汽车基础网络安全 10

汽车网络与数据安全

第三章

威胁分析与风险评估电子科技大学嵌入式软件工程中心主讲：第一部分威胁分析与风险评估概述1为什么需要TARA？2威胁分析与风险评估活动贯穿于汽车的整个生命周期3

威胁分析与风险评估需求4常用的TARA分析方法1为什么需要TARA？核心问题：智能网联汽车面临的安全挑战（网联化→攻击面扩大）TARA的作用：系统性识别风险→导出安全目标与需求支撑全生命周期安全开发（V模型概念阶段起点）行业驱动：ISO/SAE21434、HEAVENS等标准要求2威胁分析与风险评估活动贯穿于汽车的整个生命周期在智能网联汽车开发的概念阶段应开展充分的威胁分析与风险评估活动，以系统性地识别汽车面临的各种网络安全风险，并基于此导出对汽车的网络安全目标和需求。威胁分析与风险评估活动甚至需要贯穿汽车的整个生命周期。汽车安全生命周期及威胁分析与风险评估3威胁分析与风险评估需求需要建立结构化的、全面系统的威胁模型来识别智能网联汽车所有潜在的威胁和漏洞，避免遗漏。特别是，模型应覆盖以下方面：与智能网联汽车互联通信的要素包括云端服务平台、路边单元、移动设备等，涉及到众多的攻击面和攻击路径车辆内部包含数量众多的车载设备和电子控制单元，当威胁攻击到达车载设备和ECU级别时，由于其硬件尤其是软件设计或实现上的漏洞（脆弱性）或缺陷，导致遭受网络安全攻击从真实性、完整性、机密性、可用性、防抵赖、可授权等安全属性的角度，全面考虑所有可能的威胁类型和攻击方法4常用的TARA分析方法常用的TARA分析方法有：攻击树STRIDE（Spoofing,Tampering,Repudiation,Informationdisclosure,Denialofservices,Elevateofprivilege,欺骗，篡改，抵赖，信息泄露，拒绝服务，提升特权）模型SDL（SecurityDevelopmentLifecycle，安全开发生命周期）HEAVENS等第二部分威胁模型1智能网联汽车威胁模型2智能网联汽车网络安全架构3威胁类型、攻击方法与安全属性的关系1智能网联汽车威胁模型（三维度）智能网联汽车威胁分析与风险评估三维模型1智能网联汽车威胁模型（三维度）维度一：基于网络分层结构，从车外到车内分为四个层级维度二：针对具体车载设备的资产类型，可分为硬件、启动加载/驱动程序、内核、操作系统服务、应用等维度三：从威胁/攻击方法的角度，针对每一项资产，分为S（欺骗）、T（篡改）、R1（否认）、R2（重放）、I（信息泄露）、D（拒绝服务）、E（特权提升）等威胁类型，以对应真实性、新鲜性、完整性、不可否认、机密性、可用性、可授权等安全属性的损失；需对以上场景进行危害的严重性评估，同一安全属性在不同威胁场景下的影响程度可能不同2智能网联汽车网络安全架构智能网联汽车涉及到的功能由内至外可以分为不同的层次，各个层次对于安全的定义和需求也不尽相同基于智能网联汽车网络安全参考架构，构建分层次的汽车电子网络安全纵深防御体系，开展威胁分析与风险评估活动2智能网联汽车网络安全架构2智能网联汽车网络安全架构Level1：涵盖车辆外部的所有元素，包括云端服务平台、移动终端、路边单元Level2：连接车辆与其外部环境的各种车载智能和网联设备（包括智能座舱/车机、T-BOX、自动驾驶等），以及有关的外部感知部件，这些设备实现车辆与外界环境（包括后台服务器、移动终端设备、路边单元等）的通信、互联Level3：主干网络/域控制器，实现车辆内部各个总线网络的连接，以及与智能网联设备的连接Level4：包含车辆内部控制网络中所有的ECU、传感器和执行器3威胁类型、攻击方法与安全属性的关系威胁类型攻击方法影响的安全属性仿冒攻击者冒充某人或某事真实性时效性篡改攻击者改变传输过程或是存储的数据，也可能改变功能（通过软件、固件或是硬件实现的功能）完整性抵赖攻击者的行为不能被追溯防抵赖时效性重放攻击者窃取并重复发送合法的通信数据时效性信息泄露攻击者访问传输过程或是存储的数据机密性/隐私拒绝服务攻击者中断系统的合法操作可用性特权提升攻击者执行未被授权的行为授权威胁类型、攻击方法与安全属性的关系表第三部分TARA流程1TARA整体流程2TARA流程——准备工作3TARA流程——建立数据流图4TARA流程——风险评估5TARA流程——制定网络安全目标6TARA流程——制定网络安全需求1TARA整体流程TARA整体流程分为五个部分：准备阶段（确定评估对象范围）构建业务的数据流图风险评估制定网络安全目标制定网络安全需求智能网联汽车TARA流程2TARA流程——准备工作在整车级TARA中，需要确定零部件和业务的安全评估等级要求，为筛选评估对象提供参考安全评估等级用于筛选整车级的评估范围零部件安全评估等级的划分基于车辆网络的纵深体系，以访问点为依据，按照远程访问点、近场非物理接触访问点、近场物理接触访问点以及在车辆内部的网络层次，由外到内进行纵深体系的划分业务的安全评估等级则以导致ECU软件发生变化、影响车辆行驶状态、业务依赖的访问点等为划分依据3TARA流程——建立数据流图“外部实体”包括人、设备或在评估对象控制范围外的代码或系统，代表与评估对象交互的所有对象“处理单元”属于信息处理单元，可以是任何硬件或软件功能模块“处理单元”分为两种类型：复合处理单元可被拆分为更加细粒度的数据流图，而基础处理单元则不可进一步拆分“数据存储空间”为存储数据的容器“数据流”为处理单元之间或处理单元与外部实体、数据存储之间的交互“可信边界”是具有相同安全等级的实体组成的集合安全边界一定是封闭的，并且只有数据流可以跨越安全边界4TARA流程——风险评估风险评估过程包含“资产识别”、“威胁场景识别”、“确定影响等级”、“攻击路径分析”、“确定攻击可行性等级”、“确定风险”、“确定风险处置措施”等环节“资产识别”过程包括识别评估对象所包含的资产和这些资产的安全属性失效所导致的危害场景，以数据流图作为输入，主要识别4种类型的资产，即外部实体、处理单元、数据存储空间和数据流；其中，识别的资产用于后续的威胁场景识别活动，识别的危害场景用于后续影响等级评估活动“确定影响等级”是指对危害场景所带来的危害及其对人身伤害的严重情况进行等级评定，影响分为“严重”、“较严重”、“中等”、“可忽略”等四个等级，分别用IL4、IL3、IL2、IL1表示并通过对危害带来的“功能安全”、“财务”、“操作性”、“隐私及法规”等四个方面的影响来评估确定危害的综合影响等级和影响值4TARA流程——风险评估“威胁场景识别”基于危害场景，识别资产安全属性所对应的威胁场景；在后续的攻击路径分析活动中，将识别威胁场景所对应的攻击路径“攻击路径分析”：识别威胁场景所对应的攻击路径，以作为评估攻击可行性的基础，也用于把网络安全目标细化为网络安全需求，并确定适宜的网络安全控制措施“确定攻击可行性等级”将每个攻击路径的攻击可行性等级分为由“高”到“非常低”（FL4~FL1）的四个级别，其输入为攻击路径或者脆弱性分析等辅助信息，输出为可行性等级4TARA流程——风险评估风险评估主要从威胁产生负面影响的严重程度以及攻击成功的可能性两个方面进行，影响严重程度一般分为“严重”、“较严重”、“中等”、“可忽略”等四个等级，分别用IL4、IL3、IL2、IL1表示，并通过对危害带来的“功能安全”、“经济/财务”、“操作性”、“隐私”等四个方面的影响来评估确定危害的综合影响等级和影响值影响等级影响值评级原则严重S31,000威胁生命的伤害（不确定是否生还），致命的伤害较严重/M1S2100严重和威胁生命的伤害（可能生还）中等/M2S110轻度及中度伤害可忽略S00无伤害(S)功能安全影响评级表影响等级影响值评级原则严重F31,000有灾难性的影响，受影响的相关方可能无法克服较严重/M1F2100有重要影响，但受影响的相关方能够克服中等/M2F110有引起麻烦的财务影响，相关方可以通过有限的资源来克服可忽略F00没有财务影响(F)财务影响评级表4TARA流程——风险评估(O)可操作性影响评级表(P)隐私影响评级表影响等级影响值评级原则严重O3100导致车辆发生非预期操作或无法操作、甚至车辆完全无法工作较严重/M1O210导致车辆部分功能失效中等/M2O11导致车辆某个功能或是性能的降级可忽略O00没有影响，或某个功能/性能有不可分辨的降级影响等级影响值评级原则严重P3100隐私损害会给相关人员带来重大甚至不可逆转的影响。其特征为：a）非常敏感且易于链接到个人身份信息主体。较严重/M1P210隐私损害会严重影响相关人员。其特征为：a）属于高度敏感，不过难以链接到个人身份信息主体；或

b）属于敏感信息且易于链接到个人身份信息主体。中等/M2P11隐私损害给相关人员带来极大不便。其特征为：a）虽为敏感信息，但难以链接到个人身份信息主体；或

b）虽易于链接到个人身份信息主体，但不是敏感信息。可忽略P00隐私损害不会产生任何影响，也不会给相关人员带来不便。其特征为：不敏感且很难链接到个人身份信息主体。4TARA流程——风险评估影响严重程度由四个方面影响值的总和来确定，最终映射为以下四个影响等级影响值总和（S+F+O+P)影响等级（IL值）0–19可忽略（1）20–99中等（2）100–999较严重（3）>=1000严重（4）影响等级换算表4TARA流程——风险评估对于威胁成功实施攻击的可能性，从攻击者确定攻击系统和执行成功攻击所需的专业性要求、对系统的了解程度（关于被评估资产对象的知识）要求、时间机会窗口要求以及对专业设备的要求等方面进行分析4TARA流程——风险评估参数值解释专业知识外行0相较于专家和熟手，不具备关于评估对象的特别的专业知识熟手1具备有关信息安全领域的常识，并牵涉到相关的商业活动中专家2熟悉信息安全相关的底层算法、协议、硬件、结构、安全行为、原理和概念等专家团队3需要不同领域的专家联合行动，以完成特定步骤的攻击关于被评估资产对象的了解程度公开的0通过互联网、书店以及不需要保密协议的共享信息所获得的知识受限的1由开发者组织所控制的知识，以及与其他组织共享的知识敏感的2在开发者组织中离散团队之间共享的知识，对这些知识的访问只限于特定团队的成员关键的3仅被少数个体所知道的知识，对这些知识的访问受到严格的控制并需要承担个体责任威胁等级（攻击成功可能性）相关因素分析表-14TARA流程——风险评估威胁等级（攻击成功可能性）相关因素分析表-2参数值解释机会窗口关键的0被评估资产对象可通过公共的/不可信的网络被利用，其机会高且不受时间限制高1被评估资产对象可被利用的机会高但时间有限，例如，在不接触到物理硬件的情况下，实施逻辑的或远程的访问中2被评估资产对象可被利用的机会低，例如，有限的物理和/或逻辑的访问低3被评估资产对象可被利用的机会非常低，例如，为了实施攻击，需要对被评估资产对象进行物理访问，以拆解车辆部件达到访问其内部的目的设备需求标准的0对于攻击者已可用，不管是为了识别脆弱性还是发起攻击专业的1对于攻击者尚不可用，但比较容易获得，比如通过购买适量的设备定制的2需要特别定制生产的设备（例如非常复杂的软件），或者因为设备的专业性而被受控发布，其价格也非常贵多个定制的3需要多个不同类型的定制设备以完成特定步骤的攻击4TARA流程——风险评估通过对上述攻击可能性相关因素的分析，将得到的值相加，再将和值映射为相应的威胁等级即攻击可行性等级，分为4个等级FL4~FL1，即高、中、低以及非常低等级描述FL4-高攻击路径可以很容易或几乎肯定地完成FL3-中通过非常规的方法，攻击路径是可行的FL2-低攻击路径在理想情况下可实现FL1-非常低攻击路径很难或几乎不可能完成攻击可行性等级表4TARA流程——风险评估“确定风险”环节根据危害场景影响等级和攻击可行性等级确定风险值，一般分为5个等级，1表示最低风险、5表示最高风险对于攻击可能性的计算需要综合各个不同“资产-攻击”组合的可能性针对每个“资产-攻击”确定其攻击可行性FL，而攻击目标则决定了对其功能安全、操作性、经济和隐私等方面的“影响等级”具体攻击方法（AttackMethod，缩写为AM）上的“资产-攻击”可能具有“与”的组合关系，即多条路径上的攻击都需要发生（如图中所示的攻击方法AM1