车载智能终端威胁分析与风险评估方法之HEAVENS-上篇
车载智能终端威胁分析与
风险评估方法之HEAVENS
1 背景
随着车联网的迅速发展,智能汽车逐渐融合现代通信与网络技术,基于车载智能终端的“互联网+”场景应用越发广泛,车载智能终端面临的各种信息安全风险与威胁也随之大增。如何确保车载智能终端的安全性成为一个急待解决的问题。以此为背景,在车载智能终端的设计开发中,不仅需要考虑业务需求,终端的网络安全需求也是必不可少的重要组成部分。而车载智能终端的威胁分析与风险评估(TARA:Threat Analysis and Risk Assessment)则作为终端网络安全需求的开始,从SAE J3061到ISO 21434,均被作为核心的网络安全分析方法,已成为智能汽车网络安全功能开发实施与测试的前提和基础。
TARA分析方法可以帮助识别车载智能终端潜在的威胁和安全漏洞,通过对威胁的风险量化评估与优先级排序,形成一份高层级的网络安全需求,用于指导后续的设计与开发,进而保障车载智能终端的安全性。国际主流的TARA分析方法包括OCTAVE、TVRA、EVITA、HEAVENSE等。在J3061中有关于这4种方法的介绍,其中对EVITA和HEAVENSE有较为详细的介绍。EVITA参考了ISO 26262中的功能安全评估方式,同时结合信息安全特点进行了扩展,将非功能安全和多车场景纳入其中。HEAVENS是针对汽车电子电气系统威胁分析和风险评估的方法,同时也提供了完整的评估流程,其目标是提出一种系统方法,以便可以获得汽车电子电气系统的信息安全需求。相对而言,HEAVENS相对于EVITA来说更加完整,除了评估方法外,还提供了一整套评估流程。在此我们主要介绍比较适合车载智能终端的HEAVENSE评估方法。
2 HEAVENS安全模型
01
HEAVENS简介
HEAVENS(HEAling Vulnerabilities to ENhance Software Security and Safety)安全模型专注于为车辆电子电气系统进行威胁分析和风险评估时使用的的方法、过程和工具。其目的是提出一种系统的方法来获取车辆电子电气系统的网络安全要求。HEAVENS具有四个主要的特点:
适用范围广泛,可以同时适用于乘用车和商用车;且考虑了广泛的利益相关方(例如,OEM、车队拥有者、车主、司机、乘客等等);
以威胁为中心,同时采用微软的STRIDE方法对汽车电子电气系统进行威胁评估;
在威胁分析过程中建立了安全属性与威胁之间的直接映射。有助于及早评估特定资产对特定技术的影响程度,这种影响程度包括机密性、完整性和可用性;
将安全目标(例如信息安全、财产、操作性、隐私和法规等)与威胁分析期间的影响程度相结合,有助于评估威胁对于相关利益方潜在业务的影响。
HEAVENSE的工作流如下图所示:
首先由干系人(如客户,车机厂商等)明确自己的安全属性安全目标并提供评估对象的典型应用场景。根据干系人提供的信息,安全人员展开安全评估工作,评估流程包括三个阶段:威胁分析、风险评估和安全需求。威胁分析主要通过评估对象或功能典型应用场景,将威胁与评估对象、安全属性进行映射,形成对应关系;风险评估主要对威胁与评估对象进行等级划分,具体是通过综合考虑威胁和影响等级两个维度实现安全等级划分;最后再将威胁、评估对象、安全属性和安全等级这四个维度进行整合形成安全需求。开发人员根据安全需求与安全等级最终确定开发优先级。
接下来对每个阶段的评估内容进行详细描述。
02
威胁分析
威胁分析是指识别与评估资产相关威胁以及威胁与安全属性的映射。
威胁分析的输入为TOE描述与功能应用场景,产生两个输出:(a)威胁和资产之间的映射关系,(b)威胁和安全属性之间的映射关系,以确定资产上下文中的特定威胁会影响哪些安全属性。
HEAVENSE采用的是微软的STRIDE方法对威胁进行分析,STRIDE是一种结构化和定性的安全方法,用于在软件系统中发现和枚举当前的威胁,目前其适用性已经扩展到汽车电子电气领域。STRIDE通过将威胁与安全属性关联起来,提供了扩展CIA(机密性,完整性,可用性)原始模型的机会(真实性、完整性、不可抵赖性、机密性、可用性、新鲜度和授权)。每一类的STRIDE威胁被静态的映射到一组安全属性,用于表示在风险评估期间,一旦在风险评估期间确定了特定(威胁-资产)对的安全等级,就可用于制定网络安全需求。STRIDE威胁和安全属性之间的映射如下所示:
以支持V2X业务的车载智能终端为例,识别资产和威胁业务场景之后,得到如下数据流图(示例):
使用STRIDE安全规则,对数据流中的所有元素进行威胁分析,得到所有车载智能终端对应资产所面临的的威胁,如下列所示 (示例):
通过对“资产-威胁”对进行详细分析,可得到所有车载智能终端面临的威胁:
通常情况下,一个车载智能终端面临的威胁在几百到几千条之间,越是复杂的系统,面临的威胁越多。当然其中有一些威胁本身并没有什么风险,这就需要对每条威胁进行风险评估,筛选出其中风险最高的威胁进行防护。
由于篇幅原因,
本篇先介绍到威胁分析相关的内容,
剩余内容放到下篇介绍。
-TBC-
声明:本文内容及图片由BC-AUTO转载至网络,信息来源于公众号帆一尚行。