如何提高汽車TARA分析的性價比？如何降低安全架構(gòu)的成本？

本文將從網(wǎng)絡(luò)空間維度來探討如何降低安全架構(gòu)的成本。對OEM來說，這個方法的效果會更明顯。

現(xiàn)在國內(nèi)外各個OEM還有零部件供應(yīng)商都在做TARA分析，不過大部分OEM和零部件供應(yīng)商可能在這一塊并沒有太多經(jīng)驗，導(dǎo)致盡管可能花了不少時間和金錢，但是很難向公司的管理層去說明，因為做TARA分析而給公司帶來了多少安全收益或者效果。

這個時候，管理層就會質(zhì)疑：花了這么多錢和時間做的TARA分析，除了滿足合規(guī)要求以外，還有什么用？

如此看來，TARA分析像是一個很沒有性價比的安全活動，只是出于合規(guī)的強(qiáng)制要求。接下來就給大家分享一下，怎么讓TARA分析變得更有性價比。

網(wǎng)絡(luò)空間中的威脅場景識別

做TARA分析，首先必然要識別對應(yīng)的風(fēng)險，尤其是整個網(wǎng)絡(luò)空間中對應(yīng)的風(fēng)險點。要注意的是，這一點對于零部件供應(yīng)商也不例外。我們通?；谠啤⒐?、端、核這4個層級去識別相應(yīng)風(fēng)險。

圖中列舉了一些容易產(chǎn)生風(fēng)險的點，但導(dǎo)致風(fēng)險產(chǎn)生的核心原因，可以簡單歸類為內(nèi)因和外因，通過對內(nèi)、外因的歸類，能夠更好地構(gòu)建一個威脅場景；不過，為了減少分析時間，或者說提高效率，要構(gòu)建有價值的威脅場景，這里的“價值”指的是對于攻擊者而言。

關(guān)于外因，可以這樣理解，它是攻擊者的意圖，對于攻擊者的價值決定了攻擊意圖的強(qiáng)烈程度，攻擊者必然是為了實現(xiàn)某種目的發(fā)起的攻擊，因此單從外因來考慮，我們要關(guān)注的是，對于攻擊者最有價值的點會對威脅場景的構(gòu)建產(chǎn)生什么影響。

根據(jù)攻擊目標(biāo)，這里做了四個分類。

第一類是以高價值數(shù)據(jù)為目標(biāo)的威脅場景，比如說用戶的個人數(shù)據(jù)、車輛行為數(shù)據(jù)以及地理位置信息，甚至包括用戶的金融信息，如交易記錄等，還有車輛周邊的信息、音視頻等數(shù)據(jù)，都是要分析的目標(biāo)，也是我們定義為高價值、高影響的威脅場景。需要注意的是，這里的影響指的是對于整個社會層面的影響，因為我們在構(gòu)建車輛網(wǎng)絡(luò)空間時，不是只考慮一輛車，而是考慮同一類型車型。

第二類是以硬件資產(chǎn)為目標(biāo)的威脅場景，比如說車輛盜竊，或者說破壞公共財產(chǎn)，甚至是影響公共安全等，這種威脅場景對于攻擊者來說，其實并不具有特別高的價值，因為偷一輛車并沒有太多錢，所以我們認(rèn)為它是一個低價值、高影響的威脅場景。

第三類是以IP資產(chǎn)為目標(biāo)的威脅場景。攻擊者可能是以打擊企業(yè)、或者獲得競爭優(yōu)勢為目的而進(jìn)行的攻擊，這種目標(biāo)我們我們認(rèn)為它是低價值、低影響的。

最后一類就是黑產(chǎn)。黑產(chǎn)在整個IT行業(yè)和移動端都已成規(guī)模，本文暫不贅述。

以上舉例說明的攻擊者目的，其實是為了解釋攻擊者“What to do”，即要做什么事情，接下來再分析一下攻擊者是如何做到這些事情的，即“How to do”。

攻擊路徑分析

其實“How to do”也就是TARA分析中的攻擊路徑分析，出于一些保密原因，這里只能通過一些示意圖來做說明。對應(yīng)上述威脅場景的分類，攻擊路徑也被分成四類。

第一類是單目標(biāo)長路徑。比如說攻擊目標(biāo)就是逆向軟件算法，如果用哈曼的產(chǎn)品舉例，哈曼的音視頻處理算法可能就是哈曼的一個核心資產(chǎn)，這類算法如果被逆向用到了競爭對手的產(chǎn)品里面，就可以給競品帶來非常大的競爭優(yōu)勢。要實現(xiàn)這個目標(biāo)，攻擊者可能要先買臺車，然后拆車，把二進(jìn)制文件DUMP出來，然后再逆向分析，最后進(jìn)行逆向工程來獲取對應(yīng)的算法。這是第一個類型。

第二類是多目標(biāo)長路徑。比如說他的目標(biāo)可能是某個人的個人信息、金融支付信息等。

第三類是單目標(biāo)復(fù)用路徑。這里先解釋一下“復(fù)用路徑”，它指的是可以通過同樣的方法對多個車或多個用戶發(fā)起攻擊，比如說在同款車型上面應(yīng)用某個通信協(xié)議的漏洞。

最后一種是多目標(biāo)復(fù)用路徑，它是指針對多輛車或者多個用戶發(fā)起一次攻擊以實現(xiàn)多個目的，比如說批量遠(yuǎn)程操控，操控自動駕駛、或者泊車這一類的功能。

上述攻擊路徑的分類是為了更好理解在實際情況下，哪些威脅場景最可能發(fā)生，哪些又是沒有太多價值與意義的，攻擊者的意圖是一定要在考慮在內(nèi)的，從而更好地區(qū)分以及降低最終TARA分析的工作量。

通過上述一系列的活動，我們可以通過內(nèi)、外因?qū)ν{場景中脆弱性產(chǎn)生的原因進(jìn)行歸類，以及對攻擊路徑中的主要、次要形式進(jìn)行區(qū)分。一定程度上區(qū)分出TARA分析環(huán)節(jié)中的主次關(guān)系，能夠更有效的投入資源去做安全需求，明確安全需求放在哪些地方更有效。

畢竟，一旦安全需求被要求應(yīng)用在某一個節(jié)點或者是某一個產(chǎn)品里的時候，就會帶來相應(yīng)的成本，所以當(dāng)然要用最少的安全需求來實現(xiàn)最大化的安全收益。

如何實現(xiàn)安全收益最大化

在針對某系統(tǒng)的TARA分析中，威脅場景的占比如下圖所示，如果要安全收益最大化，可以通過以下幾步來實現(xiàn)。首先是對車輛網(wǎng)絡(luò)空間應(yīng)用一個TARA分析工具，可以是任何工具，包括自動化的工具，通過這種工具獲得一個相對來說比較完整的威脅場景和攻擊路徑。

值得一提的是，現(xiàn)在很多帶輔助功能的TARA分析工具可以窮舉一個攻擊路徑，雖說我們使用工具的目的是為了提高效率，以及避免一些人為的低級錯誤，但在實際使用這類工具的過程中，因為窮舉了這些路徑，導(dǎo)致刪掉那些自動生成的無效路徑比自己分析所花費的時間反而更多。

其次，需要將安全控制措施應(yīng)用在對應(yīng)的攻擊入口，以阻止攻擊路徑、消減威脅場景，將安全控制措施用在關(guān)鍵節(jié)點上，才可以更好更有效地阻斷攻擊路徑，以及消減威脅場景。

最后，我們需要將安全管理措施應(yīng)用在生產(chǎn)運維的過程中，以預(yù)防新的攻擊路徑產(chǎn)生，同時消減威脅場景。

我們可以通過將TARA分析得到的四大類基線，即管理類基線、安全架構(gòu)基線、技術(shù)規(guī)范基線以及分布式安全活動基線，總結(jié)為一個大的安全基線，這樣可以提高工作產(chǎn)物的復(fù)用率，同時降低OEM以及零部件供應(yīng)商的研發(fā)成本。

通過這樣一系列的優(yōu)化，可以讓TARA分析較為明確地總結(jié)出削減了哪些威脅場景，進(jìn)而將這些被削減了的威脅場景提煉為一個所謂的“安全收益”，以匯報給公司管理層。此外，總結(jié)好這類安全基線也可以減少后續(xù)開發(fā)所用的時間，如此一來，不就提高了性價比嗎？

當(dāng)然，任何安全特性或安全措施都必定會增加成本，而且，合規(guī)是底線，不論怎么減少成本，都必須要達(dá)到合規(guī)的底線，就跟考試不能掛科一樣。

車輛網(wǎng)絡(luò)安全其實就是一個上有來政策法規(guī)的要求、下有來自終端的多樣需求、成本很高且看起來沒啥收益的事情，正因為如此，安全防護(hù)策略的性價比對于車輛網(wǎng)絡(luò)安全來說特別重要。

如何高性價比的構(gòu)建網(wǎng)絡(luò)安全防務(wù)策略？如果用八個字來總結(jié)的話，那就是主次分明、化繁為簡。

在TARA分析活動中，通過攻擊者的視角去分清主次，通過歸納安全基線來化繁為簡，這樣就可以讓原先看起來沒什么性價比的TARA分析變得有價值，而且不僅花的時間更短，同時也可以給管理層一個比較好的匯報，是不是看起來就變得有性價比了呢？

其實不僅是TARA分析，甚至不僅是信息安全，對于很多領(lǐng)域來說，性價比都備受關(guān)注，畢竟不論我們要實現(xiàn)的目標(biāo)如何偉大，也不可能投入無限的資源進(jìn)去。而且現(xiàn)在這個時代，做選擇、做舍棄更需要勇氣和智慧，分清主次，才能夠更好地去做選擇，以及更明智地去舍棄一些東西，而化繁為簡則是一種出于本能、也是順其自然的做法。 關(guān)注“談思汽車”公眾號，后臺回復(fù)“哈曼”，獲取哈曼首席網(wǎng)絡(luò)安全架構(gòu)師黃惠斌完整直播內(nèi)容。

審核編輯：劉清