首页 > 梆梆资讯 > 智能网联汽车TARA的建设之 ——智能网联汽车安全风险评估思路

智能网联汽车TARA的建设之 ——智能网联汽车安全风险评估思路

2018-09-10 安全技术443

在上一篇文章“智能网联汽车信息安全威胁的获取”中,主要介绍了三个获取威胁的途径:渗透测试、第三方咨询机构和媒体及相关机构。理想情况下,应该对所有的威胁进行防护,消除或者降低由威胁所引入的安全风险,但是现实情况并不允许我们这样做,资源、时间和成本永远是制约因素。正是基于这样的现实情况,梆梆安全研究院认为:首先要将获取的安全威胁进行风险评估,根据评估结果进行优先级划分,再在整车概念阶段按照风险评估的高低,在开发阶段优先开发高优先级安全功能,后续相对较低的安全功能在软件版本迭代中解决,通过OTA升级或者本地升级的方式对整车软件进行升级,从而不断提升整车信息安全。该思路也是J3061所推荐的。


当前对智能网联汽车风险评估方法仍然存在很大争议,相关统一的标准并未出台,并且该部分也是在历次标准制定过程中争议最大的,这和智能网联汽车使用场景的复杂性有莫大关系。梆梆安全研究院拥有多年智能网联汽车渗透测试项目经验,同时也参与了多个智能网联汽车相关标准的制定工作,在参考J3061以及国外相关标准的基础上,梆梆安全研究院建议可以从花费时间、所需经验、必备知识、机会窗口和所需设备,这五个维度对威胁进行风险评估,通过五个维度的定性评估得出该威胁最终导致风险发生的可能性,并根据安全风险发生可能性得出优先级,最后再根据优先级来确定在规划阶段安全功能开发的优先级。


花费时间,主要是指攻击者利用该威胁最终实现攻击所花费的时间。梆梆安全研究院建议可以分为:<1天、<1周、<1个月、<3个月、<6个月和>6个月这六项。


所需经验,主要是指攻击者如果想利用该威胁最终实现攻击必须具备的专业经验。梆梆安全研究院建议可以分为:门外汉、熟练、专家和多领域专家这四项。门外汉指的是不需要任何经验和专业知识的人;熟练是指必须具备一定的专业知识和经验的人;专家指的是资深且拥有丰富的专业知识和经验的人;多领域专家指的是需要在很多领域都有非常资深经验和知识的人。


必备知识,主要指攻击者想利用该威胁最终实现攻击所必须具备的资料、文档甚至是数据等。梆梆安全研究院建议可以分为:公开资料、受限资料、敏感资料和绝密资料。公开资料指的是可以在公开途径中获取,比如芯片手册、产品说明书等;受限资料指的是只能在公司本部门内部传递,比如参考规范文档;敏感资料指的是公司秘密信息,比如各阶段设计文档;绝密资料指的是公司机密信息,比如密钥。


机会窗口,主要指攻击者最终利用该威胁成功实现攻击的难度。梆梆安全研究院建议可以分为:无、容易、中等和困难。无指的是100%可以成功;容易指的是持续攻击<1天或攻击<10次就可以成功;中等指的是持续攻击<1个月或攻击<100次就可以成功;困难指的是持续攻击>1个月或攻击>100次才可能成功。

所需设备,主要指攻击者利用该威胁实现攻击所必须使用的设备。梆梆安全研究院建议可以分为:一般设备、特定设备、定制设备和多个定制设备。一般设备指的是市面上很容易获取并且价格不高的设备,比如USB HUB、SD卡读卡器等;特定设备指的是非常专业的设备,比如编程器、HackRF等;定制设备指的是价格较高,只有某些机构才可能购买,比如侧信道攻击设备、示波器、逻辑分析仪等;多个定制设备指的是需要很多个定制设备。


通过这五个维度的评估方法,同时结合梆梆安全研究院在智能网联汽车信息安全领域的研究以及实施过的智能网联汽车渗透测试项目中积累的经验,对智能网联汽车重要资产进行通用风险评估后,可将风险发生概率分为:高、中高、中、低和极低这五个等级,风险发生概率越高,解决的必要性就越高。具体评估结果如下所示,同时梆梆安全智能网联汽车渗透测试也会根据这个表格对各大车厂的智能网联汽车所需要进行渗透测试的资产进行评估,从而制定相应的测试目标和实施计划。  



通过上面表格的评估可以看到TBOX和IVI目前是风险发生比较频繁和发生概率较多的地方,这也印证了很多车厂用户把TBOX和IVI设为渗透测试必测项的原因。此外,车内ECU由于缺乏启动保护和认证功能,极容易被刷含恶意程序的固件,从而实现DDoS攻击阻断整个车载总线。该风险评估思路更多是基于梆梆安全渗透测试工程师的经验,同时结合EVITA、IPA等参考文献中获得。本文当中的评估更多的是定性分析,主要目的是提供给读者一个风险评估的思路,通常情况下,这样的风险评估需要功能安全人员和信息安全人员共同评估,同时也会有相应的分析方法将定性分析最终转换成定量方式呈现,在概念阶段进行规划,在后面的文章中,梆梆安全研究院会根据J3061的推荐介绍两种安全风险评估方法:EVITA和HEAVENS,敬请在下一期当中关注。


  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >