【什么是TARA?】
随着现代汽车技术的迅猛发展,网络安全成为汽车行业一个不可忽视的领域。为了应对日益复杂的网络威胁,ISO/SAE 21434标准和UN R155法规提供了系统化的网络安全管理框架。其中,TARA(威胁分析与风险评估)作为核心方法论,帮助组织识别和缓解潜在威胁,确保车辆的安全和可靠性。
TARA(Threat Analysis and Risk Assessment)是一种用于识别、评估和应对组织信息系统潜在威胁的方法论。通过TARA,组织可以有效地优先处理网络安全风险,分配资源以实现最佳的安全效果。
【网络安全TARA的主要步骤】
1.资产识别
资产为《相关项定义》中组件发生的信号和功能模块,资产的类别分为Data和Function。
进行资产识别时,需识别具有网络安全属性的资产,这些资产的破坏会导致损害场景的发生。资产的网络安全属性包括机密性Confidentiality、完整性Integrity、可用性Availability、真实性Authenticity、授权Authority、不可抵赖性Non-repudiation。
2.损害场景识别
损害场景是指资产的网络安全属性被破坏以后,涉及车辆或车辆功能并影响道路使用者的不良后果,如车辆无法运动、撞到行人、撞到其它车辆、撞到建筑物、车辆使用体验差、车辆起火、发送触电等。
3.损害场景影响等级确定
确定损害场景时需要从道路使用者的人身Safety、财产Financial、操作Operational、隐私Privacy这四个方面综合考虑,考虑在不同损害场景下对这四个影响类别造成的严重程度,严重程度等级分为轻微0,中等1、严重2、非常严重3。确定损害场景的影响等级时,取四类影响等级中最严重的等级。
4.威胁场景识别
识别威胁场景时,需要依据资产识别和损害场景的分析结果,针对攻击行为会破坏某个资产的某个网络安全属性进行具体分析,进而分析造成损害场景的潜在威胁。资产的网络安全属性与威胁(参考微软STRIDE威胁模型)的对应关系如下表所示。
资产网络安全属性与威胁模型对应表
| 资产安全属性 Asset Cybersecurity Properties | 威胁模型 (STRIDE) |
| 真实性 Authenticity | 伪造 Spoofing |
| 完整性 Integrity | 篡改 Tampering |
| 授权 Authority | 提升权限 Elevation of Privilege |
| 不可抵赖性 Non-repudiation | 否认 Repudiation |
| 机密性 Confidentiality | 信息泄漏 Information Disclosure |
| 可用性 Availability | 拒绝服务 Denial of Service |
在描述威胁场景时,应具体描述资产类型、攻击方法(此处的攻击方法指STRDIE模型中的伪造、篡改、提升权限、否认、信息泄漏、拒绝服务)、攻击路径,列出所有相关项已识别资产涉及到的威胁场景。
5.攻击可行性等级分析
需针对每一条攻击路径进行攻击可行性分析,可以采用基于攻击潜力的分析方法、基于CVSS的分析方法、基于攻击向量的分析方法,当前主要采用基于攻击潜力的分析方法。
采用基于攻击潜力的分析方法对攻击可行性进行分析时,需要从经历时间Elapsed time、专业知识Expertise、相关项或组件知识Knowledge of the item or component、机会窗口Window of opportunity、设备Equipment这五个参数进行分析,最终取值由以上5个参数累加而成,并根据下表中的映射关系得出攻击可行性,攻击可行性分为Very low、Low、Medium、High4个层级。
攻击可行性映射表
| Attack feasibility rating | Explanation | Value |
| High | The attack path can be accomplished utilizing low effort. | 0-9 |
| 10-13 | ||
| Medium | The attack path can be accomplished utilizing medium effort. | 14-19 |
| Low | The attack path can be accomplished utilizing high effort. | 20-24 |
| Very low | The attack path can be accomplished utilizing very high effort. | ≥25 |
经历时间参数包括识别漏洞、开发和(成功)应用漏洞的时间。因此,该评级基于评级时专业知识的状态。
专业知识参数:与攻击者的能力相关,与他们的技能和经验相关;
相关项或组件的知识参数:与攻击者获取的关于相关项或组件的信息量有关;
机会窗口参数:与成功执行攻击的访问条件(时间或/类型)相关。它结合了访问类型(如逻辑或物理)和访问持续时间(如无限或有限;
设备参数:与攻击者可用于发现漏洞或执行攻击的工具有关;
6.风险等级确定 Risk Value Determination
确定风险等级时,需要根据损害场景的影响等级和威胁场景的攻击可行性来综合判断,具体参考下表。
风险等级表
| 风险值 Risk Value | 攻击可行性 Attack Feasibility | ||||
| Very low | Low | Medium | High | ||
| 影响等级 Impact Rating | Severe | 2 | 3 | 4 | 5 |
| Major | 1 | 2 | 3 | 4 | |
| Moderate | 1 | 2 | 2 | 3 | |
| Negligible | 1 | 1 | 1 | 1 | |
7.确定风险处置决策
根据风险评估结果,描述风险处理措施,包括以下4种:
Avoiding:消除风险,通过消除风险源、决定不开始或不继续进行引起风险的活动来规避风险。
Reducing:降低风险,当风险等级较高(如风险等级大于3)时,需要添加安全机制来降低风险;
Sharing:分担或转移风险(如通过和二级供应商签订合同或购买保险);
Retaining:接收或保留风险,当风险等级较低。
在确定风险处置决策后需要定义网络安全目标或声明。如果风险处置决策为Reducing,需要定义网络安全目标,如果考虑现有的技术条件,整车环境和措施成本原因,综合评判后确认无法制定缓解措施,此时风险处置决策为Sharing或Retaining,需要定义网络安全声明,并与相关方达成一致,声明中需要写明原因。
【网络安全概念具体步骤】
1.网络安全目标描述
在TARA分析中确定风险处置决策后,与相关方进行决策并确定导出网络安全目标。通常包含网络安全目标具体描述与其对应CAL等级。
2.网络安全机制设计
针对由TARA分析得出的网络安全目标,根据常见安全机制为网络安全目标设计合适的网络安全机制。应对网络安全机制进行详细描述,包括触发检测机制、响应机制,最终处理结果说明,和涉及的安全资产说明。
3.网络安全需求分配
针对提出的网络安全机制,进行分模块/部件安全需求设计,明确各组件职责,并关联相关安全目标。首先确保所有的网络安全机制都有对应的需求,同时每个需求都细化到具体的模块/组件,此时不需要区分软硬件需求。对网络安全机制进行拆分时,保证拆分出的各个需求没有重叠或遗漏。每个网络安全需求应与其对应机制的对应网络安全目标相一致,确保需求与目标之间的关联。
【总结】
TARA(威胁分析与风险评估)作为核心方法论,帮助组织识别和缓解潜在威胁,确保车辆的安全和可靠性。充分掌握这项技能还是需要大量的实践和项目实操。
在后续的内容中,我们将为大家具体按照TARA方法论的流程等实操一些控制器。希望通过这些内容,能够帮助大家更全面地理解整个过程。
扫一扫
739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
