汽车TARA,即汽车的威胁分析与风险评估(Threat Analysis and Risk Assessment),是汽车电子电气架构中常用的网络安全威胁分析与风险评估方法论。
定义与目的
TARA是一种用于识别、评估和应对组织信息系统(特别是汽车电子系统)潜在威胁的方法论。其目的在于帮助汽车制造商和零部件供应商有效地优先处理网络安全风险,分配资源以实现最佳的安全效果,从而确保车辆的安全和可靠性。主要包含了资产识别、威胁场景识别、影响等级、攻击路径分析、攻击可行性等级、风险评估上确定、风险处置决策,共7个基本的步骤。
在汽车行业中的应用
符合法规要求:随着智能网联汽车的普及,汽车网络安全问题日益受到关注。ISO/SAE 21434标准和UN R155法规等国际标准要求汽车制造商实施有效的网络安全管理。TARA作为这些标准中的关键方法论,为汽车制造商提供了系统化的威胁评估和风险优先级排序框架。
贯穿产品生命周期:TARA始于产品立项的早期阶段,并贯穿整个产品生命周期。在设计阶段,TARA可以帮助设计人员识别潜在的安全风险和漏洞;在开发阶段,它可以帮助开发人员进行代码审查和漏洞修复;在测试和验证阶段,TARA则可以帮助测试人员进行安全测试和验证;在运维阶段,TARA还可以帮助维护人员进行漏洞修复和安全更新。
支持OEM与Tier1的协同工作:OEM作为汽车产业链的上游,需要从整车的角度去开展TARA评估工作,并将识别出的网络安全需求分发给对应的零部件供应商。Tier1则需要遵守OEM分发的车辆网络安全需求,并从零部件的角度出发识别风险,制定合适的安全措施。TARA为OEM和Tier1之间的协同工作提供了有效的支持。
TARA分析流程
TARA分析流程通常包括以下几个步骤:
事项定义(Item Definition):明确保护的对象是什么,包括EE架构图、系统架构图、功能描述及功能清单、数据流图等输入信息。
资产识别:识别出需要被保护的任何数据、功能或资源。这些资产在网络安全特性遭到破坏时可能产生损害场景。
威胁场景识别:通过对环境、人员、设备等因素的分析,识别出可能存在的威胁场景。这通常包括对物理安全、网络安全、人员安全等方面的分析。
攻击路径分析:分析攻击者可能利用的攻击路径来达成其目标。
攻击可行性评估:评估攻击者利用特定攻击路径达成目标的可行性。
风险等级判定:根据威胁的潜在影响和发生可能性来确定风险等级。
风险处置决策:制定并实施适当的补救措施来降低风险等级。
自动化TARA产品的发展
随着智能网联汽车技术的不断发展,汽车网络安全问题日益复杂。为了提高威胁分析和风险评估的效率和质量,开发出自动化TARA产品。这些产品可以为企业开展TARA分析相关的活动提供成熟与可靠的技术支撑,提高工作效率并降低成本。
综上所述,汽车TARA在保障智能网联汽车网络安全方面发挥着重要作用。通过系统化的威胁评估和风险优先级排序框架以及自动化TARA产品的应用,汽车制造商可以更有效地应对网络安全威胁和挑战。
ISO/SAE 21434
ISO/SAE 21434标准是一个全面的网络安全指南,它为汽车行业提供了一套系统化的方法来评估和管理网络安全风险。在ISO/SAE 21434标准的附录E中,提出了网络安全保障等级(Cybersecurity Assurance Levels,简称CAL)的概念,这是一种评估汽车网络安全保护措施有效性的等级体系。
CAL等级的目的是为汽车制造商和供应商提供一个框架,以确定和实施适当的网络安全措施,确保这些措施能够与潜在的网络安全风险相匹配。以下是根据ISO/SAE 21434附录E对CAL等级的一些基本介绍:
CAL 0 - 最低保障:这一等级通常意味着没有实施网络安全措施,或者网络安全措施非常有限。在这种情况下,车辆可能面临较高的网络安全风险。
CAL 1 - 基础保障:CAL 1等级要求实施一些基础的网络安全措施,如基本的访问控制和数据加密。这些措施旨在提供一定程度的保护,但可能不足以抵御更复杂的网络攻击。
CAL 2 - 增强保障:在CAL 2等级中,网络安全措施得到了增强,可能包括更复杂的访问控制机制、加密通信、入侵检测系统等。这一等级的保护措施能够抵御中等复杂度的网络攻击。
CAL 3 - 高级保障:CAL 3等级要求实施更高级的网络安全措施,如多层安全防护、持续的安全监控、安全事件响应计划等。这一等级的保护措施旨在抵御高级持续威胁和复杂的网络攻击。
CAL 4 - 最高保障:CAL 4等级是最高等级的网络安全保障,要求实施所有可能的网络安全措施,包括高级加密技术、深度防御策略、实时监控和快速响应能力。
这一等级适用于对网络安全要求极高的应用场景。
CAL与风险的关系
CAL与风险间接相关,但是它不能直接从风险值确定。这是因为风险值是动态的,随时间变化,具体取决于相关项或组件不断变化的规范、设计、实施和操作环境,而 CAL表示的保证级别随着时间的推移保持不变。
CAL值提供了一种在产品开发过程中实施不同网络安全措施的方法,而风险评估则提供了对这些措施必要性的理解。CAL值有助于确保产品具有适当的网络安全保障,而风险评估则有助于确定这些保障措施的严格程度。尽管CAL值不是直接从风险评估中得出,但两者在确保网络安全方面是相辅相成的。
