记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

车载智能终端威胁分析与风险评估方法之HEAVENS

2021-09-06 08:24

  

点击上方蓝字 关注我


    1    背景

    随着车联网的迅速发展,智能汽车逐渐融合现代通信与网络技术,基于车载智能终端的“互联网+”场景应用越发广泛,车载智能终端面临的各种信息安全风险与威胁也随之大增。如何确保车载智能终端的安全性成为一个急待解决的问题。以此为背景,在车载智能终端的设计开发中,不仅需要考虑业务需求,终端的网络安全需求也是必不可少的重要组成部分。而车载智能终端的威胁分析与风险评估(TARA:Threat Analysis and Risk Assessment)则作为终端网络安全需求的开始,从SAE J3061到ISO 21434,均被作为核心的网络安全分析方法,已成为智能汽车网络安全功能开发实施与测试的前提和基础。
 

    TARA分析方法可以帮助识别车载智能终端潜在的威胁和安全漏洞,通过对威胁的风险量化评估与优先级排序,形成一份高层级的网络安全需求,用于指导后续的设计与开发,进而保障车载智能终端的安全性。国际主流的TARA分析方法包括OCTAVE、TVRA、EVITA、HEAVENSE等。在J3061中有关于这4种方法的介绍,其中对EVITA和HEAVENSE有较为详细的介绍。EVITA参考了ISO 26262中的功能安全评估方式,同时结合信息安全特点进行了扩展,将非功能安全和多车场景纳入其中。HEAVENS是针对汽车电子电气系统威胁分析和风险评估的方法,同时也提供了完整的评估流程,其目标是提出一种系统方法,以便可以获得汽车电子电气系统的信息安全需求。相对而言,HEAVENS相对于EVITA来说更加完整,除了评估方法外,还提供了一整套评估流程。在此我们主要介绍比较适合车载智能终端的HEAVENSE评估方法。



 

2    HEAVENS安全模型


01、HEAVENS简介

    HEAVENS(HEAling Vulnerabilities to ENhance Software Security and Safety)安全模型专注于为车辆电子电气系统进行威胁分析和风险评估时使用的的方法、过程和工具。其目的是提出一种系统的方法来获取车辆电子电气系统的网络安全要求。HEAVENS具有四个主要的特点:


  1. 适用范围广泛,可以同时适用于乘用车和商用车;且考虑了广泛的利益相关方(例如,OEM、车队拥有者、车主、司机、乘客等等);

  2. 以威胁为中心,同时采用微软的STRIDE方法对汽车电子电气系统进行威胁评估;

  3. 在威胁分析过程中建立了安全属性与威胁之间的直接映射。有助于及早评估特定资产对特定技术的影响程度,这种影响程度包括机密性、完整性和可用性;

  4. 将安全目标(例如信息安全、财产、操作性、隐私和法规等)与威胁分析期间的影响程度相结合,有助于评估威胁对于相关利益方潜在业务的影响。


HEAVENSE的工作流如下图所示:

 

    首先由干系人(如客户,车机厂商等)明确自己的安全属性安全目标并提供评估对象的典型应用场景。根据干系人提供的信息,安全人员展开安全评估工作,评估流程包括三个阶段:威胁分析、风险评估和安全需求。威胁分析主要通过评估对象或功能典型应用场景,将威胁与评估对象、安全属性进行映射,形成对应关系;风险评估主要对威胁与评估对象进行等级划分,具体是通过综合考虑威胁和影响等级两个维度实现安全等级划分;最后再将威胁、评估对象、安全属性和安全等级这四个维度进行整合形成安全需求。开发人员根据安全需求与安全等级最终确定开发优先级。

 

接下来对每个阶段的评估内容进行详细描述。




 

02、威胁分析

    威胁分析是指识别与评估资产相关威胁以及威胁与安全属性的映射。

 

    威胁分析的输入为TOE描述与功能应用场景,产生两个输出:(a)威胁和资产之间的映射关系,(b)威胁和安全属性之间的映射关系,以确定资产上下文中的特定威胁会影响哪些安全属性。

 

    HEAVENSE采用的是微软的STRIDE方法对威胁进行分析,STRIDE是一种结构化和定性的安全方法,用于在软件系统中发现和枚举当前的威胁,目前其适用性已经扩展到汽车电子电气领域。STRIDE通过将威胁与安全属性关联起来,提供了扩展CIA(机密性,完整性,可用性)原始模型的机会(真实性、完整性、不可抵赖性、机密性、可用性、新鲜度和授权)。每一类的STRIDE威胁被静态的映射到一组安全属性,用于表示在风险评估期间,一旦在风险评估期间确定了特定(威胁-资产)对的安全等级,就可用于制定网络安全需求。STRIDE威胁和安全属性之间的映射如下所示:

 

    以支持V2X业务的车载智能终端为例,识别资产和威胁业务场景之后,得到如下数据流图(示例):

 

使用STRIDE安全规则,对数据流中的所有元素进行威胁分析,得到所有车载智能终端对应资产所面临的的威胁,如下列所示 (示例):

 

通过对“资产-威胁”对进行详细分析,可得到所有车载智能终端面临的威胁:

 

    通常情况下,一个车载智能终端面临的威胁在几百到几千条之间,越是复杂的系统,面临的威胁越多。当然其中有一些威胁本身并没有什么风险,这就需要对每条威胁进行风险评估,筛选出其中风险最高的威胁进行防护。




2    HEAVENS安全模型


03、风险评估

 

    风险评估是指对威胁进行排序。在基于STRIDE方法识别特定用例的威胁资产对之后,继续进行对威胁进行排序的风险评估,确定每个(威胁-资产)对的安全等级。安全等级(Security Level, SL) 用于衡量安全相关资产满足特定安全级别所需的安全机制强度。

 

风险评估包括三个步骤:

  1. 威胁等级的确定(TL):对应“可能性”分量的估计风险;

  2. 测定的影响水平(IL):对应“影响”等级的估计的风险;

  3. 测定安全等级(SL):对应于最后的风险评级;

 

    威胁等级(Threat Level)主要通过四个参数进行评估,即经验、评估对象的知识、所需设备和机会窗口,针对这四个参数进行分值评估,每个参数从易到难分为4个等级,分值从低到高分为0,1,2,3。


    对于每个威胁-资产对,将每个参数的值相加并定义范围,以确定对应于每个已识别范围的威胁级别,采用5个不同的威胁等级(无、低、中、高、严重),同时得出TL具体分值,分值越高,表示攻击难度越大,威胁等级越低;分值越低,表示攻击难度越低,威胁等级越高。

 

    影响等级(Impact Level)主要是指确保车辆使用者、道路使用者和基础设施安全的要求。针对于这部分的评估参数主要由“功能安全、财产损失、操作性和隐私及法规”这四部分构成。这部分的评估相对会比较复杂,参考的标准较多,除了ISO26262外,还会参考BSI的相关标准。

 

    在HEAVENSE模型中,不同的影响参数被赋予了不同的权重。“功能安全”与“财务损失”在估算总体影响水平时,参数具有相同的权重, “操作性”以及“隐私和法规”参数对总体评价的影响相对较低。因此在评估“操作性”和“隐私及法规”时,其分值权重会相应降低。

 

    关于“功能安全”,借鉴了ISO 26262-3概念阶段中HARA的评估参数,即严重性(Severity)来实现。从对人身造成的伤害程度,分为4个等级,分值分别为:0,10,100,1000。 

 

     “财务损失”主要指的是利益相关方,比如整车厂的财产损失,这个和整车厂的财务实力有关。这部分评估借鉴了BSI-100-4中的内容。从风险造成的损失,分为4个等级,分值分别为:0,10,100,1000。

 

     “操作性”主要是通过车辆缺陷程度对其进行评估,可以借鉴功能安全中的FMEA方法来实现。从车辆可使用性进行判别,分为4个等级,分值分别为:0,10,100,1000。

 

    “隐私和法规”是两个概念,隐私指的针对车主、车辆运营方和驾驶员等的隐私侵犯;法规是指车主、车辆运营方和驾驶员等因为驾驶违背了相关法律法规,比如环境和交通法规等。具体隐私和法规的相关评估内容如下表所示,该部分评估内容主要与BSI中的“隐私影响评估指南”保持一致。从隐私暴露和合法性的角度,分为4个等级,分值分别为:0,1,10,100。

 

    经过上面的“安全、财产损失、操作性及隐私和法规”这四部分的评估,将所有分值进行相加,可以评估出影响等级(Impact Level),具体分级如下所示。分值越高表示风险越大。

 

    通过上面的评估,完成威胁等级和影响等级评估获得TL和IL分值后,就可以通过两个参数的矩阵共同决定安全等级(Security Level),具体评估如下所示。风险等级分为:QM(无影响),低,中,高,严重。

 

    每个参数的详细评分标准可参考 J3061,在此不再展开描述。以车载智能终端 SSH 服务面临的抵赖风险为例:

 

    通过风险评估得出,其TL参数总和为5分,对应表4威胁等级定级为中,TL分值为2:TL=2(专家)+2(敏感)+0(标准)+1(中)=5分,

其IL参数总和为20分,对应表5影响等级为中级,IL分值为2:IL=0(无伤害)+10(低)+0(无效)+10(中)=20分。最终查询表6可得到此威胁的最终安全等级为中级。

 

    通常情况下,我们会根据安全等级的严重程度,进行优先级排序,作为安全需求整理的输入,优先处理安全等级高的威胁。

 




04、安全需求整理

    HAVENSE安全模型的最后一部分是基于资产、威胁、安全属性和安全等级来推导安全需求。

 

    此时一定要综合各方面的因素,并考虑最初的安全目标以及具有安全等级的威胁。在满足安全目标的前提下,按照安全等级,从高到底整理安全需求。

 

    以SSH服务面临的抵赖风险为例,通过风险评估,得出此威胁的最终安全等级为中级,因此我们可以针对此风险设定相关的安全需求:要求SSH服务必须提供安全审计功能,对所有SSH的登陆登出操作,以及Shell历史进行安全审计,防止抵赖。

 

    注意,一个资产可能存在多个威胁,因此,这个资产相关的所有威胁可能应对多个安全等级。确定资产整体安全级别的一种方法是考虑与资产相关的所有威胁的所有安全级别中最高的安全级别。另一种选择是考虑最高威胁等级和影响等级,以定义资产的安全级别。

 

    最终的安全需求除了需要覆盖最初的安全目标之外,还需要考虑当地的法律法规,以及业界认可的最佳实践、企业以往项目的经验教训等方面的内容。



05、HEAVENS 工具化


    之前已经提到HEAVENS安全模型专注于威胁分析与安全评估时使用的方法、流程与工具。由于有明确的方法、流程和工具,所以HEAVENS是非常适合工具化的安全模型。

 

    根据HEAVENS的方法与流程,首先由利益相关方提出安全属性与安全目标,然后梳理出评估目标以及对应的功能应用场景。这部分通常需要以咨询的方式展开,借助格式化文档等工具收集必要的信息。

 

    随后的威胁分析和风险评估流程以及其中使用到的工具(STRIDE,评分标准等)均可以实现工具化。同时威胁分析与风险评估报告完全可以自动化生成。根据威胁分析与风险评估报告也可自动化生成安全需求文档,从而大大的缩短分析与评估的时间周期,加快项目推进,节省人力资源,保证分析与评估的质量。

 

    关于HEAVENS的工具化,帆一尚行安全团队已经开发出了一款适用于车联网应用场景的威胁建模工具,可以完全匹配HEAVENS安全模型并且能够达到上述的要求,而且操作非常方便,我们会在接下来的文章中介绍给大家。

 



3    小结

 

智能网联汽车信息安全建设需要在规划阶段开始,威胁分析与风险评估是整个信息安全建设的基石,可以采用HEAVENS作为J3061/ISO21434在车厂信息安全威胁分析与风险评估的实践落地,采用该方法同EVITA、ISO 26262等标准相结合的方式进行安全评估,具有较强的借鉴意义。HEAVENS安全模型的工具化则可以极大的提高威胁分析和风险评估的效率,避免人为因素导致的威胁场景遗漏或风险评级产生波动等情况发生,高效、高质量的完成车联网终端的威胁分析与风险评估工作。


原文地址:

https://www.auto-testing.net/news/show-109659.html


扫描二维码获取

更多精彩

洛米唯熊





点个在看 你最好看




知识来源: https://mp.weixin.qq.com/s?__biz=MzIzODE0NDc3OQ==&mid=2247490564&idx=1&sn=17bf47ffd4261da12a1752e000903353

阅读:27052 | 评论:0 | 标签:智能 分析

想收藏或者和大家分享这篇好文章→复制链接地址

“车载智能终端威胁分析与风险评估方法之HEAVENS”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云