TARA分析方法論

作者 |沈平上?？匕部尚跑浖?chuàng)新研究院研發(fā)工程師

來源 |鑒源實驗室

01什么是TARA

TARA是威脅分析與風險評估（Threat Analysis and Risk Assessment）的縮寫,其在ISO/SAE 21434中被認為是網(wǎng)絡安全分析的核心方法。網(wǎng)絡安全管理貫穿于ISO/SAE 21434所提出的汽車系統(tǒng)全生命周期，例如在概念階段（21434標準第9章節(jié)）中，完成“對象”（Item）定義后，就需要進行TARA分析來識別車輛潛在的威脅及其風險等級，以明確網(wǎng)絡安全目標，并為后續(xù)生成網(wǎng)絡安全需求提供輸入，最終指導后續(xù)的正向開發(fā)。在后開發(fā)階段可對網(wǎng)絡安全進行分析，得到的安全漏洞及其風險等級可指導后續(xù)的風險處置決策。

在ISO/SAE 21434的第15章節(jié)中介紹了TARA的方法論，同時在附錄H中以汽車大燈系統(tǒng)為例進行了TARA分析。本文也將結合個人經驗對該TARA方法論進行解讀。

02TARA方法論解讀

在ISO/SAE 21434的TARA例子中共有7個部分，分別為資產定義（Asset Identification）、影響等級評估（Impact Rating）、威脅場景識別（Threat Scenario Identification）、攻擊路徑分析（Attack Path Analysis）、攻擊可行性評估（Attack Feasibility Rating）、風險等級判定（Risk Value Determination）、風險處置決策（Risk Treatment Decision）。這7個部分的順序并非固定，圖1為21434標準中所建議的TARA分析流程。

圖1 TARA分析流程概覽圖

03關鍵概念辨析

為更好地介紹TARA分析，接下來將進行關鍵概念辨析：

1.資產（Asset）：本身有價值的物體或者能產生價值的物體。

2.損害場景（Damage Scenarios，DS）：描述對象功能與不良后果之間的關系；對道路使用者或者相關資產造成的危害。

3.影響（Impact）：由DS造成的損害、對身體傷害的嚴重度程度估計。（DS造成為危害的影響）

4.威脅場景（Threat Scenarios，TS）：造成一個或多個資產的網(wǎng)絡安全屬性威脅的潛在原因，以造成損害情景。（DS的原因）

5.攻擊路徑（Attack Path）:一套惡意的行為以實現(xiàn)威脅情景。（實現(xiàn)TS的一種或一組方法，是方法不是物理路徑?。?/p>

6.攻擊可行性（Attack Feasibility）：描述了成功執(zhí)行攻擊路徑的難易程度。

7.風險等級（Risk Value）：結合影響等級和攻擊可行性來描述道路車輛的網(wǎng)絡安全不確定性的影響。

*注：一個資產可以有多個網(wǎng)絡安全屬性，一個網(wǎng)絡安全屬性可對應多個損害場景。一個損害場景可對應多個威脅場景，一個威脅場景可對應多個損害場景。

04對象定義

在進行TARA分析前需要完成對象定義（Item Defintion）來得到明確的分析范圍。所謂對象，就是在車輛級別實現(xiàn)功能部件或組件。對象定義包括目標對象的邊界、功能、初步系統(tǒng)架構等。

05資產定義

本身有價值的物體，或者能產生價值的物體，即可定義為資產。資產可分為實體資產、數(shù)據(jù)資產（包括ECU固件、通訊數(shù)據(jù)、用戶隱私數(shù)據(jù)、安全算法等）。識別資產所帶有的網(wǎng)絡安全屬性（Cybersecurity Properties）得到帶有網(wǎng)絡安全屬性的資產，進一步可分析其潛在的損害場景（Damage Scenarios，DS），這是資產定義所需要輸出的兩大產物?？筛鶕?jù)對象定義，借助數(shù)據(jù)流圖（Data Flow Diagram，DFD），從進程、數(shù)據(jù)流、數(shù)據(jù)存儲、交互方角度考慮得到資產，也可基于預定義分類進行枚舉、基于損害場景-威脅場景得到資產。

對于資產的網(wǎng)絡安全屬性最常用的確定方法為微軟的STRIDE模型，該模型通過威脅來映射到相應的網(wǎng)絡安全屬性，常用的安全屬性包括完整性-I、機密性-C、可用性-A。如表1所示。

表1 STRIDE模型->安全屬性映射表

對于損害場景的描述可包括對象功能與不良后果之間的關系、外部環(huán)境、對道路使用或者相關資產造成的危害。

損害場景示例，假設資產為車輛行駛顯示數(shù)據(jù)，網(wǎng)絡安全屬性為機密性，那么可以得到損害場景為車輛行駛顯示數(shù)據(jù)被盜，造成乘客隱私信息泄露。如表2所示。

表2 損害場景示例表

06影響等級評估

對于影響等級的評定可從以下四個評判因子：Safety 安全、Financial 財產、Operational 操作、Privacy 隱私（S、F、O、P）來評定DS的危害影響。每個評判因子評級分為四檔：Severe 嚴重的、Major 重大的、Moderate 中等的、Negligible 微不足道的。對于影響等級評估除了標準附錄F以外還可參考J3601。表3-6詳細展示了ISO 21434中對于影響等級的評定打分。

表3 Safety 安全評判因子等級評定表

表4 Financial 財產評判因子等級評定表

表5 Operational 操作評判因子等級評定表

表6 Privacy 隱私評判因子等級評定表

07威脅場景識別

威脅場景是資產被破壞的原因，同時也是損害場景的原因。對于威脅場景的描述可從以下幾個角度來考慮：目標資產、資產的安全屬性損失、安全屬性損失的原因。

威脅場景示例，假設資產為車輛行駛顯示數(shù)據(jù)，網(wǎng)絡安全屬性為機密性，那么得到威脅場景為行車顯示數(shù)據(jù)在車內傳輸過程中，數(shù)據(jù)被篡改，導致行車顯示數(shù)據(jù)的保密性和私密性被破壞。如表7所示。

表7 威脅場景示例表

08攻擊路徑分析

對于攻擊路徑的識別分為兩種方法，一種為自頂向下的方法，通過分析實現(xiàn)對應威脅場景的不同方法來推斷攻擊路徑，可借鑒攻擊樹、攻擊圖，通過R155進行自檢。另外一種為自底向上的方法，從漏洞（Vulnerability）出發(fā), 如果該攻擊路徑沒有導致威脅場景，則可停止該條路徑的分析。

圖2 攻擊樹架構圖（From EVITAD2.3）

攻擊路徑示例，對應之前的威脅場景有如下攻擊路徑，設備接入通信信道和嗅探通信信道包。如下表8所示。

表8 攻擊路徑示例表

09攻擊可行性評估

評估攻擊可行性在標準附錄G中列舉了三種方法，基于攻擊潛力（重點介紹）、基于CVSS、基于攻擊向量。

攻擊潛力方法對攻擊路徑實現(xiàn)的難易程度評估分為四個等級：High、Medium、Low、Very Low，主要從以下五個角度考慮：

1.經歷時長（Elapsed Time)，指基于專家知識來識別漏洞到最后利用漏洞所花費的時間；

2.專業(yè)知識（Specialist Expertise），指攻擊者的能力包括技能、經驗等；

3.對象或組件的知識（Knowledge of the Item or Component），指攻擊者對于對象和組件所需要的信息；

4.窗口期（Window of Opportunity），指能夠成功攻擊的條件因素；

5.設備（Equipment），指攻擊者發(fā)現(xiàn)漏洞或執(zhí)行攻擊所需要的工具。

根據(jù)以上五個維度的打分，相加得到總分，然后根據(jù)攻擊可行性等級評定表（如表9所示）映射到響應的攻擊可行性等級。

表9 攻擊可行性等級評定表

在標準中采納了CVSS（Common Vulnerability Scoring System，通用漏洞評分系統(tǒng)）中可利用度的度量標準。主要從攻擊向量、攻擊復雜性、權限要求和用戶交互四個維度進行評估。

基于攻擊向量是對攻擊可行性評估比較粗略的方法，以攻擊距離遠近來評定，主要為網(wǎng)絡（Network）、相鄰（Adjacent）、本地（Local）、物理（Physical）四個標準進行評定。

10風險等級判定

危害場景的影響程度和相關攻擊路徑的可行性通過風險矩陣運行確定一個風險值。如果一個威脅場景對應多損害場景，可為每個影響等級確定一個風險等級。如果一個威脅場景對應多條攻擊路徑，則取攻擊可行性最大的。表10為風險矩陣表。

表10風險等級評定矩陣表

11風險處置決策

對于每一個威脅場景及其風險值，在標準中建議了以下四種決策：

· 消除風險，通過消除風險源來避免風險，或者決定不開始或繼續(xù)進行引起風險的活動；

· 緩解風險，通過提供網(wǎng)絡安全目標和概念來降低風險；

· 分擔風險，購買保險或者與供應商簽訂風險轉移合同；

· 保留風險，通過提供關于風險的網(wǎng)絡安全聲明來保留風險。

同時在R155中也有對于風險處置的決策可參考。

審核編輯：湯梓紅