本文作者:极氪软件及电子中心-Oliver Xiao
TARA分析帮助开发人员系统性地找出目标存在的安全问题,然后妥善地处置这些问题,重点在于系统性,而不是纯靠开发人员的灵光一闪。 ISO 21434定义的TARA规范示意图如下。“风险值 = 攻击可行性 x 损害程度”作为中心思想,以此判定CAL等级,确认处置措施。攻击树分析是核心的环节,表述了抽象的威胁场景具体有哪些实现路径。下面简要分析如何做攻击树模型。
图1. TARA方法论
攻击树模型的一个总要前置条件是确认安全目标。这里以整车电子电气架构作为一个示例去考虑系统边界,暴露在最外侧的是各种物理接口和传感器,再往内就是各种通讯总线,处于端点的是控制器。从信息交互实体和传播路径考虑,边界内的主要的安全资产可以分类为:
- 各类物理接口
- ECU固件
- 总线通信
- 用户数据
- 密码学相关数据
- 服务或功能
图2. 整车系统边界
安全属性模型,有经典的CIA,还有STRIDE威胁模型(对应6个属性),对于车载网络环境,更适合的是EVITA提出的模型,包含以下安全属性:
- 真实性(身份认证)
- 完整性
- 可用性
- 授权
- 抗否认性
- 新鲜度
- 匿名
- 机密性
我们将资产和安全属性做一个映射,如下表所示:
资产 |
机密性 |
完整性 |
可用性 |
真实性 |
授权 |
不可否认性 |
新鲜度 |
匿名化 |
物理接口 |
√ |
√ |
√ |
√ |