智能网联汽车TARA能力建设.docx
《智能网联汽车TARA能力建设.docx》由会员分享,可在线阅读,更多相关《智能网联汽车TARA能力建设.docx(14页珍藏版)》请在冰豆网上搜索。
智能网联汽车TARA能力建设
智能网联汽车TARA建设
智能网联汽车TARA(ThreatAnalysisandRiskAssessment)主要指用来识别和评估智能网联汽车系统中的潜在威胁,并评估相应风险。
TARA是整个智能网联汽车信息安全的重要组成部分,并且贯穿了智能汽车整个生命周期。
根据J3061规范的指导思想,智能网联汽车的信息安全需要在产品规划阶段就开始考虑,只有这样才能将信息安全融入到架构设计、软硬件开发、测试、量产以及售后中去。
TARA不应该是独立的一环,而是成体系的建设,具体建设思路应该包括:
威胁情报获取、风险评估和几种建议的流程。
后续我们将对这三部分做逐一介绍。
本文将重点介绍威胁情报获取,未来几篇文章将对风险评估和集中建议的流程再做深入探讨。
智能网联汽车威胁情报获取是TARA建设的首要一环,要将信息安全纳入到规划阶段,首先就要明确和识别需要保护的资产可能遇到的威胁和风险,然后才能采取相应的安全防护措施来规避威胁,从而降低甚至消除可能发生的信息安全风险。
因此可以说智能网联汽车威胁情报获取是TARA的源头,也是智能网联汽车全生命周期信息安全建设的关键,同时更是对智能网联汽车各种信息安全威胁的积累和了解,至少可以通过渗透测试、第三方咨询机构、媒体和相关机构,这三个途径来获取智能网联汽车的威胁情报。
1.渗透测试是获取智能网联汽车信息安全威胁的首要途径
在J3061规范中,渗透测试是在整车开发阶段后期,对整车信息安全需求验证时所进行。
其作用在于,一方面可以确保规划阶段提出的所有应该实现的安全需求都得到落实;另一方面也可以发现一些可能被利用的未知威胁。
通常情况下,在每次做完渗透测试以后,应该把所有先前未发现的安全威胁记录下来,并最终形成安全威胁数据库,为后续车型的安全规划打下坚实基础。
渗透测试项方面参考了国际信息安全权威机构(如NIST和OWASP等)的相关规定,也结合了在汽车渗透测试方面的实战经验。
智能网联汽车的渗透测试对象应该包含所有ECU、车内外网络和整车这三大部分,并且渗透测试的范围应至少涵盖硬件、固件、操作系统、应用软件、数据和通信这几大方面。
∙硬件渗透测试,主要是针对智能网联汽车ECU的主板、存储介质、外设接口、调试接口、人机交互接口进行的渗透测试,主要用于评测固件被提取、核心敏感器件被识别以及遭受侧信道攻击等硬件相关的安全威胁;
∙固件渗透测试,主要是针对汽车ECU固件逆向、固件替换、刷写其他固件等进行安全评测,从而评估固件可能遭受的安全威胁;
∙操作系统渗透测试,目前主要是针对车载信息娱乐系统主机的渗透测试,主要用于评测已知和未知漏洞风险、安全和健壮性以及对操作系统行为的监控等;
∙应用软件渗透测试,主要用于测试Linux或者Android操作系统运行的应用软件安全性,如果应用软件存在编码或者逻辑方面的安全漏洞和缺陷,可以使攻击者在未授权的情况下非法利用或破坏。
或直接调用并未做任何安全检测的第三方组件,给物联网智能终端带来了极大的安全风险,很可能会引入一些公开的软件漏洞,极易被黑客利用,一旦这些漏洞被利用,同类设备都将遭受影响。
另外,物联网智能终端上所安装的业务应用,如果没有做相应的识别和控制机制,例如应用软件的来源识别、应用软件的安装限制、对已经安装应用软件的敏感行为控制等,很容易被攻击者安装恶意程序或进程来实施攻击行为。
同时软件更新过程同样存在安全隐患,软件升级包升级过程中没有完整性和合法性验证,容易被攻击者从中劫持或更改软件升级包,而没有进行过加密处理的软件升级包,则可能会被攻击者截取用于发起中间人攻击,从而将恶意程序升级到终端当中;
∙数据渗透测试,主要用于测试汽车每个ECU中数据产生、存储、使用、传输、共享以及销毁整个生命周期的数据安全性,从而评估整个数据是否存在被泄露的风险;
∙通信渗透测试,主要是指车外网络,比如车载Wi-Fi、蓝牙等车外网络的渗透测试。
通信传输也是渗透测试当中非常重要的一部分,这是因为在智能网联汽车和云端或者终端之间进行信息通信传输过程中,容易遭受流量分析、窃取、嗅探、重放等网络攻击,进而导致传输信息遭到泄露、劫持、篡改等威胁。
2.第三方咨询机构是获取智能网联汽车信息安全威胁的另外一个重要途径
第三方咨询机构通常拥有大量的资源,能够深入智能网联汽车从车厂、经销商、维修厂等一系列场所,获取这些场所曾经发生的信息安全事件,并通过这些事件提取相应的信息安全威胁,这些信息安全威胁会涉及车厂自己的汽车,也会涉及到其他厂商的汽车,信息量非常庞大。
同时,第三方咨询机构也拥有对信息安全法律法规很强的解读能力,能够通过对法律法规的解读获取相应的信息安全注意事项及需求。
除此之外,第三方咨询机构也会参与到智能网联汽车相关标准的制定中,及时了解标准制定的内容以及推进进度,因此可以提前将可能出台的信息安全标准及时告知车厂,在新车规划的时候将这些信息安全点纳入到规划中。
3.从媒体和相关机构也可以获得部分智能网联汽车信息安全威胁信息
这条途径通常会在整车发布之后,整车进入运维阶段的时候才会使用。
媒体是对各种社会事件非常敏感的机构,能够在第一时间获得相关信息。
同时智能网联汽车也是当下最为热点的话题,无论是国内还是国外智能汽车出现信息安全事件,媒体通常情况下都会进行大量的转发和报道,同时也会对这些信息安全事件进行比较详尽的分析。
因此同与智能网联汽车信息安全比较专注的媒体进行合作,同样可以获取国内外智能网联汽车发生的信息安全威胁事件。
另外,同监管机构合作也是非常好的选择,监管机构也同样拥有大量关于智能网联汽车整个生态的数据,通过对这些数据的分析,比如关联分析、溯源等,能够提炼出部分信息安全威胁情报信息。
获取智能网联汽车信息安全威胁情报是整个TARA的基础,没有信息安全威胁数据的支撑无法实现TARA,同时也无法将信息安全融入到规划当中,智能网联汽车信息安全也无从谈起。
因此所有整车生产厂都应该具备获取信息安全情报的机制、制度和体系,只有这样才能将智能网联汽车信息安全工作建设好。
以上介绍了三个获取威胁的途径:
渗透测试、第三方咨询机构和媒体及相关机构。
理想情况下,应该对所有的威胁进行防护,消除或者降低由威胁所引入的安全风险,但是现实情况并不允许我们这样做,资源、时间和成本永远是制约因素。
正是基于这样的现实情况,首先要将获取的安全威胁进行风险评估,根据评估结果进行优先级划分,再在整车概念阶段按照风险评估的高低,在开发阶段优先开发高优先级安全功能,后续相对较低的安全功能在软件版本迭代中解决,通过OTA升级或者本地升级的方式对整车软件进行升级,从而不断提升整车信息安全。
该思路也是J3061所推荐的。
当前对智能网联汽车风险评估方法仍然存在很大争议,相关统一的标准并未出台,并且该部分也是在历次标准制定过程中争议最大的,这和智能网联汽车使用场景的复杂性有莫大关系。
在参考J3061以及国外相关标准的基础上,建议可以从花费时间、所需经验、必备知识、机会窗口和所需设备,这五个维度对威胁进行风险评估,通过五个维度的定性评估得出该威胁最终导致风险发生的可能性,并根据安全风险发生可能性得出优先级,最后再根据优先级来确定在规划阶段安全功能开发的优先级。
花费时间,主要是指攻击者利用该威胁最终实现攻击所花费的时间。
建议可以分为:
<1天、<1周、<1个月、<3个月、<6个月和>6个月这六项。
所需经验,主要是指攻击者如果想利用该威胁最终实现攻击必须具备的专业经验。
院建议可以分为:
门外汉、熟练、专家和多领域专家这四项。
门外汉指的是不需要任何经验和专业知识的人;熟练是指必须具备一定的专业知识和经验的人;专家指的是资深且拥有丰富的专业知识和经验的人;多领域专家指的是需要在很多领域都有非常资深经验和知识的人。
必备知识,主要指攻击者想利用该威胁最终实现攻击所必须具备的资料、文档甚至是数据等。
建议可以分为:
公开资料、受限资料、敏感资料和绝密资料。
公开资料指的是可以在公开途径中获取,比如芯片手册、产品说明书等;受限资料指的是只能在公司本部门内部传递,比如参考规范文档;敏感资料指的是公司秘密信息,比如各阶段设计文档;绝密资料指的是公司机密信息,比如密钥。
机会窗口,主要指攻击者最终利用该威胁成功实现攻击的难度。
建议可以分为:
无、容易、中等和困难。
无指的是100%可以成功;容易指的是持续攻击1个月或攻击>100次才可能成功。
所需设备,主要指攻击者利用该威胁实现攻击所必须使用的设备。
建议可以分为:
一般设备、特定设备、定制设备和多个定制设备。
一般设备指的是市面上很容易获取并且价格不高的设备,比如USBHUB、SD卡读卡器等;特定设备指的是非常专业的设备,比如编程器、HackRF等;定制设备指的是价格较高,只有某些机构才可能购买,比如侧信道攻击设备、示波器、逻辑分析仪等;多个定制设备指的是需要很多个定制设备。
通过这五个维度的评估方法,同时结合智能网联汽车渗透测试项目中积累的经验,对智能网联汽车重要资产进行通用风险评估后,可将风险发生概率分为:
高、中高、中、低和极低这五个等级,风险发生概率越高,解决的必要性就越高。
具体评估结果如下所示,智能网联汽车渗透测试也根据这个表格对各大车厂的智能网联汽车所需要进行渗透测试的资产进行评估,从而制定相应的测试目标和实施计划。
通过上面表格的评估可以看到TBOX和IVI目前是风险发生比较频繁和发生概率较多的地方,这也印证了很多车厂用户把TBOX和IVI设为渗透测试必测项的原因。
此外,车内ECU由于缺乏启动保护和认证功能,极容易被刷含恶意程序的固件,从而实现DDoS攻击阻断整个车载总线。
该风险评估思路更多是基于安全渗透测试工程师的经验,同时结合EVITA、IPA等参考文献中获得。
本文当中的评估更多的是定性分析,主要目的是提供给读者一个风险评估的思路,通常情况下,这样的风险评估需要功能安全人员和信息安全人员共同评估,同时也会有相应的分析方法将定性分析最终转换成定量方式呈现,在概念阶段进行规划。
以上介绍了智能网联汽车风险评估的思路,可以通过五个维度对所获得的威胁进行风险评估,从而得到风险的优先级,为整车信息安全功能规划和开发打下坚实的基础,毕竟在J3061中也是同样建议汽车信息安全需要在整车规划阶段予以考虑,并在其他阶段予以落实和审查,确保所有安全功能落地。
当前针对智能网联汽车风险评估的具体指导意见和方法暂时还没有出台,可以参考并借鉴J3061中的风险评估方法。
J3061中总共介绍了4种风险评估方法:
EVITA、TVRA、OCTAVE和HEAVENS,其中EVITA和HEAVENS在J3061中介绍最为详尽。
EVITA全称E-SafetyVehicleIntrusionProtectedApplications,电子安全车辆入侵防护应用。
EVITA本身是由欧盟委员会资助的一个项目,始于2008年,起初该项目的参与者都是欧洲的整车厂和汽车电子产业相关的厂商,比如宝马、博世、大陆、ESCRYPT、富士通和英飞凌等。
该项目的主要目标是为汽车车载网络设计、验证和原型架构提供参考,依据和参考ISO/IEC15408和ISO/DIS26262相关标准,保护重要电控单元免受篡改,并且也会保护其敏感数据免受损害。
在风险严重性方面,EVITA针对信息安全风险评估方法来源并参考了ISO26262中的功能安全风险评估方法。
由于ISO26262只是针对于单车和功能安全,因此EVITA便将其扩展到多车和非功能安全上,具体风险严重性分类如下图所示,其中黑色字体部分来自ISO26262,红色字体部分是EVITA扩展出来的。
从严重性等级上来看,EVITA将其分为5个等级,即S0到S4;从评估维度上看,EVITA总共提供了4种评估维度:
功能安全、隐私、财产和操作。
整个风险严重性等级的划分有效的将功能安全和信息安全结合在一起,即将功能安全与非功能安全结合在一起。
这就如同J3061中所阐述的一样,功能安全与信息安全相互包含,又相互独立且相互有交集。
从关键系统角度上看,信息安全关键系统通常会包含功能安全关键系统,很多针对信息安全关键系统的攻击很有可能相当于攻击了功能安全关键系统,比如针对制动系统的攻击,可能是通过IVI上某个浏览器漏洞实现的。
但是并不是所有对信息安全关键系统的攻击都可能会造成功能安全,比如对GPS行车轨迹的泄露,并不会造成功能安全的缺失,但是却是信息安全所无法接受的。
从工程学角度上看,信息安全与功能安全都有各自独立的开发流程,但是又并不代表这两个流程没有任何交集,在处理有些问题的时候是需要相互交流的,比如针对ADAS辅助驾驶的攻击,将恶意程序注入到辅助驾驶系统中,这部分既涉及到信息安全也涉及到功能安全,因此在做处理的时候需要让两个开发流程中的人相互交流和融合,共同探讨出合适的解决方案。
在攻击可能性方面,EVITA采用了基于IT安全评估中所使用的“攻击潜力”这一概念,并会考虑攻击者和他所要攻击的系统。
对于攻击者而言,攻击潜力考虑了许多因素,例如攻击者确定如何攻击系统和执行成功攻击所需的时间、攻击者所需的专业知识、所需系统的知识、需求对于专业设备的需求等。
每个因素都有许多类,每个类都赋有一个数值,例如,攻击者专业知识的类和相应的数值是:
外行(0)、熟练(3)、专家(6)和多个专家(8)。
基于分配给每个因素数值总和的范围,攻击可能性也被分成类别。
攻击潜力的类别包括:
基本、增强基本、中等、高和超高。
攻击潜力范围从基本(意味着容易被攻击)到超越高(意味着极难被攻击)。
在对风险严重性和该风险可能被攻击的概率评估完成后,使用“风险图”的方法将这两个进行组合,从而识别每个威胁的安全风险。
该方法类似于ISO26262第3部分的表4“ASIL测定”。
但是EVITA与ISO26262中的ASIL测定是不同的,ISO26262的严重性等级分为3级,而EVITA信息安全严重性则分了4级(S1-S4,其中S0为无安全风险)。
在进行风险评估时,EVITA采用了将功能安全与非功能安全分开评估的方法。
下图是非功能安全风险图。
表中显示的严重性Si分别是Sp,Sf和So,其中Sp表示隐私威胁的严重性,Sf表示财产威胁的严重性,So表示操作威胁的严重性。
确定的每个潜在威胁的严重程度将映射到表中显示的适当分类(1-4),以及确定的攻击概率(A=1-5)。
通过严重性和攻击概率矩阵中的交集确定风险(R0-R6),针对潜在的威胁评估,其中R0代表最低风险,R6代表最高风险。
功能安全威胁的风险图稍微复杂一些,这主要是由于在进行风险评估时必须将可控性纳入到考虑范围中。
可控性分类用于评估人类采取行动的可能性,以避免与功能安全相关的威胁相关的潜在事故。
可控性被归类为C1-C4,其中C1表示正常的人类响应可以避免事故,C4表示人类不能以避免事故的方式行事,如下所示。
功能安全相关威胁的风险图由四个子矩阵组成,每个可控性可划分为一个矩阵。
因此,对于与功能安全相关的威胁、风险评估则是由可控性、严重性和攻击概率共同组合而成的组合,具体如下所示。
同非功能安全风险图类似,通过可控性、严重性和攻击概率矩阵中的交集确定风险(R1-R7+),针对潜在的威胁进行评估,其中R1代表最低风险,R7+代表最高风险。
在风险评估完成后,需要将风险转换成相应的功能,同时高优先级安全功能应该在开发和验证时得到重点关注。
EVITA在功能阶段时也提供了相应的分析方法——THROP(威胁和可操作性分析),该方法源自于在功能安全中常用的HAZOP(危险和操作性分析)。
THROP类似于HAZOP,只是它考虑潜在威胁而不是潜在危险。
类似于HAZOP,THROP针对特定功能,从功能角度解决风险,具体THROP评估方法如下所示。
可以通过应用上文中描述的EVITA风险评估方法来评估潜在威胁,然后可以根据风险等级对已识别的潜在威胁进行排名,以便进一步将分析的重点放在最高风险威胁上,接着可以针对最高风险威胁确定网络安全目标,并且可以分配唯一标识ID,并用于识别每个网络安全目标。
智能网联汽车信息安全建设是需要在规划阶段开始的,威胁分析与风险评估是整个信息安全建设的基石,可以采用EVITA作为J3061在车厂信息安全威胁分析与风险评估的实践落地在智能网联汽车项目中对整车信息安全进行评估。
因此可以看出EVITA这个评估方法具有非常强的实践性和落地性,未来在相关国家标准尚未出台前,可以作为车厂信息安全威胁分析与风险评估的方法。
在风险评估方面,EVITA参考了ISO26262中的功能安全评估方式,同时也结合信息安全特点进行了扩展,将非功能安全和多车场景纳入其中。
最后使用THROP评估方法将所有的威胁和风险进行统一整理,并最终形成信息安全开发优先级,在保证整车总体信息安全基础上,合理分配研发资源。
除了EVITA评估方法,J3061还重点介绍了HEAVENS评估方法,鉴于当前智能网联汽车信息安全风险评估具体指导意见、方法和标准尚未出台,建议可以根据车厂的实际情况,采用EVITA、HEAVENS或者其他方法对智能汽车信息安全风险进行评估。
HEAVENS是针对汽车电子电气系统威胁分析和风险评估的方法,同时也提供了完整的评估流程,其目标是提出一种系统方法,以便可以获得汽车电子电气系统的信息安全需求。
HEAVENS具有四个主要的特点:
1.适用性范围广泛,可以适用于乘用车和商用车;
2.以威胁为中心,同时采用微软的STRIDE方法对汽车电子电气系统进行威胁评估;
3.在威胁分析期间建立了安全属性与威胁之间的直接映射关系,有助于及早评估特定资产对特定技术的影响程度,这种影响程度包括机密性、完整性和可用性;
4.将安全目标(例如信息安全、财产、操作、隐私和法规等)与威胁分析期间的影响程度相结合,有助于评估威胁对于相关利益方,比如整车制造商的潜在业务影响。
因此HEAVENS是一个非常适用于评估整车电子电气系统信息安全风险的评估方法。
HEAVENS相比于EVITA来说更加完整,除了评估方法外,还提供了一整套评估流程,具体流程如下所示,功能安全评估流程包括三个阶段:
威胁分析、风险评估和安全需求。
该流程主要应用于信息安全规划阶段,流程大概思路是:
首先相关利益方(主要是整车厂)明确自己的安全属性和安全目标,同时提供相应评估对象或功能的典型应用场景,作为整个流程的起始;接着进行威胁分析,通过评估对象或功能典型应用场景,将威胁与评估对象、安全属性进行映射,形成对应关系;然后对威胁与评估对象进行等级划分,具体是通过综合考虑威胁和影响级别两个维度实现安全等级划分;最后再将威胁、评估对象、安全属性和安全等级这四个维度进行整合形成安全需求。
开发人员拿到这些需求,根据安全等级最终确定开发优先级。
下面对每个阶段的评估内容进行详细描述。
威胁分析
威胁分析是指识别与评估资产相关威胁以及威胁与安全属性的映射。
在该阶段中使用了微软的STRIDE方法对威胁进行分析,虽然STRIDE方法主要应用于软件领域,但是目前已经扩展到汽车电子电气领域。
STRIDE将威胁与安全属性,即真实性、完整性、不可否认性、机密性、可用性等相关联,每个类别映射到一组安全属性中。
具体威胁与映射关系如下表所示:
在这个阶段中,需要明确评估对象或功能典型应用场景,并且将这些场景与威胁和安全属性形成对应关系,为后续风险评估阶段做准备。
风险评估
在基于STRIDE方法识别特定资产和威胁之后,需要对风险进行评估,即对威胁进行排名,也就是说要导出每个威胁和资产对应的安全等级(SecurityLevel)。
安全等级用于衡量安全相关资产满足特定安全级别所需的安全机制强度。
安全级别的是通过确定威胁等级(ThreatLevel),即对应于风险的“可能性”,和影响等级(ImpactLevel),即风险的“影响”程度,这两个维度共同确定的。
威胁等级(ThreatLevel)主要通过四个参数进行评估,即经验、评估对象的知识、所需设备和机会窗口,针对这四个参数进行分值评估。
这四个参数在EVITA中也有提及,但是评估内容有所区别。
具体评估列表如下所示:
通过使用这些参数对评估对象的威胁进行评估,然后根据参数值进行等级划分,具体划分原则如下所示。
采用无、低、中、高和严重,这五个等级,同时得出TL具体分值。
影响等级(ImpactLevel)主要是指确保车辆乘客、道路和基础设施安全的要求。
针对于这部分的评估参数主要由功能安全、财产损失、操作和隐私及法规这四部分构成。
这部分的评估相对会比较复杂,既涉及到功能安全,又涉及到信息安全隐私,甚至还需要和法规有关系,因此该部分参考的标准较多,除了ISO26262外,还会参考BSI的相关标准。
功能安全借鉴了ISO26262-3概念阶段中HARA的评估参数,即严重性(Severity)来实现,具体评估内容如下表所示。
严重性在实践落地中可以采用AIS进行参考,这也是ISO26262中所推荐的。
财务损失主要指的是相关利益方,比如整车厂的财产损失,这个和整车厂的财务实力有关。
HEAVENS将限额表示为总销售额、总利润或类似基值的百分比,并且需要将损害定性地分类而不是定量计算损失。
这部分评估借鉴了BSI-100-4中的内容。
具体评估内容如下表所示。
操作性主要是通过车辆缺陷程度对其进行评估,可以借鉴功能安全中的FMEA方法来实现,具体评估内容如下所示。
隐私和法规是两个概念,隐私指的针对车主、车辆运营方和驾驶员等的隐私侵犯;法规是指车主、车辆运营方和驾驶员等因为驾驶违背了相关法律法规,比如环境和交通法规等。
具体隐私和法规的相关评估内容如下表所示,该部分评估内容主要与BSI中的“隐私影响评估指南”保持一致。
经过上面的功能安全、财产损失、操作和隐私及法规这四部分的评估,可以评估出影响等级(ImpactLevel),具体分级如下所示。
通过上面的评估,完成威胁等级和影响等级评估获得TL和IL分值后,就可以通过两个参数的矩阵共同决定安全等级(SecurityLevel),具体评估如下所示。
安全需求
HEAVENS的最后部分是安全需求,即对资产、威胁、安全属性和安全级别进行评估的列表,研发人员根据列表中的安全级别,确定开发优先级。
需要注意的是,有可能存在一个资产会存在多个威胁,因此这个资产也会有多个安全等级,在进行开发的时候,通常的做法是关注安全等级最高的。
下面给出两个最终评估完成的例子,供参考。
HEAVENS和EVITA相比具有如下相同点:
首先,二者都是同功能安全相结合,并且借鉴了ISO26262-3中的HARA评估方法和思路;其次,二者都可以应用于汽车电子电气系统的信息安全评估;最后,二者都关注财产和隐私,而这两个也正是信息安全关注的核心。
HEAVENS和EVITA相比也有不少不同点:
首先,HEAVENS除了评估方法外,还形成了一整套评估流程;其次,HEAVENS在影响等级评估方面除了隐私和财产外,还将操作性和法规纳入到影响度评估范围中,评估的维度比EVITA要大;最后,HEAVENS的评估内容除了参考ISO26262外,还借鉴了BSI相关标准,使得评估的可信程度得到了一定的提高。
升级会员 