智能网联汽车TARA能力建设.docx
《智能网联汽车TARA能力建设.docx》由会员分享,可在线阅读,更多相关《智能网联汽车TARA能力建设.docx(14页珍藏版)》请在冰豆网上搜索。
智能网联汽车TARA能力建设
智能网联汽车TARA建设
智能网联汽车TARA(ThreatAnalysisandRiskAssessment)主要指用来识别和评估智能网联汽车系统中的潜在威胁,并评估相应风险。
TARA是整个智能网联汽车信息安全的重要组成部分,并且贯穿了智能汽车整个生命周期。
根据J3061规范的指导思想,智能网联汽车的信息安全需要在产品规划阶段就开始考虑,只有这样才能将信息安全融入到架构设计、软硬件开发、测试、量产以及售后中去。
TARA不应该是独立的一环,而是成体系的建设,具体建设思路应该包括:
威胁情报获取、风险评估和几种建议的流程。
后续我们将对这三部分做逐一介绍。
本文将重点介绍威胁情报获取,未来几篇文章将对风险评估和集中建议的流程再做深入探讨。
智能网联汽车威胁情报获取是TARA建设的首要一环,要将信息安全纳入到规划阶段,首先就要明确和识别需要保护的资产可能遇到的威胁和风险,然后才能采取相应的安全防护措施来规避威胁,从而降低甚至消除可能发生的信息安全风险。
因此可以说智能网联汽车威胁情报获取是TARA的源头,也是智能网联汽车全生命周期信息安全建设的关键,同时更是对智能网联汽车各种信息安全威胁的积累和了解,至少可以通过渗透测试、第三方咨询机构、媒体和相关机构,这三个途径来获取智能网联汽车的威胁情报。
1.渗透测试是获取智能网联汽车信息安全威胁的首要途径
在J3061规范中,渗透测试是在整车开发阶段后期,对整车信息安全需求验证时所进行。
其作用在于,一方面可以确保规划阶段提出的所有应该实现的安全需求都得到落实;另一方面也可以发现一些可能被利用的未知威胁。
通常情况下,在每次做完渗透测试以后,应该把所有先前未发现的安全威胁记录下来,并最终形成安全威胁数据库,为后续车型的安全规划打下坚实基础。
渗透测试项方面参考了国际信息安全权威机构(如NIST和OWASP等)的相关规定,也结合了在汽车渗透测试方面的实战经验。
智能网联汽车的渗透测试对象应该包含所有ECU、车内外网络和整车这三大部分,并且渗透测试的范围应至少涵盖硬件、固件、操作系统、应用软件、数据和通信这几大方面。
∙硬件渗透测试,主要是针对智能网联汽车ECU的主板、存储介质、外设接口、调试接口、人机交互接口进行的渗透测试,主要用于评测固件被提取、核心敏感器件被识别以及遭受侧信道攻击等硬件相关的安全威胁;
∙固件渗透测试,主要是针对汽车ECU固件逆向、固件替换、刷写其他固件等进行安全评测,从而评估固件可能遭受的安全威胁;
∙操作系统渗透测试,目前主要是针对车载信息娱乐系统主机的渗透测试,主要用于评测已知和未知漏洞风险、安全和健壮性以及对操作系统行为的监控等;
∙应用软件渗透测试,主要用于测试Linux或者Android操作系统运行的应用软件安全性,如果应用软件存在编码或者逻辑方面的安全漏洞和缺陷,可以使攻击者在未授权的情况下非法利用或破坏。
或直接调用并未做任何安全检测的第三方组件,给物联网智能终端带来了极大的安全风险,很可能会引入一些公开的软件漏洞,极易被黑客利用,一旦这些漏洞被利用,同类设备都将遭受影响。
另外,物联网智能终端上所安装的业务应用,如果没有做相应的识别和控制机制,例如应用软件的来源识别、应用软件的安装限制、对已经安装应用软件的敏感行为控制等,很容易被攻击者安装恶意程序或进程来实施攻击行为。
同时软件更新过程同样存在安全隐患,软件升级包升级过程中没有完整性和合法性验证,容易被攻击者从中劫持或更改软件升级包,而没有进行过加密处理的软件升级包,则可能会被攻击者截取用于发起中间人攻击,从而将恶意程序升级到终端当中;
∙数据渗透测试,主要用于测试汽车每个ECU中数据产生、存储、使用、传输、共享以及销毁整个生命周期的数据安全性,从而评估整个数据是否存在被泄露的风险;
∙通信渗透测试,主要是指车外网络,比如车载Wi-Fi、蓝牙等车外网络的渗透测试。
通信传输也是渗透测试当中非常重要的一部分,这是因为在智能网联汽车和云端或者终端之间进行信息通信传输过程中,容易遭受流量分析、窃取、嗅探、重放等网络攻击,进而导致传输信息遭到泄露、劫持、篡改等威胁。
2.第三方咨询机构是获取智能网联汽车信息安全威胁的另外一个重要途径
第三方咨询机构通常拥有大量的资源,能够深入智能网联汽车从车厂、经销商、维修厂等一系列场所,获取这些场所曾经发生的信息安全事件,并通过这些事件提取相应的信息安全威胁,这些信息安全威胁会涉及车厂自己的汽车,也会涉及到其他厂商的汽车,信息量非常庞大。
同时,第三方咨询机构也拥有对信息安全法律法规很强的解读能力,能够通过对法律法规的解读获取相应的信息安全注意事项及需求。
除此之外,第三方咨询机构也会参与到智能网联汽车相关标准的制定中,及时了解标准制定的内容以及推进进度,因此可以提前将可能出台的信息安全标准及时告知车厂,在新车规划的时候将这些信息安全点纳入到规划中。
3.从媒体和相关机构也可以获得部分智能网联汽车信息安全威胁信息
这条途径通常会在整车发布之后,整车进入运维阶段的时候才会使用。
媒体是对各种社会事件非常敏感的机构,能够在第一时间获得相关信息。
同时智能网联汽车也是当下最为热点的话题,无论是国内还是国外智能汽车出现信息安全事件,媒体通常情况下都会进行大量的转发和报道,同时也会对这些信息安全事件进行比较详尽的分析。
因此同与智能网联汽车信息安全比较专注的媒体进行合作,同样可以获取国内外智能网联汽车发生的信息安全威胁事件。
另外,同监管机构合作也是非常好的选择,监管机构也同样拥有大量关于智能网联汽车整个生态的数据,通过对这些数据的分析,比如关联分析、溯源等,能够提炼出部分信息安全威胁情报信息。
获取智能网联汽车信息安全威胁情报是整个TARA的基础,没有信息安全威胁数据的支撑无法实现TARA,同时也无法将信息安全融入到规划当中,智能网联汽车信息安全也无从谈起。
因此所有整车生产厂都应该具备获取信息安全情报的机制、制度和体系,只有这样才能将智能网联汽车信息安全工作建设好。
以上介绍了三个获取威胁的途径:
渗透测试、第三方咨询机构和媒体及相关机构。
理想情况下,应该对所有的威胁进行防护,消除或者降低由威胁所引入的安全风险,但是现实情况并不允许我们这样做,资源、时间和成本永远是制约因素。
正是基于这样的现实情况,首先要将获取的安全威胁进行风险评估,根据评估结果进行优先级划分,再在整车概念阶段按照风险评估的高低,在开发阶段优先开发高优先级安全功能,后续相对较低的安全功能在软件版本迭代中解决,通过OTA升级或者本地升级的方式对整车软件进行升级,从而不断提升整车信息安全。
该思路也是J3061所推荐的。
当前对智能网联汽车风险评估方法仍然存在很大争议,相关统一的标准并未出台,并且该部分也是在历次标准制定过程中争议最大的,这和智能网联汽车使用场景的复杂性有莫大关系。
在参考J3061以及国外相关标准的基础上,建议可以从花费时间、所需经验、必备知识、机会窗口和所需设备,这五个维度对威胁进行风险评估,通过五个维度的定性评估得出该威胁最终导致风险发生的可能性,并根据安全风险发生可能性得出优先级,最后再根据优先级来确定在规划阶段安全功能开发的优先级。
花费时间,主要是指攻击者利用该威胁最终实现攻击所花费的时间。
建议可以分为:
<1天、<1周、<1个月、<3个月、<6个月和>6个月这六项。
所需经验,主要是指攻击者如果想利用该威胁最终实现攻击必须具备的专业经验。
院建议可以分为:
门外汉、熟练、专家和多领域专家这四项。
门外汉指的是不需要任何经验和专业知识的人;熟练是指必须具备一定的专业知识和经验的人;专家指的是资深且拥有丰富的专业知识和经验的人;多领域专家指的是需要在很多领域都有非常资深经验和知识的人。
必备知识,主要指攻击者想利用该威胁最终实现攻击所必须具备的资料、文档甚至是数据等。
建议可以分为:
公开资料、受限资料、敏感资料和绝密资料。
公开资料指的是可以在公开途径中获取,比如芯片手册、产品说明书等;受限资料指的是只能在公司本部门内部传递,比如参考规范文档;敏感资料指的是公司秘密信息,比如各阶段设计文档;绝密资料指的是公司机密信息,比如密钥。
机会窗口,主要指攻击者最终利用该威胁成功实现攻击的难度。
建议可以分为:
无、容易、中等和困难。
无指的是100%可以成功;容易指的是持续攻击1个月或攻击>100次才可能成功。
所需设备,主要指攻击者利用该威胁实现攻击所必须使用的设备。
建议可以分为:
一般设备、特定设备、定制设备和多个定制设备。
一般设备指的是市面上很容易获取并且价格不高的设备,比如USBHUB、SD卡读卡器等;特定设备指的是非常专业的设备,比如编程器、HackRF等;定制设备指的是价格较高,只有某些机构才可能购买,比如侧信道攻击设备、示波器、逻辑分析仪等;多个定制设备指的是需要很多个定制设备。
通过这五个维度的评估方法,同时结合智能网联汽车渗透测试项目中积累的经验,对智能网联汽车重要资产进行通用风险评估后,可将风险发生概率分为:
高、中高、中、低和极低这五个等级,风险发生概率越高,解决的必要性就越高。
具体评估结果如下所示,智能网联汽车渗透测试也根据这个表格对各大车厂的智能网联汽车所需要进行渗透测试的资产进行评估,从而制定相应的测试目标和实施计划。
通过上面表格的评估可以看到TBOX和IVI目前是风险发生比较频繁和发生概率较多的地方,这也印证了很多车厂用户把TBOX和IVI设为渗透测试必测项的原因。
此外,车内ECU由于缺乏启动保护和认证功能,极容易被刷含恶意程序的固件,从而实现DDoS攻击阻断整个车载总线。
该风险评估思路更多是基于安全渗透测试工程师的经验,同时结合EVITA、IPA等参考文献中获得。
本文当中的评估更多的是定性分析,主要目的是提供给读者一个风险评估的思路,通常情况下,这样的风险评估需要功能安全人员和信息安全人员共同评估,同时也会有相应的分析方法将定性分析最终转换成定量方式呈现,在概念阶段进行规划。
以上介绍了智能网联汽车风险评估的思路,可以通过五个维度对所获得的威胁进行风险评估,从而得到风险的优先级,为整车信息安全功能规划和开发打下坚实的基础,毕竟在J3061中也是同样建议汽车信息安全需要在整车规划阶段予以考虑,并在其他阶段予以落实和审查,确保所有安全功能落地。
当前针对智能网联汽车风险评估的具体指导意见和方法暂时还没有出台,可以参考并借鉴J3061中的风险评估方法。
J3061中总共介绍了4种风险评估方法:
EVITA、TVRA、OCTAVE和HEAVENS,其中EVITA和HEAVENS在J3061中介绍最为详尽。
EVITA全称E-SafetyVehicleIntrusionProtectedApplications,电子安全车辆入侵防护应用。
EVITA本身是由欧盟委员会资助的一个项目,始于2008年,起初该项目的参与者都是欧洲的整车厂和汽车电子产业相关的厂商,比如宝马、博世、大陆、ESCRYPT、富士通和英飞凌等。
该项目的主要目标是为汽车车载网络设计、验证和原型架构提供参考,依据和参考ISO/IEC15408和ISO/DIS26262相关标准,保护重要电控单元免受篡改,并且也会保护其敏感数据免受损害。
在风险严重性方面,EVITA针对信息安全风险评估方法来源并参考了ISO26262中的功能安全风险评估方法。
由于ISO26262只是针对于单车和功能安全,因此EVITA便将其扩展到多车和非功能安全上,具体风险严重性分类如下图所示,其中黑色字体部分来自ISO26262,红色字体部分是EVITA扩展出来的。
从严重性等级上来看,EVITA将其分为5个等级,即S0到S4;从评估维度上看,EVITA总共提供了4种评估维度:
功能安全、隐私、财产和操作。
整个风险严重性等级的划分有效的将功能安全和信息安全结合在一起,即将功能安全与非功能安全结合在一起。
这就如同J3061中所阐述的一样,功能安全与信息安
升级会员 