隨著汽車(chē)互聯(lián)化和智能化,汽車(chē)不再孤立并且越來(lái)越融入到互聯(lián)網(wǎng)中。在這同時(shí),汽車(chē)也慢慢成為潛在的網(wǎng)絡(luò)攻擊目標(biāo),汽車(chē)的網(wǎng)絡(luò)安全已成為汽車(chē)安全的基礎(chǔ),受到越來(lái)越多的關(guān)注和重視。對(duì)于一切聯(lián)網(wǎng)事物而言,風(fēng)險(xiǎn)、漏洞和威脅無(wú)處不在。聯(lián)網(wǎng)汽車(chē)行業(yè)也不例外。

攻擊樹(shù)技術(shù)在研究已知網(wǎng)絡(luò)攻擊的威脅分析,進(jìn)行風(fēng)險(xiǎn)評(píng)估中發(fā)揮著重要作用。例如,利用保護(hù)樹(shù)和防御樹(shù)來(lái)分析系統(tǒng)中網(wǎng)絡(luò)威脅的弱點(diǎn)。如今,攻擊樹(shù)的應(yīng)用在智能網(wǎng)聯(lián)汽車(chē)的領(lǐng)域有了卓越的發(fā)展。但是,構(gòu)建大規(guī)模的攻擊樹(shù)是一項(xiàng)艱巨的任務(wù)——C2A產(chǎn)品安全總監(jiān)David Mor Ofek為安全評(píng)估人員提供了一個(gè)藍(lán)圖,允許攻擊樹(shù)隨著模型的增長(zhǎng)而增長(zhǎng),從而節(jié)省了時(shí)間和資源。

今天的智能網(wǎng)聯(lián)汽車(chē)(CAV)架構(gòu)比以往任何時(shí)候都復(fù)雜得多。隨著智能網(wǎng)聯(lián)汽車(chē)規(guī)模的擴(kuò)大,以滿足消費(fèi)者的需求;也需要有強(qiáng)大的、有彈性的安全態(tài)勢(shì),能夠隨時(shí)識(shí)別和減輕潛在的威脅。

這些問(wèn)題在威脅和風(fēng)險(xiǎn)分析(TARA)過(guò)程中得到了很大程度的解決,這是脆弱性管理過(guò)程的一個(gè)關(guān)鍵部分。當(dāng)設(shè)計(jì)一輛新汽車(chē)時(shí),TARA流程會(huì)識(shí)別潛在的威脅載體,并告知應(yīng)對(duì)措施,以解決這些漏洞。這個(gè)過(guò)程最好盡可能快速和有效地完成,以便進(jìn)行必要的改進(jìn)。構(gòu)建和設(shè)計(jì)攻擊樹(shù)是TARA過(guò)程的一個(gè)重要方面,但有一個(gè)問(wèn)題:攻擊樹(shù)的創(chuàng)建是一個(gè)復(fù)雜和耗時(shí)的過(guò)程,通常涉及密集的、專家驅(qū)動(dòng)的車(chē)輛漏洞構(gòu)建。安全評(píng)估人員可能會(huì)在整個(gè)產(chǎn)品生命周期中構(gòu)建數(shù)百個(gè)攻擊樹(shù)——這是重復(fù)的、費(fèi)力的、低效的,因此人們希望它能實(shí)現(xiàn)自動(dòng)化。

幸運(yùn)的是,攻擊樹(shù)可以設(shè)計(jì)成與模型一起生長(zhǎng)。在這篇文章中,C2A將解釋目前攻擊樹(shù)的方法所存在的問(wèn)題,提出設(shè)計(jì)原則,這些原則可以應(yīng)用于可擴(kuò)展的方法,以滿足智能網(wǎng)聯(lián)汽車(chē)的需求,并舉例說(shuō)明這種方法。

攻擊樹(shù)建模的常見(jiàn)方法

目前,攻擊樹(shù)建模的主要方式為:攻擊樹(shù)目錄和自動(dòng)樹(shù)構(gòu)建。

在編目方法中,安全評(píng)估人員將使用現(xiàn)成的樹(shù)作為主流攻擊路徑,盡可能多地覆蓋攻擊路徑域。相反,自動(dòng)方法遵循從設(shè)計(jì)構(gòu)建樹(shù)的一致方法。記住:構(gòu)建攻擊樹(shù)需要最高水平的專業(yè)知識(shí)。盡管自動(dòng)化和基于模板的方法可以幫助減輕一些繁重的工作,但這兩種策略最終只能提供部分解決方案。為了增加真正的安全價(jià)值,重要的是要考慮一個(gè)基本的安全原則:設(shè)計(jì)的攻擊樹(shù)。

像任何軟件設(shè)計(jì)一樣,攻擊樹(shù)也需要高度的規(guī)劃。人們期望,隨著車(chē)輛系統(tǒng)的發(fā)展,安全需求將會(huì)增長(zhǎng)。為了提高效率并防止工作重復(fù),重要的是,安全評(píng)估人員準(zhǔn)備的基礎(chǔ)設(shè)施將隨項(xiàng)目擴(kuò)展,隨著系統(tǒng)的發(fā)展循環(huán)利用工作,而不是在每個(gè)階段開(kāi)始完全重新設(shè)計(jì)。

攻擊樹(shù)設(shè)計(jì)原則

攻擊樹(shù)建模并不存在錯(cuò)誤的方法;不同的方法有不同的好處,甚至可以應(yīng)用于相同的系統(tǒng)。也就是說(shuō),這些基本原則就能夠幫助構(gòu)建一個(gè)可擴(kuò)展的攻擊樹(shù),它可以隨任何系統(tǒng)而成長(zhǎng)。

1.設(shè)計(jì)原則1:將元素從設(shè)計(jì)分析階段拉到建筑流線

設(shè)計(jì)階段包括連接、資產(chǎn)和屬性,并將組成攻擊樹(shù)的構(gòu)建塊。 對(duì)于具有不存在元素的攻擊路徑,安全評(píng)估人員應(yīng)該將其添加到設(shè)計(jì)中,或者等待該特定攻擊路徑的更高級(jí)的設(shè)計(jì)階段。

2.設(shè)計(jì)原則2:把擴(kuò)展性放在第一位,構(gòu)建攻擊樹(shù)進(jìn)行擴(kuò)展

設(shè)計(jì)階段包括連接、資產(chǎn)和屬性,并將組成攻擊樹(shù)的構(gòu)建塊。 對(duì)于具有不存在元素的攻擊路徑,安全評(píng)估人員應(yīng)該將其添加到設(shè)計(jì)中,或者等待該特定攻擊路徑的更高級(jí)的設(shè)計(jì)階段。

3. 設(shè)計(jì)原則3:利用微子樹(shù)作為構(gòu)建塊

通過(guò)使用微子樹(shù)作為攻擊樹(shù)后續(xù)迭代的構(gòu)建塊,安全評(píng)估人員可以根據(jù)設(shè)計(jì)無(wú)縫地替換或添加。 每個(gè)子樹(shù)代表攻擊路徑的一個(gè)特定部分——通信入口點(diǎn)、操作系統(tǒng)或內(nèi)核攻擊——并為可重用、敏捷的威脅管理而設(shè)計(jì)。

4. 設(shè)計(jì)原則4:采用分層樹(shù)的方法來(lái)考慮車(chē)輛的發(fā)展設(shè)計(jì)

分層樹(shù)的方法將允許評(píng)估人員在車(chē)輛從純概念層到技術(shù)和實(shí)現(xiàn)層的設(shè)計(jì)演進(jìn)中考慮不同的抽象層次。

最終,將設(shè)計(jì)原則應(yīng)用到你的方法中

現(xiàn)在,這些設(shè)計(jì)原則將被應(yīng)用到用C2A的AutoSec ANALYSIS構(gòu)建的樣本ADAS系統(tǒng)中。

在最高抽象階段,ADAS系統(tǒng)本身只是一個(gè)決策元素,有一個(gè)執(zhí)行決策的功能資產(chǎn)。連接元素提供導(dǎo)航和v-data,而傳感器感知消息從傳感器元素發(fā)送,驅(qū)動(dòng)消息從驅(qū)動(dòng)元素發(fā)送,連接元素包含一個(gè)更新應(yīng)用程序和一個(gè)路由表。

此處將以一個(gè)嚴(yán)重的事故場(chǎng)景為例:與附近的車(chē)輛碰撞,以及一個(gè)威脅:篡改決策軟件模型代碼。

應(yīng)用設(shè)計(jì)原則1—只使用模型中的元素—出現(xiàn)了下面的樹(shù)。

注意,有2個(gè)節(jié)點(diǎn)利用代碼漏洞和連接到外部接口; 兩者都被用作方法而不是步驟。 這些是后續(xù)開(kāi)發(fā)的占位符,在后續(xù)開(kāi)發(fā)中,安全評(píng)估人員將需要根據(jù)設(shè)計(jì)更改底層步驟。

在后來(lái)的設(shè)計(jì)中,詳細(xì)介紹了所需的系統(tǒng)和子系統(tǒng),以及使用的具體技術(shù):

先前設(shè)計(jì)中的元件現(xiàn)在是完整的系統(tǒng),具有ECU和內(nèi)部屬性,如豐富的操作系統(tǒng),元件之間的一般連接已成為以太網(wǎng)、CAN、C-VTX和LTE網(wǎng)絡(luò)。

在構(gòu)建本設(shè)計(jì)的攻擊樹(shù)時(shí),應(yīng)采取以下步驟:

1. 構(gòu)建子樹(shù)來(lái)表示特定技術(shù)的攻擊

2. 重用以前的樹(shù)結(jié)構(gòu)來(lái)表示新的設(shè)計(jì)

TCU外部連接采用子樹(shù)方式:

集成子樹(shù),在豐富的操作系統(tǒng)環(huán)境中開(kāi)發(fā)代碼:

現(xiàn)在,攻擊樹(shù)代表一種新的設(shè)計(jì),同時(shí)保持樹(shù)的原始結(jié)構(gòu),并與代表新設(shè)計(jì)的子樹(shù)集成。

隨著互聯(lián)網(wǎng)汽車(chē)的發(fā)展,攻擊樹(shù)建模方法也必須發(fā)展

為重用和可伸縮性而設(shè)計(jì)是日常軟件開(kāi)發(fā)的一部分,攻擊樹(shù)模型應(yīng)該也不例外。與目錄和自動(dòng)樹(shù)構(gòu)建不同,設(shè)計(jì)的樹(shù)考慮到了未來(lái)的車(chē)輛設(shè)計(jì)迭代——最小化時(shí)間投資,獲得最大回報(bào)。準(zhǔn)備好正確的基礎(chǔ)設(shè)施將允許攻擊樹(shù)隨著模型的設(shè)計(jì)而進(jìn)化和擴(kuò)展,這是擴(kuò)展安全工作的關(guān)鍵。通過(guò)一次只關(guān)注一個(gè)設(shè)計(jì)階段,優(yōu)先考慮攻擊樹(shù)擴(kuò)展,利用微子樹(shù)和采用分層樹(shù)方法,安全評(píng)估人員將設(shè)計(jì)出敏捷的、具有前瞻性的攻擊樹(shù),可以擴(kuò)展以匹配整個(gè)安全生命周期的TARA需求。

關(guān)于C2A SECURITY

C2A Security是一家受信任的端對(duì)端汽車(chē)網(wǎng)絡(luò)安全解決方案供應(yīng)商。公司推出了嵌入式車(chē)載網(wǎng)絡(luò)安全解決方案,使用多層次方法解決網(wǎng)絡(luò)安全問(wèn)題,提供與汽車(chē)有關(guān)的保護(hù)措施和安全兼容性。C2A旗下的AutoSec是一個(gè)綜合網(wǎng)絡(luò)安全生命周期管理平臺(tái),為整車(chē)廠和一級(jí)供應(yīng)商提供可視性,使之能夠在互聯(lián)網(wǎng)汽車(chē)的整個(gè)生命周期中滿足網(wǎng)絡(luò)安全需要。C2A采取市場(chǎng)中性策略,能夠流暢地滿足汽車(chē)產(chǎn)業(yè)的需求,擁有易集成性,重新定義了汽車(chē)網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。C2A是市場(chǎng)上最具靈活性、綜合性和透明度的網(wǎng)絡(luò)安全解決方案供應(yīng)商。C2A的投資方包括More Ventures、OurCrowd和Maniv Mobility。

關(guān)鍵詞：