隨著汽車互聯(lián)化和智能化,汽車不再孤立并且越來越融入到互聯(lián)網(wǎng)中。在這同時,汽車也慢慢成為潛在的網(wǎng)絡(luò)攻擊目標(biāo),汽車的網(wǎng)絡(luò)安全已成為汽車安全的基礎(chǔ),受到越來越多的關(guān)注和重視。對于一切聯(lián)網(wǎng)事物而言,風(fēng)險、漏洞和威脅無處不在。聯(lián)網(wǎng)汽車行業(yè)也不例外。

攻擊樹技術(shù)在研究已知網(wǎng)絡(luò)攻擊的威脅分析,進(jìn)行風(fēng)險評估中發(fā)揮著重要作用。例如,利用保護(hù)樹和防御樹來分析系統(tǒng)中網(wǎng)絡(luò)威脅的弱點。如今,攻擊樹的應(yīng)用在智能網(wǎng)聯(lián)汽車的領(lǐng)域有了卓越的發(fā)展。但是,構(gòu)建大規(guī)模的攻擊樹是一項艱巨的任務(wù)——C2A產(chǎn)品安全總監(jiān)David Mor Ofek為安全評估人員提供了一個藍(lán)圖,允許攻擊樹隨著模型的增長而增長,從而節(jié)省了時間和資源。

今天的智能網(wǎng)聯(lián)汽車(CAV)架構(gòu)比以往任何時候都復(fù)雜得多。隨著智能網(wǎng)聯(lián)汽車規(guī)模的擴(kuò)大,以滿足消費者的需求;也需要有強(qiáng)大的、有彈性的安全態(tài)勢,能夠隨時識別和減輕潛在的威脅。

這些問題在威脅和風(fēng)險分析(TARA)過程中得到了很大程度的解決,這是脆弱性管理過程的一個關(guān)鍵部分。當(dāng)設(shè)計一輛新汽車時,TARA流程會識別潛在的威脅載體,并告知應(yīng)對措施,以解決這些漏洞。這個過程最好盡可能快速和有效地完成,以便進(jìn)行必要的改進(jìn)。構(gòu)建和設(shè)計攻擊樹是TARA過程的一個重要方面,但有一個問題:攻擊樹的創(chuàng)建是一個復(fù)雜和耗時的過程,通常涉及密集的、專家驅(qū)動的車輛漏洞構(gòu)建。安全評估人員可能會在整個產(chǎn)品生命周期中構(gòu)建數(shù)百個攻擊樹——這是重復(fù)的、費力的、低效的,因此人們希望它能實現(xiàn)自動化。

幸運的是,攻擊樹可以設(shè)計成與模型一起生長。在這篇文章中,C2A將解釋目前攻擊樹的方法所存在的問題,提出設(shè)計原則,這些原則可以應(yīng)用于可擴(kuò)展的方法,以滿足智能網(wǎng)聯(lián)汽車的需求,并舉例說明這種方法。

攻擊樹建模的常見方法

目前,攻擊樹建模的主要方式為:攻擊樹目錄和自動樹構(gòu)建。

在編目方法中,安全評估人員將使用現(xiàn)成的樹作為主流攻擊路徑,盡可能多地覆蓋攻擊路徑域。相反,自動方法遵循從設(shè)計構(gòu)建樹的一致方法。記住:構(gòu)建攻擊樹需要最高水平的專業(yè)知識。盡管自動化和基于模板的方法可以幫助減輕一些繁重的工作,但這兩種策略最終只能提供部分解決方案。為了增加真正的安全價值,重要的是要考慮一個基本的安全原則:設(shè)計的攻擊樹。

像任何軟件設(shè)計一樣,攻擊樹也需要高度的規(guī)劃。人們期望,隨著車輛系統(tǒng)的發(fā)展,安全需求將會增長。為了提高效率并防止工作重復(fù),重要的是,安全評估人員準(zhǔn)備的基礎(chǔ)設(shè)施將隨項目擴(kuò)展,隨著系統(tǒng)的發(fā)展循環(huán)利用工作,而不是在每個階段開始完全重新設(shè)計。

攻擊樹設(shè)計原則

攻擊樹建模并不存在錯誤的方法;不同的方法有不同的好處,甚至可以應(yīng)用于相同的系統(tǒng)。也就是說,這些基本原則就能夠幫助構(gòu)建一個可擴(kuò)展的攻擊樹,它可以隨任何系統(tǒng)而成長。

1.設(shè)計原則1:將元素從設(shè)計分析階段拉到建筑流線

設(shè)計階段包括連接、資產(chǎn)和屬性,并將組成攻擊樹的構(gòu)建塊。 對于具有不存在元素的攻擊路徑,安全評估人員應(yīng)該將其添加到設(shè)計中,或者等待該特定攻擊路徑的更高級的設(shè)計階段。

2.設(shè)計原則2:把擴(kuò)展性放在第一位,構(gòu)建攻擊樹進(jìn)行擴(kuò)展

設(shè)計階段包括連接、資產(chǎn)和屬性,并將組成攻擊樹的構(gòu)建塊。 對于具有不存在元素的攻擊路徑,安全評估人員應(yīng)該將其添加到設(shè)計中,或者等待該特定攻擊路徑的更高級的設(shè)計階段。

3. 設(shè)計原則3:利用微子樹作為構(gòu)建塊

通過使用微子樹作為攻擊樹后續(xù)迭代的構(gòu)建塊,安全評估人員可以根據(jù)設(shè)計無縫地替換或添加。 每個子樹代表攻擊路徑的一個特定部分——通信入口點、操作系統(tǒng)或內(nèi)核攻擊——并為可重用、敏捷的威脅管理而設(shè)計。

4. 設(shè)計原則4:采用分層樹的方法來考慮車輛的發(fā)展設(shè)計

分層樹的方法將允許評估人員在車輛從純概念層到技術(shù)和實現(xiàn)層的設(shè)計演進(jìn)中考慮不同的抽象層次。

最終,將設(shè)計原則應(yīng)用到你的方法中

現(xiàn)在,這些設(shè)計原則將被應(yīng)用到用C2A的AutoSec ANALYSIS構(gòu)建的樣本ADAS系統(tǒng)中。

在最高抽象階段,ADAS系統(tǒng)本身只是一個決策元素,有一個執(zhí)行決策的功能資產(chǎn)。連接元素提供導(dǎo)航和v-data,而傳感器感知消息從傳感器元素發(fā)送,驅(qū)動消息從驅(qū)動元素發(fā)送,連接元素包含一個更新應(yīng)用程序和一個路由表。

此處將以一個嚴(yán)重的事故場景為例:與附近的車輛碰撞,以及一個威脅:篡改決策軟件模型代碼。

應(yīng)用設(shè)計原則1—只使用模型中的元素—出現(xiàn)了下面的樹。

注意,有2個節(jié)點利用代碼漏洞和連接到外部接口; 兩者都被用作方法而不是步驟。 這些是后續(xù)開發(fā)的占位符,在后續(xù)開發(fā)中,安全評估人員將需要根據(jù)設(shè)計更改底層步驟。

在后來的設(shè)計中,詳細(xì)介紹了所需的系統(tǒng)和子系統(tǒng),以及使用的具體技術(shù):

先前設(shè)計中的元件現(xiàn)在是完整的系統(tǒng),具有ECU和內(nèi)部屬性,如豐富的操作系統(tǒng),元件之間的一般連接已成為以太網(wǎng)、CAN、C-VTX和LTE網(wǎng)絡(luò)。

在構(gòu)建本設(shè)計的攻擊樹時,應(yīng)采取以下步驟:

1. 構(gòu)建子樹來表示特定技術(shù)的攻擊

2. 重用以前的樹結(jié)構(gòu)來表示新的設(shè)計

TCU外部連接采用子樹方式:

集成子樹,在豐富的操作系統(tǒng)環(huán)境中開發(fā)代碼:

現(xiàn)在,攻擊樹代表一種新的設(shè)計,同時保持樹的原始結(jié)構(gòu),并與代表新設(shè)計的子樹集成。

隨著互聯(lián)網(wǎng)汽車的發(fā)展,攻擊樹建模方法也必須發(fā)展

為重用和可伸縮性而設(shè)計是日常軟件開發(fā)的一部分,攻擊樹模型應(yīng)該也不例外。與目錄和自動樹構(gòu)建不同,設(shè)計的樹考慮到了未來的車輛設(shè)計迭代——最小化時間投資,獲得最大回報。準(zhǔn)備好正確的基礎(chǔ)設(shè)施將允許攻擊樹隨著模型的設(shè)計而進(jìn)化和擴(kuò)展,這是擴(kuò)展安全工作的關(guān)鍵。通過一次只關(guān)注一個設(shè)計階段,優(yōu)先考慮攻擊樹擴(kuò)展,利用微子樹和采用分層樹方法,安全評估人員將設(shè)計出敏捷的、具有前瞻性的攻擊樹,可以擴(kuò)展以匹配整個安全生命周期的TARA需求。

關(guān)于C2A SECURITY

C2A Security是一家受信任的端對端汽車網(wǎng)絡(luò)安全解決方案供應(yīng)商。公司推出了嵌入式車載網(wǎng)絡(luò)安全解決方案,使用多層次方法解決網(wǎng)絡(luò)安全問題,提供與汽車有關(guān)的保護(hù)措施和安全兼容性。C2A旗下的AutoSec是一個綜合網(wǎng)絡(luò)安全生命周期管理平臺,為整車廠和一級供應(yīng)商提供可視性,使之能夠在互聯(lián)網(wǎng)汽車的整個生命周期中滿足網(wǎng)絡(luò)安全需要。C2A采取市場中性策略,能夠流暢地滿足汽車產(chǎn)業(yè)的需求,擁有易集成性,重新定義了汽車網(wǎng)絡(luò)安全生態(tài)系統(tǒng)。C2A是市場上最具靈活性、綜合性和透明度的網(wǎng)絡(luò)安全解決方案供應(yīng)商。C2A的投資方包括More Ventures、OurCrowd和Maniv Mobility。

關(guān)鍵詞：