MUNIK解读ISO21434专题分享(7):网络安全TARA(网络安全及网络安全概念)
—原创文章,文章内所有内容文字资料,版权均属本公众号所有,任何媒体、网站、公众号或个人未经Munik公司授权不得转载、转贴、引用或以其他方式复制发布 、发表。已经被Munik公司授权的媒体、网站、公众号、个人,在下载使用时必须注明来源,违者Munik公司将依法追究相关责任.
回到本文的源头文章“ISO21434标准解读”,请点击链接:ISO 21434 Automobile Cyber Security汽车网络安全服务
回到知识分享,请点击链接:MUNIK中国-技术分享
【什么是TARA?】
随着现代汽车技术的迅猛发展,网络安全成为汽车行业一个不可忽视的领域。为了应对日益复杂的网络威胁,ISO/SAE 21434标准和UN R155法规提供了系统化的网络安全管理框架。其中,TARA(威胁分析与风险评估)作为核心方法论,帮助组织识别和缓解潜在威胁,确保车辆的安全和可靠性。
TARA(Threat Analysis and Risk Assessment)是一种用于识别、评估和应对组织信息系统潜在威胁的方法论。通过TARA,组织可以有效地优先处理网络安全风险,分配资源以实现最佳的安全效果。
【网络安全TARA的主要步骤】
1.资产识别
资产为《相关项定义》中组件发生的信号和功能模块,资产的类别分为Data和Function。
进行资产识别时,需识别具有网络安全属性的资产,这些资产的破坏会导致损害场景的发生。资产的网络安全属性包括机密性Confidentiality、完整性Integrity、可用性Availability、真实性Authenticity、授权Authority、不可抵赖性Non-repudiation。
2.损害场景识别
损害场景是指资产的网络安全属性被破坏以后,涉及车辆或车辆功能并影响道路使用者的不良后果,如车辆无法运动、撞到行人、撞到其它车辆、撞到建筑物、车辆使用体验差、车辆起火、发送触电等。
3.损害场景影响等级确定
确定损害场景时需要从道路使用者的人身Safety、财产Financial、操作Operational、隐私Privacy这四个方面综合考虑,考虑在不同损害场景下对这四个影响类别造成的严重程度,严重程度等级分为轻微0,中等1、严重2、非常严重3。确定损害场景的影响等级时,取四类影响等级中最严重的等级。
4.威胁场景识别
识别威胁场景时,需要依据资产识别和损害场景的分析结果,针对攻击行为会破坏某个资产的某个网络安全属性进行具体分析,进而分析造成损害场景的潜在威胁。资产的网络安全属性与威胁(参考微软STRIDE威胁模型)的对应关系如下表所示。
资产网络安全属性与威胁模型对应表
|
资产安全属性 Asset Cybersecurity Properties |
威胁模型 (STRIDE) |
|
真实性 Authenticity |
伪造 Spoofing |
|
完整性 Integrity |
篡改 Tampering |
|
授权 Authority |
提升权限 Elevation of Privilege |
|
不可抵赖性 Non-repudiation |
否认 Repudiation |
|
机密性 Confidentiality |
信息泄漏 Information Disclosure |
|
可用性 Availability |
拒绝服务 Denial of Service |
在描述威胁场景时,应具体描述资产类型、攻击方法(此处的攻击方法指STRDIE模型中的伪造、篡改、提升权限、否认、信息泄漏、拒绝服务)、攻击路径,列出所有相关项已识别资产涉及到的威胁场景。
5.攻击可行性等级分析
需针对每一条攻击路径进行攻击可行性分析,可以采用基于攻击潜力的分析方法、基于CVSS的分析方法、基于攻击向量的分析方法,当前主要采用基于攻击潜力的分析方法。
采用基于攻击潜力的分析方法对攻击可行性进行分析时,需要从经历时间Elapsed time、专业知识Expertise、相关项或组件知识Knowledge of the item or component、机会窗口Window of opportunity、设备Equipment这五个参数进行分析,最终取值由以上5个参数累加而成,并根据下表中的映射关系得出攻击可行性,攻击可行性分为Very low、Low、Medium、High4个层级。
攻击可行性映射表
|
Attack feasibility rating |
Explanation |
Value |
|
High |
The attack path can be accomplished utilizing low effort. |
0-9 |
|
10-13 |
||
|
Medium |
The attack path can be accomplished utilizing medium effort. |
14-19 |
|
Low |
The attack path can be accomplished utilizing high effort. |
20-24 |
|
Very low |
The attack path can be accomplished utilizing very high effort. |
≥25 |
经历时间参数包括识别漏洞、开发和(成功)应用漏洞的时间。因此,该评级基于评级时专业知识的状态。
专业知识参数:与攻击者的能力相关,与他们的技能和经验相关;
相关项或组件的知识参数:与攻击者获取的关于相关项或组件的信息量有关;
机会窗口参数:与成功执行攻击的访问条件(时间或/类型)相关。它结合了访问类型(如逻辑或物理)和访问持续时间(如无限或有限;
设备参数:与攻击者可用于发现漏洞或执行攻击的工具有关;
6.风险等级确定 Risk Value Determination
确定风险等级时,需要根据损害场景的影响等级和威胁场景的攻击可行性来综合判断,具体参考下表。
风险等级表
|
风险值 Risk Value |
攻击可行性 Attack Feasibility |
||||
|
Very low |
Low |
Medium |
High |
||
|
影响等级 Impact Rating |
Severe |
2 |
3 |
4 |
5 |
|
Major |
1 |
2 |
3 |
4 |
|
|
Moderate |
1 |
2 |
2 |
3 |
|
|
Negligible |
1 |
1 |
1 |
1 |
|
7.确定风险处置决策
根据风险评估结果,描述风险处理措施,包括以下4种:
Avoiding:消除风险,通过消除风险源、决定不开始或不继续进行引起风险的活动来规避风险。
Reducing:降低风险,当风险等级较高(如风险等级大于3)时,需要添加安全机制来降低风险;
Sharing:分担或转移风险(如通过和二级供应商签订合同或购买保险);
Retaining:接收或保留风险,当风险等级较低。
在确定风险处置决策后需要定义网络安全目标或声明。如果风险处置决策为Reducing,需要定义网络安全目标,如果考虑现有的技术条件,整车环境和措施成本原因,综合评判后确认无法制定缓解措施,此时风险处置决策为Sharing或Retaining,需要定义网络安全声明,并与相关方达成一致,声明中需要写明原因。
【网络安全概念具体步骤】
1.网络安全目标描述
在TARA分析中确定风险处置决策后,与相关方进行决策并确定导出网络安全目标。通常包含网络安全目标具体描述与其对应CAL等级。
2.网络安全机制设计
针对由TARA分析得出的网络安全目标,根据常见安全机制为网络安全目标设计合适的网络安全机制。应对网络安全机制进行详细描述,包括触发检测机制、响应机制,最终处理结果说明,和涉及的安全资产说明。
3.网络安全需求分配
针对提出的网络安全机制,进行分模块/部件安全需求设计,明确各组件职责,并关联相关安全目标。首先确保所有的网络安全机制都有对应的需求,同时每个需求都细化到具体的模块/组件,此时不需要区分软硬件需求。对网络安全机制进行拆分时,保证拆分出的各个需求没有重叠或遗漏。每个网络安全需求应与其对应机制的对应网络安全目标相一致,确保需求与目标之间的关联。
【总结】
TARA(威胁分析与风险评估)作为核心方法论,帮助组织识别和缓解潜在威胁,确保车辆的安全和可靠性。充分掌握这项技能还是需要大量的实践和项目实操。
在后续的内容中,我们将为大家具体按照TARA方法论的流程等实操一些控制器。希望通过这些内容,能够帮助大家更全面地理解整个过程。
我们目前具有经验丰富的网络安全专家团队,且获得多家著名认证机构的预审核评估资质,客户主要是OEM主机厂和T1/T2 零部件供应商,以及供应商和相关上下游行业。最后,如果你还为汽车网络安全相关资质、审核、测试评估和认证不知道怎么下手而发愁,请不要犹豫,关注上海秒尼科技术服务有限公司官网www.munik.com,获取更多服务内容~
