TARA攻击树分析方法论

TARA分析帮助开发人员系统性地找出目标存在的安全问题,然后妥善地处置这些问题,重点在于系统性,而不是纯靠开发人员的灵光一闪。 ISO 21434定义的TARA规范示意图如下。

TARA攻击树分析方法论_第1张图片

攻击树分析,表述了抽象的威胁场景具体有哪些实现路径

判定CAL等级,确认处置措施 : 风险值 = 攻击可行性 × 损害程度

攻击树模型的一个总要前置条件是确认安全目标。

这里以整车电子电气架构作为一个示例去考虑系统边界,暴露在最外侧的是各种物理接口和传感器,再往内就是各种通讯总线,处于端点的是控制器。

从信息交互实体和传播路径考虑,边界内的主要的安全资产可以分类为:

  • 各类物理接口

  • ECU固件

  • 总线通信

  • 用户数据

  • 密码学相关数据

  • 服务或功能

TARA攻击树分析方法论_第2张图片

安全属性模型,有经典的CIA,还有STRIDE威胁模型(对应6个属性),对于车载网络环境,更适合的是EVITA提出的模型,包含以下安全属性:

  • 真实性(身份认证)

  • 完整性

  • 可用性

  • 授权

  • 抗否认性

  • 新鲜度

  • 匿名

  • 机密性

我们将资产和安全属性做一个映射,如下表所示:

TARA攻击树分析方法论_第3张图片

 安全目标可以看作是保护资产的安全属性,那么威胁则是资产的安全属性可能遭到破坏的场景,损害场景则是相应威胁可能导致的破坏或造成的损失。
安全目标 = 保护资产X的安全属性Y
威胁场景 = 何种方式破坏资产X的安全属性Y
损害场景 = 破坏资产X的安全属性Y后可能导致的损害

以ECU固件的完整性为例,安全目标是保护ECU固件的完整性。完整性遭到破坏,即固件遭到篡改,为ECU固件的威胁场景。而具体遭到篡改的数据位置不同,造成的后果也不同,可能有以下几种损害场景:

  1. 篡改了代码段,修改了ECU功能,车辆功能发生变化
  2. 篡改了代码段,植入后门
  3. 篡改了代码段,屏蔽了认证过程,提升权限
  4. 篡改了标定数据,车辆性能发生了变化
  5. 篡改了车辆配置,激活了未付费购买的功能

具体的攻击树实现路径分析,严重依赖于网络安全开发人员的经验。我们也可以参考一些开源的攻击路径数据库,如CAPEC。CAPEC数据库从多个视角对攻击路径进行了分类,常用的有按攻击机制分类和按域分类。这些分类也可以作为参考,进行枚举攻击路径。

按照攻击域来分类:

3000 Domains of Attack

按照攻击机制来分类:

1000 Mechanisms of Attack

R155法规也提供了一个威胁的攻击方法清单(附录5表格A1),可用于自查枚举结果是否完备。

TARA攻击树分析方法论_第4张图片

由于攻击树核对应的措施严重依赖专家经验,建议建立一个汽车电子电气架构的通用技术攻击路径数据库,数据库有多个视图,可以从资产类别,安全属性攻击机制等方法进行分类。

再配合可视化工具从系统的拓扑图上分析,从根节点触发,沿着数据流画出攻击路径上需要经过的节点,以及每个节点或通讯管道的哪些安全属性遭到破坏。我们可以先不考虑每个步骤的可行性有多大,画出如下路径图。

TARA攻击树分析方法论_第5张图片

然后开发人员可以适用工具从数据库中根据安全属性,资产种类查询到对应节点存在哪些攻击方法,包括攻击方法描述,前置条件,攻击原理与示例说明,相关漏洞,减缓措施,并从前置条件可以推断此攻击方法是否适用当前节点,即可完成攻击树模型的确定。

当电气拓扑很复杂,或者是目标资产的分发路径多样化,导致攻击分支过于庞杂时,可以做适当的裁剪,当识别到某个路径的可行性非常低时,可无需继续向下展开分析。

来源:

架构 - 【Zeekr_Tech】TARA攻击树分析方法论 - 个人文章 - SegmentFault 思否

 

你可能感兴趣的:(网络)