译者 | 毕阳北京控安可靠应用软件技术创新研究所研制技师
鉴源生物医学
01 什么是TARA
TARA是严重威胁预测与信用风险评估结果(Threat Analysis and Risk Assessment)的简写,其在ISO/SAE 21434中被认为是信息安全预测的核心理念方式。信息安全管理工作横跨于ISO/SAE 21434所明确提出的电动汽车控制系统全合作开发周期,比如在基本概念期(21434国际标准第9段落)中,顺利完成“第一类”(Item)表述后,就须要展开TARA预测来辨识工程车潜在性的严重威胁或其信用风险级别,以明晰信息安全最终目标,并为先期聚合信息安全市场需求提供更多输出,最后辅导先期的萨德基合作开发。在后测试期可对信息安全展开预测,获得的恶意应用软件或其信用风险等级可辅导先期的信用风险处理重大决策。
在ISO/SAE 21434的第15段落中如是说了TARA的认识论,与此同时在第三章H中以电动汽车头灯控制系统为例展开了TARA预测。责任编辑也将紧密结合对个人实战经验对该TARA认识论展开阐释。
02 TARA认识论阐释
在ISO/SAE 21434的TARA范例中国共产党有7个部份,分别为金融资产表述(Asset Identification)、负面影响级别评估结果(Impact Rating)、严重威胁情景辨识(Threat Scenario Identification)、反击路径预测(Attack Path Analysis)、反击可行性研究评估结果(Attack Feasibility Rating)、信用风险级别认定(Risk Value Determination)、信用风险处理重大决策(Risk Treatment Decision)。这7个部份的次序绝非一般来说,图1为21434国际标准中所提议的TARA预测业务流程。
图1 TARA预测业务流程概要图
03 关键性基本概念论说
为更快地如是说TARA预测,接下去将展开关键性基本概念论说:
1. 金融资产(Asset):这类有用的球体或是能造成商业价值的球体。
2. 损害情景(Damage Scenarios,DS):描述第一类功能与不良后果之间的关系;对道路使用者或是相关金融资产造成的危害。
3. 负面影响(Impact):由DS造成的损害、对身体伤害的严重度程度估计。(DS造成为危害的负面影响)
4. 严重威胁情景(Threat Scenarios,TS):造成一个或多个金融资产的信息安全属性严重威胁的潜在性原因,以造成损害情景。(DS的原因)
5. 反击路径(Attack Path):一套恶意的行为以实现严重威胁情景。(实现TS的一种或一组方式,是方式不是物理路径!)
6. 反击可行性研究(Attack Feasibility):描述了成功执行反击路径的难易程度。
7. 信用风险级别(Risk Value):紧密结合负面影响级别和反击可行性研究来描述道路工程车的信息安全不确定性的负面影响。
*注:一个金融资产可以有多个信息安全属性,一个信息安全属性可对应多个损害情景。一个损害情景可对应多个严重威胁情景,一个严重威胁情景可对应多个损害情景。
04 第一类表述
在展开TARA分析前须要顺利完成第一类表述(Item Defintion)来获得明晰的预测范围。所谓第一类,就是在工程车级别实现功能部件或组件。第一类表述包括最终目标第一类的边界、功能、初步控制系统架构等。
05 金融资产表述
这类有用的球体,或是能造成商业价值的球体,即可表述为金融资产。金融资产可分为实体金融资产、数据金融资产(包括ECU固件、通讯数据、用户隐私数据、安全算法等)。辨识金融资产所带有的信息安全属性(Cybersecurity Properties)获得带有信息安全属性的金融资产,进一步可预测其潜在性的损害情景(Damage Scenarios,DS),这是金融资产表述所须要输出的两大产物。可根据第一类表述,借助数据流图(Data Flow Diagram,DFD),从进程、数据流、数据存储、交互方角度考虑获得金融资产,也可基于预表述分类展开枚举、基于损害情景-严重威胁情景获得金融资产。
对于金融资产的信息安全属性最常用的确定方式为微软的STRIDE模型,该模型通过严重威胁来映射到相应的信息安全属性,常用的安全属性包括完整性-I、机密性-C、可用性-A。如表1所示。
表1 STRIDE模型->安全属性映射表
对于损害情景的描述可包括第一类功能与不良后果之间的关系、外部环境、对道路使用或是相关金融资产造成的危害。
损害情景示例,假设金融资产为工程车行驶显示数据,信息安全属性为机密性,那么可以获得损害情景为工程车行驶显示数据被盗,造成乘客隐私信息泄露。如表2所示。
表2 损害情景示例表
06 负面影响级别评估结果
对于负面影响级别的评定可从以下四个评判因子:Safety 安全、Financial 财产、Operational 操作、Privacy 隐私(S、F、O、P)来评定DS的危害负面影响。每个评判因子评级分为四档:Severe 严重的、Major 重大的、Moderate 中等的、Negligible 微不足道的。对于负面影响级别评估结果除了国际标准第三章F以外还可参考J3601。表3-6详细展示了ISO 21434中对于负面影响级别的评定打分。
表3 Safety 安全评判因子级别评定表
表4 Financial 财产评判因子级别评定表
表5 Operational 操作评判因子级别评定表
表6 Privacy 隐私评判因子级别评定表
07 严重威胁情景辨识
严重威胁情景是金融资产被破坏的原因,与此同时也是损害情景的原因。对于严重威胁情景的描述可从以下几个角度来考虑:最终目标金融资产、金融资产的安全属性损失、安全属性损失的原因。
严重威胁情景示例,假设金融资产为工程车行驶显示数据,信息安全属性为机密性,那么获得严重威胁情景为行车显示数据在车内传输过程中,数据被篡改,导致行车显示数据的保密性和私密性被破坏。如表7所示。
表7 严重威胁情景示例表
08 反击路径预测
对于反击路径的辨识分为两种方式,一种为自顶向下的方式,通过预测实现对应严重威胁情景的不同方式来推断反击路径,可借鉴反击树、反击图,通过R155展开自检。另外一种为自底向上的方式,从漏洞(Vulnerability)出发, 如果该反击路径没有导致严重威胁情景,则可停止该条路径的预测。
图2 反击树架构图(From EVITAD2.3)
反击路径示例,对应之前的严重威胁情景有如下反击路径,设备接入通信信道和嗅探通信信道包。如下表8所示。
表8 反击路径示例表
09 反击可行性研究评估结果
评估结果反击可行性研究在国际标准第三章G中列举了三种方式,基于反击潜力(重点如是说)、基于CVSS、基于反击向量。
反击潜力方式对反击路径实现的难易程度评估结果分为四个级别:High、Medium、Low、Very Low,主要从以下五个角度考虑:
1. 经历时长(Elapsed Time),指基于专家知识来辨识漏洞到最后利用漏洞所花费的时间;
2. 专业知识(Specialist Expertise),指反击者的能力包括技能、实战经验等;
3. 第一类或组件的知识(Knowledge of the Item or Component),指反击者对于第一类和组件所须要的信息;
4.窗口期(Window of Opportunity),指能够成功反击的条件因素;
5.设备(Equipment),指反击者发现漏洞或执行反击所须要的工具。
根据以上五个维度的打分,相加获得总分,然后根据反击可行性研究级别评定表(如表9所示)映射到响应的反击可行性研究级别。
表9 反击可行性研究级别评定表
在国际标准中采纳了CVSS(Common Vulnerability Scoring System,通用漏洞评分控制系统)中可利用度的度量国际标准。主要从反击向量、反击复杂性、权限要求和用户交互四个维度展开评估结果。
基于反击向量是对反击可行性研究评估结果比较粗略的方式,以反击距离远近来评定,主要为网络(Network)、相邻(Adjacent)、本地(Local)、物理(Physical)四个国际标准展开评定。
10 信用风险级别认定
危害情景的负面影响程度和相关反击路径的可行性研究通过信用风险矩阵运行确定一个信用风险值。如果一个严重威胁情景对应多损害场景,可为每个负面影响级别确定一个信用风险级别。如果一个严重威胁情景对应多条反击路径,则取反击可行性研究最大的。表10为信用风险矩阵表。
表10信用风险级别评定矩阵表
11 信用风险处理重大决策
对于每一个严重威胁情景或其信用风险值,在国际标准中提议了以下四种重大决策:
· 消除信用风险,通过消除信用风险源来避免信用风险,或是决定不开始或继续展开引起信用风险的活动;
· 缓解信用风险,通过提供更多信息安全最终目标和基本概念来降低信用风险;
· 分担信用风险,购买保险或是与供应商签订信用风险转移合同;
· 保留信用风险,通过提供更多关于信用风险的信息安全声明来保留信用风险。
与此同时在R155中也有对于信用风险处理的重大决策可参考。
参考资料:
[1] ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering.
[2] EVITAD2.3 Security requirements for automotive on-board networks based on dark-side scenarios.
[3] UN Regulation No. 155.
[4] 浅析信息安全国际标准 ISO/SAE 21434 (十一)TARA预测方式. https://zhuanlan.zhihu.com/p/548263655.
[5] 信息安全(Cyber Security)之TARA预测(二). https://zhuanlan.zhihu.com/p/438190748.
[6] 浅谈ISO/SAE 21434电动汽车信息安全国际标准(二)信用风险评估结果方式(上). https://www.eet-china.com/mp/a61838.html.
[7] TARA反击树预测认识论. https://blog.csdn.net/Geely_Tech/article/details/123635208.
