|
隨著汽車互聯(lián)化和智能化,汽車不再孤立并且越來越融入到互聯(lián)網(wǎng)中。在這同時(shí),汽車也慢慢成為潛在的網(wǎng)絡(luò)攻擊目標(biāo),汽車的網(wǎng)絡(luò)安全已成為汽車安全的基礎(chǔ),受到越來越多的關(guān)注和重視。對(duì)于一切聯(lián)網(wǎng)事物而言,風(fēng)險(xiǎn)、漏洞和威脅無處不在。聯(lián)網(wǎng)汽車行業(yè)也不例外。 攻擊樹技術(shù)在研究已知網(wǎng)絡(luò)攻擊的威脅分析,進(jìn)行風(fēng)險(xiǎn)評(píng)估中發(fā)揮著重要作用。例如,利用保護(hù)樹和防御樹來分析系統(tǒng)中網(wǎng)絡(luò)威脅的弱點(diǎn)。如今,攻擊樹的應(yīng)用在智能網(wǎng)聯(lián)汽車的領(lǐng)域有了卓越的發(fā)展。但是,構(gòu)建大規(guī)模的攻擊樹是一項(xiàng)艱巨的任務(wù)——C2A產(chǎn)品安全總監(jiān)David Mor Ofek為安全評(píng)估人員提供了一個(gè)藍(lán)圖,允許攻擊樹隨著模型的增長(zhǎng)而增長(zhǎng),從而節(jié)省了時(shí)間和資源。 今天的智能網(wǎng)聯(lián)汽車(CAV)架構(gòu)比以往任何時(shí)候都復(fù)雜得多。隨著智能網(wǎng)聯(lián)汽車規(guī)模的擴(kuò)大,以滿足消費(fèi)者的需求;也需要有強(qiáng)大的、有彈性的安全態(tài)勢(shì),能夠隨時(shí)識(shí)別和減輕潛在的威脅。 這些問題在威脅和風(fēng)險(xiǎn)分析(TARA)過程中得到了很大程度的解決,這是脆弱性管理過程的一個(gè)關(guān)鍵部分。當(dāng)設(shè)計(jì)一輛新汽車時(shí),TARA流程會(huì)識(shí)別潛在的威脅載體,并告知應(yīng)對(duì)措施,以解決這些漏洞。這個(gè)過程最好盡可能快速和有效地完成,以便進(jìn)行必要的改進(jìn)。構(gòu)建和設(shè)計(jì)攻擊樹是TARA過程的一個(gè)重要方面,但有一個(gè)問題:攻擊樹的創(chuàng)建是一個(gè)復(fù)雜和耗時(shí)的過程,通常涉及密集的、專家驅(qū)動(dòng)的車輛漏洞構(gòu)建。安全評(píng)估人員可能會(huì)在整個(gè)產(chǎn)品生命周期中構(gòu)建數(shù)百個(gè)攻擊樹——這是重復(fù)的、費(fèi)力的、低效的,因此人們希望它能實(shí)現(xiàn)自動(dòng)化。 幸運(yùn)的是,攻擊樹可以設(shè)計(jì)成與模型一起生長(zhǎng)。在這篇文章中,C2A將解釋目前攻擊樹的方法所存在的問題,提出設(shè)計(jì)原則,這些原則可以應(yīng)用于可擴(kuò)展的方法,以滿足智能網(wǎng)聯(lián)汽車的需求,并舉例說明這種方法。 攻擊樹建模的常見方法 目前,攻擊樹建模的主要方式為:攻擊樹目錄和自動(dòng)樹構(gòu)建。 在編目方法中,安全評(píng)估人員將使用現(xiàn)成的樹作為主流攻擊路徑,盡可能多地覆蓋攻擊路徑域。相反,自動(dòng)方法遵循從設(shè)計(jì)構(gòu)建樹的一致方法。記住:構(gòu)建攻擊樹需要最高水平的專業(yè)知識(shí)。盡管自動(dòng)化和基于模板的方法可以幫助減輕一些繁重的工作,但這兩種策略最終只能提供部分解決方案。為了增加真正的安全價(jià)值,重要的是要考慮一個(gè)基本的安全原則:設(shè)計(jì)的攻擊樹。 像任何軟件設(shè)計(jì)一樣,攻擊樹也需要高度的規(guī)劃。人們期望,隨著車輛系統(tǒng)的發(fā)展,安全需求將會(huì)增長(zhǎng)。為了提高效率并防止工作重復(fù),重要的是,安全評(píng)估人員準(zhǔn)備的基礎(chǔ)設(shè)施將隨項(xiàng)目擴(kuò)展,隨著系統(tǒng)的發(fā)展循環(huán)利用工作,而不是在每個(gè)階段開始完全重新設(shè)計(jì)。 攻擊樹設(shè)計(jì)原則 攻擊樹建模并不存在錯(cuò)誤的方法;不同的方法有不同的好處,甚至可以應(yīng)用于相同的系統(tǒng)。也就是說,這些基本原則就能夠幫助構(gòu)建一個(gè)可擴(kuò)展的攻擊樹,它可以隨任何系統(tǒng)而成長(zhǎng)。 1.設(shè)計(jì)原則1:將元素從設(shè)計(jì)分析階段拉到建筑流線 設(shè)計(jì)階段包括連接、資產(chǎn)和屬性,并將組成攻擊樹的構(gòu)建塊。對(duì)于具有不存在元素的攻擊路徑,安全評(píng)估人員應(yīng)該將其添加到設(shè)計(jì)中,或者等待該特定攻擊路徑的更高級(jí)的設(shè)計(jì)階段。 2. 設(shè)計(jì)原則2:把擴(kuò)展性放在第一位,構(gòu)建攻擊樹進(jìn)行擴(kuò)展 設(shè)計(jì)階段包括連接、資產(chǎn)和屬性,并將組成攻擊樹的構(gòu)建塊。對(duì)于具有不存在元素的攻擊路徑,安全評(píng)估人員應(yīng)該將其添加到設(shè)計(jì)中,或者等待該特定攻擊路徑的更高級(jí)的設(shè)計(jì)階段。 3. 設(shè)計(jì)原則3:利用微子樹作為構(gòu)建塊 通過使用微子樹作為攻擊樹后續(xù)迭代的構(gòu)建塊,安全評(píng)估人員可以根據(jù)設(shè)計(jì)無縫地替換或添加。每個(gè)子樹代表攻擊路徑的一個(gè)特定部分——通信入口點(diǎn)、操作系統(tǒng)或內(nèi)核攻擊——并為可重用、敏捷的威脅管理而設(shè)計(jì)。 4. 設(shè)計(jì)原則4:采用分層樹的方法來考慮車輛的發(fā)展設(shè)計(jì) 分層樹的方法將允許評(píng)估人員在車輛從純概念層到技術(shù)和實(shí)現(xiàn)層的設(shè)計(jì)演進(jìn)中考慮不同的抽象層次。 最終,將設(shè)計(jì)原則應(yīng)用到你的方法中 現(xiàn)在,這些設(shè)計(jì)原則將被應(yīng)用到用C2A的AutoSec ANALYSIS構(gòu)建的樣本ADAS系統(tǒng)中。 在最高抽象階段,ADAS系統(tǒng)本身只是一個(gè)決策元素,有一個(gè)執(zhí)行決策的功能資產(chǎn)。連接元素提供導(dǎo)航和v-data,而傳感器感知消息從傳感器元素發(fā)送,驅(qū)動(dòng)消息從驅(qū)動(dòng)元素發(fā)送,連接元素包含一個(gè)更新應(yīng)用程序和一個(gè)路由表。 此處將以一個(gè)嚴(yán)重的事故場(chǎng)景為例:與附近的車輛碰撞,以及一個(gè)威脅:篡改決策軟件模型代碼。 應(yīng)用設(shè)計(jì)原則1—只使用模型中的元素—出現(xiàn)了下面的樹。 注意,有2個(gè)節(jié)點(diǎn)利用代碼漏洞和連接到外部接口;兩者都被用作方法而不是步驟。這些是后續(xù)開發(fā)的占位符,在后續(xù)開發(fā)中,安全評(píng)估人員將需要根據(jù)設(shè)計(jì)更改底層步驟。 在后來的設(shè)計(jì)中,詳細(xì)介紹了所需的系統(tǒng)和子系統(tǒng),以及使用的具體技術(shù): 先前設(shè)計(jì)中的元件現(xiàn)在是完整的系統(tǒng),具有ECU和內(nèi)部屬性,如豐富的操作系統(tǒng),元件之間的一般連接已成為以太網(wǎng)、CAN、C-VTX和LTE網(wǎng)絡(luò)。 在構(gòu)建本設(shè)計(jì)的攻擊樹時(shí),應(yīng)采取以下步驟: 1.構(gòu)建子樹來表示特定技術(shù)的攻擊 2.重用以前的樹結(jié)構(gòu)來表示新的設(shè)計(jì) TCU外部連接采用子樹方式: 集成子樹,在豐富的操作系統(tǒng)環(huán)境中開發(fā)代碼: 現(xiàn)在,攻擊樹代表一種新的設(shè)計(jì),同時(shí)保持樹的原始結(jié)構(gòu),并與代表新設(shè)計(jì)的子樹集成。 隨著互聯(lián)網(wǎng)汽車的發(fā)展,攻擊樹建模方法也必須發(fā)展 為重用和可伸縮性而設(shè)計(jì)是日常軟件開發(fā)的一部分,攻擊樹模型應(yīng)該也不例外。與目錄和自動(dòng)樹構(gòu)建不同,設(shè)計(jì)的樹考慮到了未來的車輛設(shè)計(jì)迭代——最小化時(shí)間投資,獲得最大回報(bào)。準(zhǔn)備好正確的基礎(chǔ)設(shè)施將允許攻擊樹隨著模型的設(shè)計(jì)而進(jìn)化和擴(kuò)展,這是擴(kuò)展安全工作的關(guān)鍵。通過一次只關(guān)注一個(gè)設(shè)計(jì)階段,優(yōu)先考慮攻擊樹擴(kuò)展,利用微子樹和采用分層樹方法,安全評(píng)估人員將設(shè)計(jì)出敏捷的、具有前瞻性的攻擊樹,可以擴(kuò)展以匹配整個(gè)安全生命周期的TARA需求。 關(guān)于C2A SECURITY C2A Security是一家受信任的端對(duì)端汽車網(wǎng)絡(luò)安全解決方案供應(yīng)商。公司推出了嵌入式車載網(wǎng)絡(luò)安全解決方案,使用多層次方法解決網(wǎng)絡(luò)安全問題,提供與汽車有關(guān)的保護(hù)措施和安全兼容性。C2A旗下的AutoSec是一個(gè)綜合網(wǎng)絡(luò)安全生命周期管理平臺(tái),為整車廠和一級(jí)供應(yīng)商提供可視性,使之能夠在互聯(lián)網(wǎng)汽車的整個(gè)生命周期中滿足網(wǎng)絡(luò)安全需要。C2A采取市場(chǎng)中性策略,能夠流暢地滿足汽車產(chǎn)業(yè)的需求,擁有易集成性,重新定義了汽車網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。C2A是市場(chǎng)上最具靈活性、綜合性和透明度的網(wǎng)絡(luò)安全解決方案供應(yīng)商。C2A的投資方包括More Ventures、OurCrowd和Maniv Mobility。 |
