0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

TARA分析方法论

上海控安 来源:上海控安 作者:上海控安 2022-09-14 10:44 次阅读

作者 |沈平上海控安可信软件创新研究院研发工程师

来源 |鉴源实验室

01什么是TARA

TARA是威胁分析与风险评估(Threat Analysis and Risk Assessment)的缩写,其在ISO/SAE 21434中被认为是网络安全分析的核心方法。网络安全管理贯穿于ISO/SAE 21434所提出的汽车系统全生命周期,例如在概念阶段(21434标准第9章节)中,完成“对象”(Item)定义后,就需要进行TARA分析来识别车辆潜在的威胁及其风险等级,以明确网络安全目标,并为后续生成网络安全需求提供输入,最终指导后续的正向开发。在后开发阶段可对网络安全进行分析,得到的安全漏洞及其风险等级可指导后续的风险处置决策。

在ISO/SAE 21434的第15章节中介绍了TARA的方法论,同时在附录H中以汽车大灯系统为例进行了TARA分析。本文也将结合个人经验对该TARA方法论进行解读。

02TARA方法论解读

在ISO/SAE 21434的TARA例子中共有7个部分,分别为资产定义(Asset Identification)、影响等级评估(Impact Rating)、威胁场景识别(Threat Scenario Identification)、攻击路径分析(Attack Path Analysis)、攻击可行性评估(Attack Feasibility Rating)、风险等级判定(Risk Value Determination)、风险处置决策(Risk Treatment Decision)。这7个部分的顺序并非固定,图1为21434标准中所建议的TARA分析流程。

pYYBAGMhQA2AFajtAAB3or2U2RI733.png

图1 TARA分析流程概览图

03关键概念辨析

为更好地介绍TARA分析,接下来将进行关键概念辨析:

1.资产(Asset):本身有价值的物体或者能产生价值的物体。

2.损害场景(Damage Scenarios,DS):描述对象功能与不良后果之间的关系;对道路使用者或者相关资产造成的危害。

3.影响(Impact):由DS造成的损害、对身体伤害的严重度程度估计。(DS造成为危害的影响)

4.威胁场景(Threat Scenarios,TS):造成一个或多个资产的网络安全属性威胁的潜在原因,以造成损害情景。(DS的原因)

5.攻击路径(Attack Path):一套恶意的行为以实现威胁情景。(实现TS的一种或一组方法,是方法不是物理路径!)

6.攻击可行性(Attack Feasibility):描述了成功执行攻击路径的难易程度。

7.风险等级(Risk Value):结合影响等级和攻击可行性来描述道路车辆的网络安全不确定性的影响。

*注:一个资产可以有多个网络安全属性,一个网络安全属性可对应多个损害场景。一个损害场景可对应多个威胁场景,一个威胁场景可对应多个损害场景。


04对象定义

在进行TARA分析前需要完成对象定义(Item Defintion)来得到明确的分析范围。所谓对象,就是在车辆级别实现功能部件或组件。对象定义包括目标对象的边界、功能、初步系统架构等。

05资产定义

本身有价值的物体,或者能产生价值的物体,即可定义为资产。资产可分为实体资产、数据资产(包括ECU固件、通讯数据、用户隐私数据、安全算法等)。识别资产所带有的网络安全属性(Cybersecurity Properties)得到带有网络安全属性的资产,进一步可分析其潜在的损害场景(Damage Scenarios,DS),这是资产定义所需要输出的两大产物。可根据对象定义,借助数据流图(Data Flow Diagram,DFD),从进程、数据流、数据存储、交互方角度考虑得到资产,也可基于预定义分类进行枚举、基于损害场景-威胁场景得到资产。

对于资产的网络安全属性最常用的确定方法为微软的STRIDE模型,该模型通过威胁来映射到相应的网络安全属性,常用的安全属性包括完整性-I、机密性-C、可用性-A。如表1所示。

poYBAGMhQA2AbdPrAAD_JNQ81EE915.png

表1 STRIDE模型->安全属性映射表

对于损害场景的描述可包括对象功能与不良后果之间的关系、外部环境、对道路使用或者相关资产造成的危害。

损害场景示例,假设资产为车辆行驶显示数据,网络安全属性为机密性,那么可以得到损害场景为车辆行驶显示数据被盗,造成乘客隐私信息泄露。如表2所示。

pYYBAGMhQA6AL1hyAABVH2kjE0A190.png

表2 损害场景示例表

06影响等级评估

对于影响等级的评定可从以下四个评判因子:Safety 安全、Financial 财产、Operational 操作、Privacy 隐私(S、F、O、P)来评定DS的危害影响。每个评判因子评级分为四档:Severe 严重的、Major 重大的、Moderate 中等的、Negligible 微不足道的。对于影响等级评估除了标准附录F以外还可参考J3601。表3-6详细展示了ISO 21434中对于影响等级的评定打分。

poYBAGMhQA6AUHXJAACAEPE3L4c804.png

表3 Safety 安全评判因子等级评定表

poYBAGMhQA-AMoy5AAE1ynDhZ9Q812.png

表4 Financial 财产评判因子等级评定表

pYYBAGMhQA-AObMxAADWsc7gLeY021.png

表5 Operational 操作评判因子等级评定表

poYBAGMhQA-AD34nAADazJ1s-wY516.png

表6 Privacy 隐私评判因子等级评定表

07威胁场景识别

威胁场景是资产被破坏的原因,同时也是损害场景的原因。对于威胁场景的描述可从以下几个角度来考虑:目标资产、资产的安全属性损失、安全属性损失的原因。

威胁场景示例,假设资产为车辆行驶显示数据,网络安全属性为机密性,那么得到威胁场景为行车显示数据在车内传输过程中,数据被篡改,导致行车显示数据的保密性和私密性被破坏。如表7所示。

pYYBAGMhQA-AQycaAABs0U84oGw666.png

表7 威胁场景示例表

08攻击路径分析

对于攻击路径的识别分为两种方法,一种为自顶向下的方法,通过分析实现对应威胁场景的不同方法来推断攻击路径,可借鉴攻击树、攻击图,通过R155进行自检。另外一种为自底向上的方法,从漏洞(Vulnerability)出发, 如果该攻击路径没有导致威胁场景,则可停止该条路径的分析。

poYBAGMhQBGAJYx_AAJTNmxD-Z0877.png

图2 攻击树架构图(From EVITAD2.3)

攻击路径示例,对应之前的威胁场景有如下攻击路径,设备接入通信信道和嗅探通信信道包。如下表8所示。

pYYBAGMhQBGARfYpAABv4V_H0lk541.png

表8 攻击路径示例表

09攻击可行性评估

评估攻击可行性在标准附录G中列举了三种方法,基于攻击潜力(重点介绍)、基于CVSS、基于攻击向量。

攻击潜力方法对攻击路径实现的难易程度评估分为四个等级:High、Medium、Low、Very Low,主要从以下五个角度考虑:

1.经历时长(Elapsed Time),指基于专家知识来识别漏洞到最后利用漏洞所花费的时间;

2.专业知识(Specialist Expertise),指攻击者的能力包括技能、经验等;

3.对象或组件的知识(Knowledge of the Item or Component),指攻击者对于对象和组件所需要的信息;

4.窗口期(Window of Opportunity),指能够成功攻击的条件因素;

5.设备(Equipment),指攻击者发现漏洞或执行攻击所需要的工具。

根据以上五个维度的打分,相加得到总分,然后根据攻击可行性等级评定表(如表9所示)映射到响应的攻击可行性等级。

poYBAGMhQBKAfaWOAABVO8WQXgc505.png

表9 攻击可行性等级评定表

在标准中采纳了CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)中可利用度的度量标准。主要从攻击向量、攻击复杂性、权限要求和用户交互四个维度进行评估。

基于攻击向量是对攻击可行性评估比较粗略的方法,以攻击距离远近来评定,主要为网络(Network)、相邻(Adjacent)、本地(Local)、物理(Physical)四个标准进行评定。

10风险等级判定

危害场景的影响程度和相关攻击路径的可行性通过风险矩阵运行确定一个风险值。如果一个威胁场景对应多损害场景,可为每个影响等级确定一个风险等级。如果一个威胁场景对应多条攻击路径,则取攻击可行性最大的。表10为风险矩阵表。

pYYBAGMhQBKAGAiEAABxF1CVRWg368.png

表10风险等级评定矩阵表

11风险处置决策

对于每一个威胁场景及其风险值,在标准中建议了以下四种决策:

· 消除风险,通过消除风险源来避免风险,或者决定不开始或继续进行引起风险的活动;

· 缓解风险,通过提供网络安全目标和概念来降低风险;

· 分担风险,购买保险或者与供应商签订风险转移合同;

· 保留风险,通过提供关于风险的网络安全声明来保留风险。

同时在R155中也有对于风险处置的决策可参考。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    9

    文章

    2916

    浏览量

    58613
收藏 人收藏

    评论

    相关推荐

    含耦合电感的电路分析方法有哪些

    含有耦合电感的电路分析方法主要有以下几种:进行频域分析的傅里叶分析法,进行时域分析的电压传输函数法,以及结合时间和频率的混合
    的头像 发表于 03-09 10:49 424次阅读

    arcgis空间分析方法有哪些

    ArcGIS是一种广泛使用的地理信息系统(GIS)软件,它提供了许多强大的空间分析方法。空间分析是用来理解和解释地理现象及其相互关系的过程。以下是一些常用的ArcGIS空间分析
    的头像 发表于 02-25 11:36 467次阅读

    为行业找路径,为商业筑壁垒,解码容联云的大模型“方法论

    为行业找路径,为商业筑壁垒,解码容联云的大模型“方法论
    的头像 发表于 12-21 21:56 921次阅读
    为行业找路径,为商业筑壁垒,解码容联云的大模型“<b class='flag-5'>方法论</b>”

    教你几种电路分析的高效方法

    教你几种电路分析的高效方法
    的头像 发表于 12-15 09:16 402次阅读
    教你几种电路<b class='flag-5'>分析</b>的高效<b class='flag-5'>方法</b>

    如何提高汽车TARA分析的性价比?

    本文将从网络空间维度来探讨如何降低安全架构的成本。对OEM来说,这个方法的效果会更明显。
    的头像 发表于 12-13 14:24 250次阅读

    如何提高汽车TARA分析的性价比?如何降低安全架构的成本?

    现在国内外各个OEM还有零部件供应商都在做TARA分析,不过大部分OEM和零部件供应商可能在这一块并没有太多经验,导致尽管可能花了不少时间和金钱,但是很难向公司的管理层去说明,因为做TARA
    的头像 发表于 12-04 09:45 677次阅读
    如何提高汽车<b class='flag-5'>TARA</b><b class='flag-5'>分析</b>的性价比?如何降低安全架构的成本?

    RFI整流的分析和预防方法

    电子发烧友网站提供《RFI整流的分析和预防方法.pdf》资料免费下载
    发表于 11-27 09:33 0次下载
    RFI整流的<b class='flag-5'>分析</b>和预防<b class='flag-5'>方法</b>

    差示扫描量热法热分析方法

    差示扫描量热法(DSC)是一种热分析方法,在程序控制温度下,输入到试样和参比物的功率差与温度的关系。而差示扫描量热仪是利用这种方法,来测量材料的玻璃化转变温度、熔点、比热容和氧化诱导期,来对材料
    的头像 发表于 11-21 13:37 395次阅读
    差示扫描量热法热<b class='flag-5'>分析</b><b class='flag-5'>方法</b>

    含受控源电路的一般分析方法

    电子发烧友网站提供《含受控源电路的一般分析方法.pdf》资料免费下载
    发表于 11-18 14:27 0次下载
    含受控源电路的一般<b class='flag-5'>分析</b><b class='flag-5'>方法</b>

    51.48 线性代数应用方法论

    数据网络应用程序
    充八万
    发布于 :2023年07月20日 23:11:01

    Tara Systems为兆易创新GD32 MCU提供Embedded Wizard图形界面开发工具

    兆易创新与德国TARA Systems公司联合宣布,GD32高性能通用微控制器产品家族已与TARA Systems旗下的Embedded Wizard嵌入式图形用户界面(GUI)技术达成生态合作伙伴关系。
    的头像 发表于 06-20 10:29 515次阅读

    SAP S/4HAN入门篇(3)-嵌入式分析功能、数据模型、实施方法论

    本篇介绍S/4HANA产品中的嵌入式分析(Embedded Analytics)功能和VDM(Virtual Data Model)数据模型,以及S/4HANA的实施方法论简述。
    的头像 发表于 06-10 09:05 365次阅读
    SAP S/4HAN入门篇(3)-嵌入式<b class='flag-5'>分析</b>功能、数据模型、实施<b class='flag-5'>方法论</b>

    PLC学习必看的伺服电机控制方法论

    plc
    YS YYDS
    发布于 :2023年05月25日 17:36:22

    几种高效的电路分析方法

    对电路进行分析方法很多,如叠加定理、支路分析法、网孔分析法、结点分析法、戴维南和诺顿定理等。根据具体电路及相关条件灵活运用这些
    的头像 发表于 05-05 16:47 655次阅读
    几种高效的电路<b class='flag-5'>分析</b><b class='flag-5'>方法</b>

    爱立信的5G方法论

    第29届中国国际广播电视信息网络展览会(CCBN)在北京首钢园会议中心开启,爱立信中国区技术部副总经理张永涛、爱立信东北亚无线网络产品部硬件总监唐黎明,就“释放5G潜能”、“打造绿色5G”,分享了爱立信的方法论和最新实践。
    的头像 发表于 04-23 14:27 1843次阅读