及流程,其內容概要如圖1-1所示:
(圖1-1)
完整的TARA分析流程在確定分析對象后,就要對對象進行資產識別,明確我們要分析的網絡安全財產,然后針對這些網絡安全財產進行損害場景識別和威脅場景識別。
損害場景即站在車輛制造商或道路使用者的角度分析資產的安全屬性被破壞后所造成的影響,通過損害場景對車輛制造商或道路使用者造成的影響大小進行評分得出影響等級。
威脅場景是站在攻擊者的角度分析通過采取何種手段,利用什么漏洞可以破壞資產的各個安全屬性并造成影響,根據完成攻擊的難易程度進行評分,得出攻擊可行性等級。
最后綜合影響等級和攻擊可行性等級結果計算最終的風險值,并給出不同的風險處置策略。
本文將結合以往項目經驗,并以ISO/SAE 21434中的方法論為例,對汽車威脅分析與風險評估方法論中的關鍵步驟進行解讀。
評估對象確認
確認評估對象的輸入是整個TARA分析的起點,需要根據業務場景明確相關的分析對象、分析的邊界、功能及系統架構。在此階段的依賴輸入為item definition(項目定義文檔)。
資產識別
完成一個高質量的TARA分析的先決條件就是要準確識別網絡安全相關資產,所謂資產就是具有一個或多個網絡安全屬性的有價值的數據、組件或功能等。
常見安全屬性包括保密性、完整性和可用性,也可根據實際情況進行擴展如:真實性、抗抵賴性、授權和新鮮性等,安全屬性的破壞會導致評估對象的信息安全造成損害的,我們可以認定其為資產,資產也可根據應用場景的不同分為不同的類型,不同類型的資產也會有其特殊的網絡安全屬性,資產及其安全屬性是我們進行威脅與風險評估的關鍵基礎。
損害場景分析
資產識別完成后,我們會得到帶有網絡安全屬性的資產清單,根據不同安全屬性被破壞后對車輛制造商、道路使用者或其他實體所造成的影響確定最終的損害場景。
注:一個安全屬性可以對應多個損害場景。
影響評級分析
影響評級主要從以下四個維度來進行判斷:安全(Safety)、財產(Financial)、操作(Operational)、隱私(Privacy),每個維度包含四個等級,嚴重(Severe)、主要(Major)、中等(Moderate)、可忽略(Negligible),具體評分標準可參考圖1-2:
(圖1-2)
我們在判斷影響等級的時候,四個維度中有一項是嚴重的,那么最終的影響級別就是高,我們可以直接選取最嚴重的結果作為最終的判定結果。
威脅場景分析
威脅場景分析需要識別和判斷攻擊者使用何種方式破壞資產的安全屬性導致損害場景的產生。我們應站在攻擊者視角,盡可能全面地識別和發現攻擊方法。
識別威脅場景我們可以借助一些威脅分析模型,比如:STRIDE、EVITA、TVRA、DREAD等,幾種模型各有優勢及側重點,針對汽車行業的威脅分析與風險評估,推薦使用微軟的STRIDE模型,通過將資產的安全屬性與威脅相匹配,進而根據威脅的定義識別出與資產相關的威脅,確保在分析過程中不會忽略已知的攻擊。
注:一個損害場景可以對應多個威脅場景,一個威脅場景也可以導致多個損害場景。
攻擊路徑分析
攻擊路徑分析就是將威脅場景中的攻擊方法展開分析;傳統IT行業攻擊思路通常是信息搜集外網打點,從外網進入內網獲取服務器控制權限,再通過橫向擴展獲取局域網內更多服務器的控制權限及數據;智能網聯汽車的攻擊思路亦是如此,基于整車來講,攻擊者的攻擊入口基本上是比較確定的,首先要具備接入車內網絡的權限或者控制云端后臺直接實現遠程控制車輛,當攻擊者獲取接入車內網絡權限后,便可以實施車內網絡分析、車內控制器權限控制、固件及數據的提取。
針對攻擊路徑的分析有兩種方法:自頂向下和自底向上。
自頂向下:根據已知漏洞或相似的組件,推斷出資產或組件的攻擊路徑,可將其視為一種公式化的分析方法,該方法適用于我們分析的對象還未實現,處在概念設計階段的時候較為實用。
自底向上:適用于已經掌握分析對象的詳細架構設計、SBOM及HBOM等的場景,此時可以依據掌握的信息識別出各個分析對象的具體漏洞,通過具體的漏洞信息判斷實際的攻擊路徑。
攻擊可行性分析
攻擊可行性分析主要有三種方法基于攻擊向量、基于攻擊潛力和基于CVSS的方法。
攻擊向量
基于攻擊向量的方法主要是從發起攻擊的位置進行判斷,包含四個方面:遠程(network)、近場(adjacent)、本地(local)、物理(physical)。
攻擊潛力
基于攻擊潛力的方法主要包含五個方面:
1、經歷時間(elapsed time):從識別漏洞到完成攻擊所花費的時間(專家)
2、專業知識(specialist expertises):攻擊者的專業技能和經驗水平
3、對象或組件的知識(knowledg of the item or component):對目標信息的了解程度
4、攻擊窗口(window of opportunity):完成攻擊所需要的條件
5、設備(equipment):攻擊者完成攻擊所需要的工具
具體評分標準參考圖1-3:
(圖1-3)
基于攻擊潛力的方法比較全面但不夠具體,所以當我們采用上文所說的自頂向下的攻擊路徑分析方法時,推薦采用基于攻擊潛力的評分方式。
?CVSS
基于CVSS的方法主要包含四個方面:
1、攻擊向量(attack vector):遠程、近場、本地、物理
2、攻擊復雜度(attack complexity):高、低
3、攻擊權限要求(privileges required):高、低、無
4、是否需要用戶交互(user interaction):需要、不需要
具體評分標準參考圖1-4:
(圖1-4)
基于CVSS的方法更適用于針對每個詳細的漏洞和攻擊方法進行評分,對于確定的攻擊方式評分更加準確具體,所以這種方法適用于上文中提到的自底向上的攻擊路徑分析方式。
風險定級
在完成資產識別和威脅分析之后,我們將使用合適的方法和工具來評估威脅如何導致安全事件的發生,即攻擊的可行性。然后,結合相關損害場景的影響等級,我們可以評估安全事件可能造成的損失,從而確定安全風險。
根據計算出的相關損害場景的影響等級與相應攻擊路徑的攻擊可行性,計算風險值,風險值的計算方法通常采用矩陣法,通過查詢風險矩陣得出最終的安全風險值。具體風險矩陣可參考圖1-5:
(圖1-5)
風險處置決策
在完成風險定級后,根據風險矩陣得出了相應的風險值,對于不同的風險值應該采取不同的處置策略,從而確定風險整改的緊急性和必要性,風險處置決策主要包含以下幾個方面:
1、規避風險(Avoiding the risk):通過消除風險源來避免風險的產生
2、緩解風險(Reducing the risk):通過網絡安全目標和網絡安全需求降低風險的影響
3、轉移風險(Sharing the risk):通過合同分擔風險或通過購買保險轉移風險
4、保留風險(Retaining the risk):風險影響較小或無影響,通過網絡安全聲明說明保留原因
詳細的風險處置方式介紹將于另外篇幅中進行說明。
網絡安全目標
在經過資產識別、損害場景識別、損害影響評級、威脅場景識別、攻擊路徑分析以及攻擊可行性分析后,我們最終得到了資產的相關風險,這些風險會導致資產的網絡安全屬性被破壞,通過確定網絡安全目標來保證資產的安全屬性不被破壞,同時也為后續制定網絡安全需求提供了方向。
網絡安全需求
安全需求顧名思義,就是控制器要滿足網絡安全需要采取的措施,在經過威脅分析和風險評估后,得出了控制器或組件需要采取的控制措施,這些措施是為了保護汽車系統免受網絡攻擊和潛在威脅的影響而需要滿足的一系列技術要求如:機密性、完整性、可用性、身份認證和訪問控制、安全遠程訪問,以及惡意行為檢測和響應等。
提出網絡安全需求后還應對網絡安全需求能否達成網絡安全目標進行確認,通過滿足網絡安全需求可以提高汽車系統的網絡安全性,確保車輛和乘客的安全。
GB整車強標對整車提出了車輛信息安全技術要求,包含外部連接安全要求、通信安全要求、軟件升級安全要求、數據安全要求這幾個方面,車輛制造商和供應商可根據威脅與風險評估結果中得出的網絡安全需求,結合GB整車強標中的信息安全技術要求,形成自己的安全需求規范,用以指導后續項目的開發。
INCHTEK·云馳未來
云馳未來秉承著“讓人與機器安全和諧相處”的理念,專注于為未來的智能汽車提供全生命周期的信息安全解決方案和產品。具備ECU/DCU信息安全開發、整車信息安全正向開發能力,并結合自動駕駛和軟件定義汽車等關鍵技術,基于軟硬結合、車云一體思路,構建智能汽車縱深防御的信息安全體系。
作為智能汽車信息安全技術的引領者,云馳未來已為寶馬、東風汽車、賽力斯、金龍等OEM主機廠和保隆霍富、海拉、恩井汽車、億緯鋰能等Tier1,百度Apollo、京東物流、滴滴、圖森未來、阿里達摩院、三一智礦、文遠知行、輕舟智航、九識智能、云創智行等自動駕駛公司,以及智能網聯示范區提供信息安全整體解決方案。累計為20余家自動駕駛公司、14余家OEM及Tier1提供產品與服務。
圍繞智能汽車信息安全產業,公司積極參與國家智能網聯汽車標準體系和產業生態建設,先后成為汽標委、信安標委、通標委會員單位,入選工信部車聯網安全工作專班,承擔國家級車聯網安全試點項目;與CICV創新中心、芯馳科技、地平線、TUV萊茵、曹操出行、易咖智車、北京交通大學等行業伙伴達成深度戰略合作;與CICV創新中心、東風商用車成立車路云一體化聯合創新實驗室。
