1背景
随着车联网的快速发展,智能汽车逐渐融合了现代通信和网络技术,并应用互联网基于车载智能终端的场景越来越广泛,车载智能终端面临的各种信息安全风险和威胁也大大增加。如何保证车载智能终端的安全性,已经成为一个亟待解决的问题。
在这样的背景下,在车载智能终端的设计和开发中,不仅要考虑业务需求,终端的网络安全需求也是必不可少的重要部分。另一方面,Tara(威胁分析与风险评估)作为终端网络安全需求的开端,从SAE J3061到ISO 21434一直被视为核心的网络安全分析方法,成为智能车联网安全功能开发、实现和测试的前提和基础。
TARA分析方法可以帮助识别车载智能终端的潜在威胁和安全漏洞。通过对威胁的量化风险评估和优先级排序,可以形成高层次的网络安全需求,用于指导后续的设计开发,从而保障车载智能终端的安全。国际主流的TARA分析方法有OCTAVE、TVRA、EVITA、HEAVENSE等。J3061中介绍了四种方法,包括EVITA和HEAVENSE。
EVITA参考了ISO 26262功能安全的评估方法,同时结合信息安全的特点进行了扩展,将非功能安全和多车场景纳入其中。seudies是一种用于汽车电子电气系统威胁分析和风险评估的方法,它还提供了一个完整的评估流程。其目标是提出一种系统的方法,以获得汽车电子和电气系统的信息安全要求。相对来说,天书比EVITA更完整,除了评测方法,还提供了一套完整的评测流程。这里主要介绍更适合车载智能终端的HEAVENSE评测方法。
2天安全模型
01、天堂入门
天堂(修复漏洞以增强软件安全性和安全性)安全模型关注用于车辆电子和电气系统的威胁分析和风险评估的方法、过程和工具。目的是提出一种系统的方法来获得车辆电子和电气系统的网络安全要求。
天书主要有四个特点:应用范围广,乘用车和商用车都可以应用;并且考虑了广泛的利益相关者(例如,OEM、车队所有者、车主、驾驶员、乘客等。);以威胁为中心,同时利用微软评估汽车电子和电气系统威胁的s步距法:
在威胁分析过程中,建立了安全属性和威胁之间的直接映射。在早期阶段评估具体资产对具体技术的影响,包括保密性、完整性和可用性,是有帮助的;结合安全目标(如信息安全、财产、可操作性、隐私和法规等。)有助于评估威胁对相关利益相关方的潜在业务的影响。天堂的工作流程如下图所示:
首先,利益相关者(如客户、汽车和机器制造商等。)定义自己的安全属性和安全目标,并提供被评估对象的典型应用场景。根据风险承担者提供的信息,安全人员进行安全评估。评估过程包括三个阶段:威胁分析、风险评估和安全需求。威胁分析主要通过评估对象或功能的典型应用场景,将威胁与评估对象和安全属性进行映射,形成对应关系;风险评估主要对威胁和评估对象进行分类,具体是通过综合考虑威胁和影响等级两个维度来实现安全分类;最后,将威胁、评估对象、安全属性、安全等级四个维度进行整合,形成安全需求。开发人员最终根据安全需求和安全级别确定开发优先级。
威胁分析是指识别和评估与资产相关的威胁以及威胁和安全属性之间的映射。威胁分析的输入是TOE描述和功能应用场景,产生两个输出:(a)威胁与资产的映射关系,(b)威胁与安全属性的映射关系,从而确定在资产的上下文中哪些安全属性会受到特定威胁的影响。
HEAVENSE使用微软 STRIDE方法分析威胁。STRIDE是一种结构化的定性安全方法,用于发现和列举软件系统中的当前威胁。目前,其适用性已经扩展到汽车电子和电气领域。STRIDE通过将威胁与安全属性相关联,提供了扩展原始CIA模型(真实性、完整性、不可否认性、机密性、可用性、新鲜度和授权)的机会。
每种STRIDE威胁都被静态映射到一组安全属性,这些属性用于指示在风险评估期间,一旦在风险评估期间确定了特定(威胁-资产)对的安全级别,就可以使用它来制定网络安全要求。STRIDE威胁和安全属性之间的映射如下:
以支持V2X业务的车载智能终端为例,在识别资产和威胁业务场景后,得到如下数据流图(示例):
使用STRIDE安全规则分析数据流中所有元素的威胁,得到所有车载智能终端对应资产面临的威胁,如下所示(示例):
通过对资产威胁对,我们可以得到所有车载智能终端面临的威胁:
通常一个车载智能终端面临几百到几千个威胁。系统越复杂,面临的威胁就越多。当然,这些威胁有些本身没有风险,所以需要对每个威胁的风险进行评估,筛选出风险最高的威胁进行防护。
由于篇幅原因,本文先介绍威胁分析的相关内容,其余放在下一个介绍中。
