本文关于汽车信息安全工程TARA的方法论全部摘译自文章:Threat Analysis and Risk Assessment for Connected Vehicles: A Survey,下称文章。
在车辆信息安全工程中,TARA(威胁分析和风险评估)通过识别并评估车辆各个系统的潜在信息安全威胁和风险,从而在系统开发的早期阶段便可发现威胁并针对这些威胁提出有效的缓解措施进而将风险降低到可接受的程度。文章旨在对当前汽车信息安全工程TARA过程中潜在适用的方法论进行研究,分类和总结,并对这些方法进行简要介绍。
文章将汽车信息安全工程TARA过程中潜在适用的方法论分为两大类,基于公式的方法和基于模型的方法。基于公式的方法顾名思义,即主要通过表格,文本或公式来进行TARA分析的方法,根据这些方法的关注点不同又分为三类:基于资产的方法,基于漏洞的方法和基于攻击者的方法;而基于模型的方法即通过数据流图,曲线图表和树状图等对威胁和风险进行建模和分析的方法,根据关注点的不同又分为图表方法和树状结构方法。
上述各种基于公式的方法中,又属基于资产的方法是汽车领域最常见的TARA方法,此类方法首先确定最终的潜在被攻击目标资产,然后通过信息安全专家来详细分析可能对该目标资产构成威胁的攻击路径和攻击方法,从而实施控制措施进行提前预防。基于资产的方法侧重于系统中各种形式的资产,而汽车本质上是一个信息物理系统,汽车领域信息安全的最终目标是保护汽车的各个系统及子系统免受攻击从而正常运行。因此,基于资产的TARA方法也最适合于汽车领域,这种方法也被称为“自上而下”的方法,如广泛应用的HEAVENS, EVITA等便是此类。
基于漏洞的方法是一种“自下而上”的方法,和基于资产的方法相反,基于漏洞的方法从已识别出的系统漏洞和弱点开始,从而进一步分析该漏洞可能给系统带来的危害和风险。如果这些方法与丰富的漏洞数据库相结合,则可以对系统进行全面的漏洞扫描来分析可能对系统造成损害的每个漏洞,以此有效避免漏洞对系统信息安全造成的损害。
基于攻击者的方法是一类通过分析攻击者的威胁分析方法,它通过评估潜在攻击者的知识水平,攻击路径,动机和所需资源来进行系统的威胁分析和风险评估,从而在攻击的根因上进行威胁的建模和分析。
综上,基于公式的TARA方法更加成熟且对于没有太多信息安全经验的用户来说也更加方便,因此得以广泛的传播和使用,下表总结了基于公式的TARA方法的分类,并阐述了每种方法的特点以及该方法是否兼顾功能安全和信息安全的协同分析。
基于模型的方法中图表法通过不同节点的有向连接来直接进行定量数学分析,进而为系统的定量威胁分析提供便利,微软提出的STRIDE威胁分析模型便属于此类方法。
另一个基于模型的方法是树状图法,它展示不同节点之间的连接和层次关系,其中最典型的便是攻击树,通过它可以清楚的展现所有的攻击面和攻击路径。
与基于公式的方法相比,文章认为基于模型的TARA方法通过不同的模型对系统进行威胁分析,可以更完整地展示整个被评估系统,从而为评估过程提供更直观的视角,而且定量分析结果的准确性和复现性较高。尽管如此,考虑到基于模型的TARA方法需要使用各种不同的模型,用户在使用这些方法对系统进行威胁分析之前,需要对模型进行深入了解,因此相对难以理解和使用。下表展示了基于模型的TARA方法的分类,以及这些方法是否兼顾功能安全和信息安全的协同分析。
上述不同的评估方法都有其相应的的应用场景及适用条件,不同的组织可根据自身的实际需要选择或参考一个或多个方法进行车辆信息安全的分析评估。
参考文章: Threat Analysis and Risk Assessment for Connected Vehicles: A Survey
免责声明:如涉及侵权请及时与我们联系,我们会第一时间做更正声明或做删除处理。文章版权及解释权归原作者及发布单位所有,如需转载或引用本文的任何内容,请注明出处!
原文始发于微信公众号(ArtiAuto 匠歆汽车):【AutoCS】车辆信息安全工程TARA潜在适用的方法论一览
