智能网汽车TARA建设
智能网联汽车TARA(Threat Analysis and Risk Assessment)主要指用来识别和评估智能网联汽车系统中的潜在威胁,并评估相应风险。TARA 是整个智能网联汽车信息安全的重要组成部分,并且贯穿了智能汽车整个生命周期。根据J3061规范的指导思想,智能网联汽车的信息安全需要在产品规划阶段就开始考虑,只有这样才能将信息安全融入到架构设计、软硬件开发、测试、量产以及售后中去。TARA不应该是独立的一环,而是成体系的建设,具体建设思路应该包括:威胁情报获取、风险评估和几种建议的流程。后续我们将对这三部分做逐一介绍。本文将重点介绍威胁情报获取,未来几篇文章将对风险评估
和集中建议的流程再做深入探讨。
智能网联汽车威胁情报获取是TARA建设的首要一环,要将信息安全纳入到规划阶段,首先就要明确和识别需要保护的资产可能遇到的威胁和风险,然
后才能采取相应的安全防护措施来规避威胁,从而降低甚至消除可能发生的信息安全风险。因此可以说智能网联汽车威胁情报获取是TARA的源头,也是智能网联汽车全生命周期信息安全建设的关键,同时更是对智能网联汽车各种信息安全威胁的积累和了解,至少可以通过渗透测试、第三方咨询机构、媒体和相关机构,这三个途径来获取智能网联汽车的威胁情报。
1. 渗透测试是获取智能网联汽车信息安全威胁的首要途径
在J3061规范中,渗透测试是在整车开发阶段后期,对整车信息安全需求验证时所进行。其作用在于,一方面可以确保规划阶段提出的所有应该实现的安全需求都得到落实;另一方面也可以发现一些可能被利用的未知威胁。通常情况下,在每次做完渗透测试以后,应该把所有先前未发现的安全威胁记录下来,并最终形成安全威胁数据库,为后续车型的安全规划打下坚实基础。渗透测试项方面参考了国际信息安全权威机构(如NIST和OWASP 等)的相关规定,也结合了在汽车渗透测试方面的实战经验。智能网联汽车的渗透测试对象应该包含所有ECU、车内外网络和整车这三大部分,并且渗透测试的范围应至少涵盖硬件、固件、操作系统、应用软件、数据和通信这几大方面。
重型汽车
•硬件渗透测试,主要是针对智能网联汽车ECU的主板、存储介质、外设接口、调试接口、人机交互接口进行的渗透测试,主要用于评测固件被提取、核心敏感器件被识别以及遭受侧信道攻击等硬件相关的安全威胁;
•固件渗透测试,主要是针对汽车ECU固件逆向、固件替换、刷写其他固件等进行安全评测,从而评估固件可能遭受的安全威胁;
•操作系统渗透测试,目前主要是针对车载信息娱乐系统主机的渗透测试,主要用于评测已知和未知漏洞风险、安全和健壮性以及对操作系统行为的监控等;
•应用软件渗透测试,主要用于测试Linux或者Android操作系统运行的应用软件安全性,如果应用软件存在编码或者逻辑方面的安全漏洞和
缺陷,可以使攻击者在未授权的情况下非法利用或破坏。或直接调用
并未做任何安全检测的第三方组件,给物联网智能终端带来了极大的
安全风险,很可能会引入一些公开的软件漏洞,极易被黑客利用,一
旦这些漏洞被利用,同类设备都将遭受影响。另外,物联网智能终端
上所安装的业务应用,如果没有做相应的识别和控制机制,例如应用
软件的来源识别、应用软件的安装限制、对已经安装应用软件的敏感
北京查违章行为控制等,很容易被攻击者安装恶意程序或进程来实施攻击行为。
同时软件更新过程同样存在安全隐患,软件升级包升级过程中没有完
整性和合法性验证,容易被攻击者从中劫持或更改软件升级包,而没
有进行过加密处理的软件升级包,则可能会被攻击者截取用于发起中
最新款丰田凯美瑞
汽车牌照查询间人攻击,从而将恶意程序升级到终端当中;
•数据渗透测试,主要用于测试汽车每个ECU中数据产生、存储、使
沃尔沃xc90纯电用、传输、共享以及销毁整个生命周期的数据安全性,从而评估整个
数据是否存在被泄露的风险;
•通信渗透测试,主要是指车外网络,比如车载Wi-Fi、蓝牙等车外网络的渗透测试。通信传输也是渗透测试当中非常重要的一部分,这是因
捷达二手车价格为在智能网联汽车和云端或者终端之间进行信息通信传输过程中,容
易遭受流量分析、窃取、嗅探、重放等网络攻击,进而导致传输信息
遭到泄露、劫持、篡改等威胁。
2. 第三方咨询机构是获取智能网联汽车信息安全威胁的另外一个重要途径
第三方咨询机构通常拥有大量的资源,能够深入智能网联汽车从车厂、经销商、维修厂等一系列场所,获取这些场所曾经发生的信息安全事件,并通过
这些事件提取相应的信息安全威胁,这些信息安全威胁会涉及车厂自己的汽车,也会涉及到其他厂商的汽车,信息量非常庞大。同时,第三方咨询机构也拥有对信息安全法律法规很强的解读能力,能够通过对法律法规的解读获取相应的信息安全注意事项及需求。除此之外,第三方咨询机构也会参与到智能网联汽车相关标准的制定中,及时了解标准制定的内容以及推进进度,因此可以提前将可能出台的信息安全标准及时告知车厂,在新车规划的时候将这些信息安全点纳入到规划中。
3. 从媒体和相关机构也可以获得部分智能网联汽车信息安全威胁信息
这条途径通常会在整车发布之后,整车进入运维阶段的时候才会使用。媒体是对各种社会事件非常敏
感的机构,能够在第一时间获得相关信息。同时智能网联汽车也是当下最为热点的话题,无论是国内还是国外智能汽车出现信息安全事件,媒体通常情况下都会进行大量的转发和报道,同时也会对这些信息安全事件进行比较详尽的分析。因此同与智能网联汽车信息安全比较专注的媒体进行合作,同样可以获取国内外智能网联汽车发生的信息安全威胁事件。另外,同监管机构合作也是非常好的选择,监管机构也同样拥有大量关于智能网联汽车整个生态的数据,通过对这些数据的分析,比如关联分析、溯源等,能够提炼出部分信息安全威胁情报信息。
获取智能网联汽车信息安全威胁情报是整个TARA的基础,没有信息安全威胁数据的支撑无法实现TARA,同时也无法将信息安全融入到规划当中,智能网联汽车信息安全也无从谈起。因此所有整车生产厂都应该具备获取信息安全情报的机制、制度和体系,只有这样才能将智能网联汽车信息安全工作建设好。
以上介绍了三个获取威胁的途径:渗透测试、第三方咨询机构和媒体及相关机构。理想情况下,应该对所有的威胁进行防护,消除或者降低由威胁所引入的安全风险,但是现实情况并不允许我们这样做,资源、时间和成本永远是制约因素。正是基于这样的现实情况,首先要将获取的安全威胁进行风险评估,根据评估结果进行优先级划分,再在整车概念阶段按照风险评估的高低,在开发阶段优先开发高优先级安全功能,后续相对较低的安全功能在软件版本迭代中解决,通过OTA升级或者本地升级的方式对整车软件进行升级,从而不断提升整车信息安全。该思路也是J3061所推荐的。
当前对智能网联汽车风险评估方法仍然存在很大争议,相关统一的标准并未出台,并且该部分也是在历次标准制定过程中争议最大的,这和智能网联汽车使用场景的复杂性有莫大关系。在参考J3061以及国外相关标准的基础上,建议可以从花费时间、所需经验、必备知识、机会窗口和所需设备,这五个维度对威胁进行风险评估,通过五个维度的定性评估得出该威胁最终导致风险发生的可能性,并根据安全风险发生可能性得出优先级,最后再根据优先级来确定在规划阶段安全功能开发的优先级。
花费时间,主要是指攻击者利用该威胁最终实现攻击所花费的时间。建议可以分为:<1天、<1周、<1个月、<3个月、<6个月和>6个月这六项。
所需经验,主要是指攻击者如果想利用该威胁最终实现攻击必须具备的专业经验。院建议可以分为:门外汉、熟练、专家和多领域专家这四项。门外汉指的是不需要任何经验和专业知识的人;熟练是指必须具备一定的专业知识和经验的人;专家指的是资深且拥有丰富的专业知识和经验的人;多领域专家指的是需要在很多领域都有非常资深经验和知识的人。
必备知识,主要指攻击者想利用该威胁最终实现攻击所必须具备的资料、文档甚至是数据等。建议可以分为:公开资料、受限资料、敏感资料和绝密资料。公开资料指的是可以在公开途径中获取,比如芯片手册、产品说明书等;受限