TARA-威胁建模方案3

最新推荐文章于 2024-01-10 08:30:57 发布
最新推荐文章于 2024-01-10 08:30:57 发布
阅读量805 收藏 3
点赞数 1
分类专栏: 汽车信息安全 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24925595/article/details/104824616
版权

    该威胁建模基于日本的 JASO-TP15002,大致可以分为两个步骤:

(1)确定需要保护的资产以及确定资产间的信息流;

(2)根据资产和信息流的CIA,结合不同的情景,穷尽threat;穷尽的方法从Where、Who、When、Why、What展开;

主要的问题:

(1)Phase1中,由于整车厂以及不同的设备供应商之间对于TOE的定义会有差异,如何统一管理这些差异,以及将这些资源整合、交互是一个必须的过程;

(2)Phase2中,对于what的描述是个抽象概念,不好定量,进而导致威胁确定的时候需要以一个特殊的方式进行;其次在风险评级的过程中如何将Where、When、What关联进去;

(3)基于CVSS v2的CRSS和基于CVSS v3的RSMA之间,如何比较已确定适用于汽车的评级方法;

qq_24925595
关注
专栏目录
威胁建模主流框架
Zichel77的博客
02-11 8624
威胁建模主流框架 目录 威胁建模主流框架 一、简要介绍 二、威胁建模流程和步骤 三、威胁建模技术 1、在线银行应用的数据流程图示例 2、过程流程图 3、攻击树 四、威胁建模框架和方法 1、STRIDE威胁建模 2、DREAD威胁建模 3、PASTA威胁建模 4、VAST威胁建模 5、Trike威胁建模 6、OCTAVE威胁建模 7、NIST威胁建模 五、威胁建模最佳实践 六、威胁建模工具 一、简要介绍 了解威胁建模框架、方法和工具可以帮助更好地识别、量化和排序面临的.
使用TMT工具进行威胁分析及风险评估(TARA)
qq_36617684的博客
08-08 1701
TARA活动,可以认为包含以下几个大的活动,资产识别及等级划分,构建数据流图(DFD),划分信任边界,威胁分析,风险评估;资产识别及等级划分,即对整个系统进行分析,识别出相关的重要资产,并对相关资产进行等级划分,其中,资产可以包括数据流,数据存储器,进程,硬件设施等;构建数据流图(DFD),即画出系统业务逻辑图,包括各组件及其通信框架,外部访问接口,数据存储即使用,通信协议等;划分信任边界,即在DFD图的基础上,分析安全边界,安全域,确定信任关系;威胁分析,...
TARA-威胁建模方案1
qq_24925595的博客
03-12 2757
威胁模型可以包含多个层级。如果模型中的某个过程过于复杂,应当考虑通过在模型框图中增加层级,将该过程进一步分解。但是,在建模初始阶段,你往往只能分解到Level 2 级。下面将从Level 0 级开始介绍各个不同的层级。 Level 0 级:鸟瞰视图 进行本级建模时,需要参考在分析攻击面时建立的检查表。分析数据通过何种方式进入车辆。将车辆绘制在中心,并标注出内部空间...
TARA-威胁建模方案4
qq_24925595的博客
03-12 2156
威胁建模的方法: (1)确定可能实现的攻击目的;目标是可以进一步细化的; (2)确定所有可能的攻击方法;方法中可能包含一个多个需要满足的条件 (3)根据攻击方法确立具体的攻击手段;包括需要什么设备,影响什么资产,系统需要处于什么样的状态、什么样的配置;如下图 车辆在与其他车辆进行通信时,可以接收来自其他车辆的危险告警信息,而攻击者可能对此发起“篡改告警消息”的攻击。以此为...
TARA-威胁建模方案2
qq_24925595的博客
03-12 1105
大概思路就是根据STRIDE威胁,结合资产和资产之间的信息流,确定可能的威胁。在进行STRIDE分析之前,可以根据系统功能定义划分,针对单个系统功能进行STRIDE分析,进而完成整个系统的安全分析。 (详细可以参考微软的stride介绍,https://docs.microsoft.com/zh-cn/azure/security/develop/threat-modeling-t...
网络安全人士必知的14个威胁建模方法
最新发布
leah126的博客
01-10 2669
威胁建模是结构化的理论框架,是在网络安全前辈们基于工程实践情况下总结出的理论体系框架,从审视者和践行者的眼光去构建威胁模型,在理论框架指导下,不再茫然和手足无措,有利于识别不断变化的安全威胁。攻击树由90年代后期的信息安全传奇人物布鲁斯·施耐尔(Bruce Schneier)开创,提供了一种正式而条理清晰的方法来描述系统所面临的安全威胁和系统可能受到的多种攻击,是一种用于可视化和分析信息系统安全威胁的工具,它通过图形化的方式展示攻击者可能使用的路径来达到其攻击目标。网络安全的本质是攻防双方的对抗与博弈。
TARA(威胁分析和风险评估方法)
qq_20017869的博客
10-25 7205
目录 1.资产识别(见15.3) 2.威胁情景识别(见15.4) 3.影响评级(见15.5) 4.攻击路径分析(见15.6) 5.攻击可行性评级(见15.7) 6.风险值确定(见15.8) 7.风险处理决策(见15.9) 概述: 本条款描述了确定道路使用者受威胁情景影响程度的方法。这些方法及其工作产品统称为威胁分析和风险评估(TARA),从受影响道路使用者的角度执行。本条款中定义的方法是通用模块,可以从项目或组件生命周期的任何点系统地调用。 目的: 识别资产、其网络...
Tara-开源
04-27
用户可以调整星图的显示级别,选择显示的天文物体类型,以及自定义星图的背景和颜色方案。 3. **DeepSkyData和StarData类** "DeepSkyData"和"StarData"是两个关键的数据类,它们分别存储了深空天体(如星系、星云...
tara-mahavidya.rar_Tara
09-21
shtoram shtoram istatis thistata tata
pthc2017密码kerato-(pthc)-tara-brand-new-
06-12
标题 "pthc2017密码kerato-(pthc)-tara-brand-new-" 提到的关键词主要涉及到两个部分:`pthc2017` 和 `kerato`。`PTH`通常代表“Pre-Tween Hacking”,这是一个网络安全领域中的术语,指的是针对未成年人或儿童的...
风险识别分析表.pdf
03-08
风险识别分析表.pdf
romania-tara-mea:网站为高中计算机科学证书
05-29
【标题】"romania-tara-mea: 网站为高中计算机科学证书"涉及到的知识点主要集中在网页开发上,特别是HTML、CSS以及JavaScript的基础应用。这个项目是为高中生准备的,帮助他们学习和理解计算机科学的基础知识,尤其...
iso21434-TARA分析示例1
08-03
ISO 21434 是一项针对汽车行业网络安全的标准,旨在应对汽车...如果这些属性受到威胁,可能会导致如大灯意外关闭或无法打开等危险场景。 随后,进行风险评估,使用Part 8和Part 9中描述的方法。Part 9利用Part 8的风
车联网安全之威胁建模
网安君的博客
11-02 592
威胁建模是一种结构化方法,用来识别、量化并应对威胁,利用抽象的方法来帮助思考风险。威胁建模允许系统安全人员传达安全漏洞的破坏力,然后定义防范或减轻系统威胁的对策,并按轻重缓急实施补救措施。说人话就是归纳资产并把资产分类,然后定义资产所面临的威胁并进一步把威胁细化,把所受到的威胁按照轻重缓急进行评分并且给出缓解措施。威胁模型通常创建于产品的开发和设计阶段。如果某种产品的生产商有着良好的开发生命周期,它会在产品开发伊始就建立威胁模型,并随着产品开发生命周期的推进,持续更新模型。
【项目实战】TARA威胁分析和风险评估
本本本添哥
12-19 1346
TARA是信息安全领域中的一种风险评估方法,在汽车信息安全的上下文中,TARA分析特别重要,因为它可以帮助识别和管理与智能网联车辆相关的各种威胁,包括数据泄露、未经授权的访问、远程操控等。通过TARA分析,企业可以制定出针对性的安全目标、产品要求和产品安全声明,以确保汽车及其零部件符合相关的信息安全标准和法规。此外,TARA分析还可以与数字化建模系统结合,以更系统化和高效的方式进行风险评估和管理。
信息安全(Cyber Security)之TARA分析(一)
king110108的专栏
03-25 3246
本文讲述信息安全TARA分析方法
鉴源实验室丨TARA分析方法论
TICPSH的博客
09-14 4659
TARA是威胁分析与风险评估(Threat Analysis and Risk Assessment)的缩写,其在ISO/SAE 21434中被认为是网络安全分析的核心方法。
风险评估框架流程及分析原理-转载
weixin_34910008的博客
06-10 1396
*转载来源:https://blog.51cto.com/chengfei/725051* 风险评估框架及流程风险要素关系 风险评估中各要素的关系如图 1所示: 图 1 中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属 性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估 过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要 素相关的各类属性。 图1中的风险要素及属性之间存在着以下关系: a)业务战略的实现对资产具有依赖性,
TARA-汽车安全概念
qq_24925595的博客
03-13 5914
安全防护指导原则 (1) 不要带主观意识; (2) 重视隐私:包括对代码进行硬件保护 (3) 不信任第三方系统:使用经过认证过的加密库,尽可能不要用自己实现的加密算法; (4) 多因子认证; (5) 最小权限; (6) 多层防护; (7) 简化系统设计:不需要或不安全的功能需要disable,如release后的产品调试功能,但简化系统设计并不意味着使用相同的密钥,功能等,如我们禁止在不同的功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值