面向車載IT系統(tǒng)的量化安全風(fēng)險(xiǎn)分析系統(tǒng)方法
摘要
如今,安全工程已成為大多數(shù)車載 IT 系統(tǒng)開發(fā)過(guò)程中公認(rèn)的挑戰(zhàn)。然而,盡管總體上人們已了解許多車載安全威脅及有效的防護(hù)措施,但汽車工程師仍難以實(shí)現(xiàn)高效的安全解決方案——難以使特定防護(hù)措施的成本與實(shí)際安全威脅相匹配,從而避免“防護(hù)不足”和“過(guò)度防護(hù)”這兩種情況。在汽車領(lǐng)域,這兩種情況都是不可接受的。
通過(guò)實(shí)施全面的安全風(fēng)險(xiǎn)分析(融入汽車領(lǐng)域的特殊特征),我們將獲得一套合格的分類體系,從而能就實(shí)際所需的安全措施做出有充分依據(jù)的決策。因此,本文提出了一種開展有意義的安全風(fēng)險(xiǎn)分析的系統(tǒng)方法,該方法特別聚焦于車載 IT 系統(tǒng)。此方法對(duì)任何風(fēng)險(xiǎn)分析都不可或缺的兩個(gè)要素(潛在損害和安全攻擊成功的概率)進(jìn)行了系統(tǒng)估算,且這兩種估算均基于經(jīng)過(guò)行業(yè)驗(yàn)證的方法和分類體系,并針對(duì)車載 IT 安全場(chǎng)景進(jìn)行了精心調(diào)整。
1、研究背景
強(qiáng)有力的 IT 安全措施通常是保障車載業(yè)務(wù)模式、責(zé)任認(rèn)定、法律事務(wù)、保修問(wèn)題的必要條件,尤其是在確保下一代車載安全系統(tǒng)的可靠性方面至關(guān)重要。實(shí)際將要實(shí)施的汽車安全防護(hù)措施,應(yīng)通過(guò)有充分依據(jù)的成本效益分析來(lái)確定,以避免安全解決方案規(guī)模過(guò)小或過(guò)大。因此,我們需要一套可靠的分類體系,以便能夠平衡實(shí)施車載安全措施所增加的成本和復(fù)雜性與特定車載 IT 系統(tǒng)遭受潛在安全漏洞可能造成的損害。
通過(guò)實(shí)施有充分依據(jù)的安全風(fēng)險(xiǎn)分析 —— 系統(tǒng)評(píng)估實(shí)施特定安全攻擊的 “難度” 以及該攻擊可能造成的損害,我們將獲得合格的分類體系,進(jìn)而就實(shí)際所需的安全防護(hù)措施做出合理決策。因此,有意義的安全風(fēng)險(xiǎn)分析尤其有助于實(shí)現(xiàn)所謂的 “經(jīng)濟(jì)性安全解決方案”,即成功攻擊的總成本應(yīng)超過(guò)潛在的經(jīng)濟(jì)收益,并分別與潛在損害成正比。最后但同樣重要的是,有意義的風(fēng)險(xiǎn)分析可作為基礎(chǔ)的 “安全業(yè)務(wù)模型”,用于論證和證明相應(yīng) IT 安全措施的必要性及其所需具備的強(qiáng)度。
1.1 研究貢獻(xiàn)
盡管已存在一些通用的 IT 風(fēng)險(xiǎn)分析方法和簡(jiǎn)單分類體系,但迄今為止,尚未有適用于車載 IT 場(chǎng)景的系統(tǒng)性 IT 安全風(fēng)險(xiǎn)評(píng)估方法。車載 IT 場(chǎng)景與標(biāo)準(zhǔn) IT 系統(tǒng)存在差異,例如在攻擊路徑(如內(nèi)部物理攻擊者)或潛在攻擊影響(如駕駛安全)方面。因此,本研究提供了一種經(jīng)過(guò)精心調(diào)整的四步系統(tǒng)方法,專門用于計(jì)算車載 IT 場(chǎng)景的 IT 安全風(fēng)險(xiǎn)。
該方法提供了一套系統(tǒng)的評(píng)估方案以及相應(yīng)的分類體系,能夠?qū)蓚€(gè)核心要素(實(shí)施特定安全攻擊的 “難度” 和該攻擊可能造成的損害)進(jìn)行量化評(píng)級(jí),且這兩個(gè)要素均已充分適配汽車領(lǐng)域的特殊特征。本文還通過(guò)一個(gè)實(shí)際的汽車安全應(yīng)用案例,論證并說(shuō)明了所提方法的實(shí)際可行性。
本文結(jié)構(gòu)如下:首先,介紹開發(fā)風(fēng)險(xiǎn)分析方法所采用的相關(guān)方法的背景信息(第 2 節(jié));其次,闡述如何將這些方法系統(tǒng)地結(jié)合起來(lái)形成風(fēng)險(xiǎn)分析方法,并給出應(yīng)用示例(第 3 節(jié));接著,討論如何獲取風(fēng)險(xiǎn)分析的相關(guān)輸入數(shù)據(jù)以及如何在風(fēng)險(xiǎn)分析模型中使用這些數(shù)據(jù)(第 4 節(jié));最后,簡(jiǎn)要介紹一款基于該方法開發(fā)的實(shí)用工具(該工具可協(xié)助系統(tǒng)收集所有相關(guān)輸入數(shù)據(jù),詳見第 4.3 節(jié)),并對(duì)研究結(jié)果進(jìn)行總結(jié),同時(shí)給出未來(lái)展望和未解決問(wèn)題的概述(第 5 節(jié))。
1.2 相關(guān)工作
已有多位學(xué)者指出了車輛中信息安全和軟件保護(hù)的必要性。他們提出了各種安全漏洞和威脅,并為現(xiàn)有及未來(lái)的車載 IT 系統(tǒng)提供了一系列安全措施。然而,除了一些完全(法律規(guī)定的)強(qiáng)制性安全要求外,目前尚無(wú)針對(duì)有效抵御其他安全威脅的系統(tǒng)性成本效益分析。
另一方面,針對(duì)電信網(wǎng)絡(luò)或工業(yè)自動(dòng)化等標(biāo)準(zhǔn) IT 系統(tǒng),已經(jīng)出現(xiàn)了首批系統(tǒng)性安全風(fēng)險(xiǎn)評(píng)估方法。但由于攻擊者動(dòng)機(jī)、攻擊能力(如內(nèi)部物理攻擊)和潛在損害(如人員受傷、可擴(kuò)展性)完全不同,這些方法在車載 IT 系統(tǒng)的特殊安全環(huán)境中適用性有限。此外,上述兩種方法在潛在損害的識(shí)別和估算方面尤其不夠明確和通用。
歸根結(jié)底,將信息安全的最優(yōu)投資水平分析為投資與受保護(hù)資產(chǎn)之間的關(guān)系。與這種面向經(jīng)濟(jì)安全的通用視角不同,本文提出的方法提供了一種非常具體的量化視角,且明確適配汽車領(lǐng)域的特殊特征。
2、基礎(chǔ)知識(shí)
以下章節(jié)將介紹 IT 安全背景下的風(fēng)險(xiǎn)定義、IT 安全評(píng)估通用標(biāo)準(zhǔn)(CC)以及本方法中使用的安全完整性等級(jí)(SIL)。這些方法來(lái)自不同的 IT 學(xué)科,而非僅局限于汽車領(lǐng)域。之后,我們將對(duì)這些方法進(jìn)行專門調(diào)整和整合,以實(shí)現(xiàn)有充分依據(jù)的車載安全風(fēng)險(xiǎn)評(píng)估。
2.1 風(fēng)險(xiǎn)定義
在大多數(shù)工程學(xué)科中,風(fēng)險(xiǎn)的定義如下:
在 IT 安全場(chǎng)景中,事故發(fā)生概率可對(duì)應(yīng)為成功實(shí)施特定攻擊所需的攻擊潛力(參見第 3.2 節(jié)),即實(shí)施現(xiàn)有安全威脅并利用安全漏洞的可能性。在本文中,攻擊潛力(除其他因素外)描述了成功實(shí)施特定攻擊所需的累積技術(shù)、財(cái)務(wù)和智力資源。
該方法基于一個(gè)合理的假設(shè):在 IT 安全場(chǎng)景中,事故(即成功的安全攻擊)發(fā)生的概率會(huì)隨著所需攻擊潛力的增加而降低。反過(guò)來(lái),預(yù)期損失可對(duì)應(yīng)為損害潛力(參見第 3.3 節(jié)),即所有財(cái)務(wù)和運(yùn)營(yíng)損害的總和,尤其是與車輛駕駛安全相關(guān)的所有潛在損害(如適用)。
2.2 IT 安全評(píng)估通用標(biāo)準(zhǔn)(CC)
如今,大多數(shù) IT(安全)產(chǎn)品的安全評(píng)估都是基于《信息技術(shù)安全評(píng)估通用標(biāo)準(zhǔn)》(CC)進(jìn)行的。這些標(biāo)準(zhǔn)主要包括評(píng)估目標(biāo)聲稱要滿足的預(yù)定義安全功能要求目錄,以及能讓人了解該聲明評(píng)估深度的預(yù)定義保證等級(jí)。此外,還可添加自定義功能要求和保證包。評(píng)估由評(píng)估實(shí)驗(yàn)室執(zhí)行,并由政府機(jī)構(gòu)監(jiān)督。因此,達(dá)到特定評(píng)估保證等級(jí)(EAL)的評(píng)估結(jié)果在國(guó)際上是被認(rèn)可的。
該標(biāo)準(zhǔn)還配有《信息技術(shù)安全評(píng)估通用方法學(xué)》(CEM),描述了 CC 安全評(píng)估背后的方法學(xué)。CEM 包含一種計(jì)算評(píng)估目標(biāo)攻擊潛力的方法,本研究的風(fēng)險(xiǎn)分析分類體系將采用該方法。
2.3 安全完整性等級(jí)(SIL)
安全完整性等級(jí)(SIL)是對(duì)安全相關(guān)電子設(shè)備功能可靠性的離散、系統(tǒng)分類。SIL 分為四個(gè)等級(jí),其中 SIL 4 的故障風(fēng)險(xiǎn)最低(因此可靠性最高),而相比之下,SIL 1 的故障風(fēng)險(xiǎn) “更高”(因此可靠性 “更低”)。
SIL 定義,可直接參考美國(guó)汽車醫(yī)學(xué)促進(jìn)會(huì)(AAAM)的簡(jiǎn)明損傷等級(jí)(MAIS)—— 該等級(jí)用于對(duì)汽車事故造成的傷害嚴(yán)重程度進(jìn)行分類(參見表 1)。最近,行業(yè)已開展標(biāo)準(zhǔn)化工作,將更通用的 SIL 定義轉(zhuǎn)化為專門的汽車安全完整性等級(jí)(ASIL),以便更精確地將 SIL 適配于乘用車車載電子設(shè)備。相應(yīng)的標(biāo)準(zhǔn) [ISO26262] 簡(jiǎn)化并統(tǒng)一了由車載電子設(shè)備故障導(dǎo)致的潛在安全隱患的汽車特定風(fēng)險(xiǎn)分類確定流程。SIL 提供的指標(biāo)和比例(參見表 1)將直接被本研究的安全損害潛力分類體系采用,詳見第 3.3 節(jié)。
表 1、安全完整性等級(jí)指標(biāo)及相應(yīng)比例
3、車載 IT 安全風(fēng)險(xiǎn)分析
本節(jié)將介紹車載 IT 安全風(fēng)險(xiǎn)分析的實(shí)施方法,該分析幾乎是所有安全設(shè)計(jì)周期中不可或缺的環(huán)節(jié)(參見圖 1)。因此,車載 IT 安全風(fēng)險(xiǎn)分析首先要識(shí)別實(shí)際的安全資產(chǎn)及其高級(jí)安全目標(biāo),這些資產(chǎn)和目標(biāo)面臨來(lái)自潛在攻擊路徑的特定安全威脅(參見第 3.1 節(jié))。
圖 1、作為車載安全設(shè)計(jì)流程一部分的安全風(fēng)險(xiǎn)分析(灰色部分)
之后,本文將闡述計(jì)算特定攻擊路徑的攻擊潛力(AP)和車載損害潛力(DP)的方法(參見第 3.2 節(jié)和第 3.3 節(jié))。最后,基于 AP 和 DP,闡述車載 IT 安全風(fēng)險(xiǎn)的評(píng)估和分類方法。本節(jié)結(jié)尾將通過(guò)一個(gè)實(shí)際示例說(shuō)明該方法在車載 IT 安全風(fēng)險(xiǎn)分析中的應(yīng)用。
3.1 安全目標(biāo)、安全威脅和攻擊路徑的識(shí)別
在評(píng)估任何車載攻擊之前,我們必須先識(shí)別高級(jí)安全目標(biāo)(有時(shí)也稱為安全目標(biāo)或安全宗旨)。安全目標(biāo)匯總了所有相關(guān)的安全資產(chǎn)(例如關(guān)鍵數(shù)據(jù)、功能或資源)和安全策略(例如 “僅授權(quán)人員可更改該車載組件的功能參數(shù)”),以及潛在的濫用場(chǎng)景和需要在高級(jí)層面解決的問(wèn)題。例如,某車載電子控制單元(ECU)的一個(gè)安全目標(biāo)可能是通過(guò)保護(hù)相應(yīng) ECU 軟件的機(jī)密性,防止 ECU 軟件的知識(shí)產(chǎn)權(quán)被盜或被偽造。
本方法的下一步是識(shí)別針對(duì)每個(gè)已識(shí)別安全目標(biāo)的可能安全威脅。根據(jù) [CC07, 第 1 部分,A.6.2],威脅由攻擊者、不利行動(dòng)和被攻擊資產(chǎn)定義。針對(duì)特定 IT 產(chǎn)品或 IT 系統(tǒng)家族的、由社區(qū)制定的相關(guān)安全目標(biāo)、安全威脅和通用安全評(píng)估標(biāo)準(zhǔn)的集合稱為保護(hù)輪廓(PP)。PP 通常涵蓋所有重要的、已知的安全問(wèn)題(與潛在的安全解決方案無(wú)關(guān)),在對(duì)該家族的評(píng)估目標(biāo)進(jìn)行安全評(píng)估時(shí),至少必須驗(yàn)證這些問(wèn)題是否得到了適當(dāng)?shù)膽?yīng)對(duì)。
因此,PP 通常是在 CC 評(píng)估的背景下制定的,目前已適用于許多 IT 產(chǎn)品和 IT 系統(tǒng),但遺憾的是,不適用于 ECU(電子控制單元)等汽車 IT 組件。在此情況下,我們參考識(shí)別安全目標(biāo)、威脅和攻擊路徑的通用方法,并結(jié)合相應(yīng)的車載 IT 安全研究成果。
針對(duì)某一安全目標(biāo)的安全威脅可組織為攻擊樹,如圖 2 所示。請(qǐng)注意,任何攻擊樹都絕非(也不可能)完整。與原始攻擊樹提案(以攻擊者的目標(biāo)為根節(jié)點(diǎn))不同,本文將安全目標(biāo)置于頂部。對(duì)安全目標(biāo)的成功攻擊可通過(guò)從葉節(jié)點(diǎn)到根節(jié)點(diǎn)的路徑來(lái)描述。有關(guān)攻擊樹及類似技術(shù)在汽車領(lǐng)域的其他應(yīng)用。現(xiàn)在,我們可以計(jì)算成功實(shí)施安全目標(biāo)的每條攻擊路徑所需的攻擊潛力。
圖 2、針對(duì)電子控制單元(ECU)數(shù)據(jù)機(jī)密性安全目標(biāo)的不完整攻擊樹
3.2 攻擊潛力計(jì)算
為計(jì)算已識(shí)別攻擊路徑的攻擊潛力,我們遵循描述的、經(jīng)過(guò)行業(yè)驗(yàn)證的標(biāo)準(zhǔn)化 CC 方法,從識(shí)別和利用所需的時(shí)間、專業(yè)知識(shí)、目標(biāo)知識(shí)以及所需的訪問(wèn)權(quán)限和設(shè)備等方面,估算成功實(shí)施攻擊所需的資源。
該方法可涵蓋已知的和(至少中期內(nèi))可能存在的安全攻擊(例如 RSA 因式分解挑戰(zhàn)),而后者對(duì)應(yīng)的攻擊潛力更高。各因素如表 2 所示,僅做了少量修改。所有估算都必須考慮安全角度的最壞情況。如果攻擊參考估算介于兩個(gè)分類之間,也可以為相應(yīng)因素選取適當(dāng)?shù)闹虚g值。
表 2、攻擊潛力因素的參考分類
總體攻擊潛力(AP)通過(guò)估算并累加每個(gè)類別的系數(shù)得出,如公式(3.1)所示:
因此,AP 代表成功實(shí)施特定攻擊路徑所需的所有資源的累積攻擊潛力。總 AP 值可轉(zhuǎn)換為攻擊者分類,如表 3 所示。該分類將 AP 歸入《通用標(biāo)準(zhǔn)》中定義的類別。
表 3、攻擊潛力(AP)分類
3.3 損害潛力計(jì)算
本文對(duì)損害潛力的計(jì)算基于成功攻擊特定車載安全目標(biāo)可能導(dǎo)致的三種損害類型,即安全損害、財(cái)務(wù)損害和 / 或運(yùn)營(yíng)損害(參見表 4)。
安全損害包括成功的安全攻擊可能導(dǎo)致車輛乘客受傷的任何不利事件。對(duì)于安全損害分類,我們采用 [ISO26262] 中經(jīng)過(guò)行業(yè)驗(yàn)證的 ASIL 分類(參見第 2.3 節(jié))。為對(duì)相應(yīng)因素進(jìn)行定量分類,我們還采用了(A)SIL 的十進(jìn)制冪次縮放。然而,請(qǐng)注意,所提出的安全損害系數(shù)僅代表算術(shù)值,不包含任何倫理評(píng)級(jí)(例如與財(cái)務(wù)損害系數(shù)相比)。
財(cái)務(wù)損害包括成功的安全攻擊導(dǎo)致的所有損失總和,但不直接反映安全問(wèn)題。因此,財(cái)務(wù)損害包括所有直接財(cái)務(wù)損失,例如因業(yè)務(wù)模式破裂導(dǎo)致的所有財(cái)務(wù)損失(如售后功能激活失效)、法律影響(如罰款)、產(chǎn)品責(zé)任問(wèn)題(如罰款或召回)、仿冒,還包括所有間接財(cái)務(wù)損失的估算,例如業(yè)務(wù)聲譽(yù)損害或市場(chǎng)份額損失。
然而,由于某些具體金額對(duì)每家公司的意義可能大不相同,所給出的財(cái)務(wù)損害分類參考了德國(guó)聯(lián)邦信息安全局發(fā)布的《IT 基礎(chǔ)保護(hù)》中的通用財(cái)務(wù)損害分類。為了適當(dāng)體現(xiàn)與大多數(shù)安全損害相比相對(duì)較小的后果,我們將相應(yīng)系數(shù)相對(duì)于安全損害類別向下調(diào)整了一個(gè)數(shù)量級(jí)(同時(shí)保留十進(jìn)制冪次縮放)。
反過(guò)來(lái),運(yùn)營(yíng)損害包括所有其他不利事件,這些事件不會(huì)直接造成人員受傷,也沒(méi)有可衡量的財(cái)務(wù)影響。例如,車輛功能損壞(如空調(diào)系統(tǒng)故障)乃至車載基礎(chǔ)設(shè)施潛在損壞(如交通管理系統(tǒng)故障)。該分類再次基于經(jīng)過(guò)行業(yè)驗(yàn)證的簡(jiǎn)化估算方法,該方法已用于車輛缺陷嚴(yán)重程度分類,如故障模式及影響分析(FMEA)[AIA08]。為了適當(dāng)體現(xiàn)與安全損害和所選財(cái)務(wù)類別相比相對(duì)較小的后果,我們將相應(yīng)系數(shù)再次向下調(diào)整了一個(gè)數(shù)量級(jí)(同時(shí)保留十進(jìn)制冪次縮放)。
表 4、損害潛力因素的參考分
總損害潛力(DP)通過(guò)估算并累加三個(gè)獨(dú)立因素的值(參見第 4 節(jié)中的估算方法)得出,如公式(3.2)所示。與攻擊潛力計(jì)算類似,所有估算都必須考慮最壞情況。如果損害參考估算介于兩個(gè)分類之間,也可以為相應(yīng)損害因素選取適當(dāng)?shù)闹虚g值。
因此,DP 代表成功攻擊特定安全目標(biāo)可能導(dǎo)致的所有潛在財(cái)務(wù)和非財(cái)務(wù)后果的累積損害潛力,與該攻擊的發(fā)生可能性 / 難度無(wú)關(guān)。三個(gè)損害類別(即安全、財(cái)務(wù)和運(yùn)營(yíng))評(píng)估區(qū)間的十進(jìn)制冪次權(quán)重如圖 3 所示。
圖 3、損害區(qū)間關(guān)系
請(qǐng)注意,通過(guò)成功實(shí)施安全攻擊而違反安全目標(biāo),通常可能同時(shí)產(chǎn)生與安全、財(cái)務(wù)或車輛運(yùn)營(yíng)相關(guān)的不同獨(dú)立后果。然而,為簡(jiǎn)化應(yīng)用,我們建議從所有潛在后果中僅考慮每個(gè)類別的最壞后果,該最壞后果已包含所有其他 “較低損害”。例如,成功的安全攻擊違反了 “僅授權(quán)人員可修改 ECU 固件” 的安全目標(biāo),從而允許未授權(quán)修改,可能會(huì)產(chǎn)生三個(gè)獨(dú)立的后果:可能導(dǎo)致兩個(gè)獨(dú)立的安全損害(例如由于 ECU 的兩個(gè)潛在故障),還可能導(dǎo)致與這兩個(gè)安全損害無(wú)關(guān)的特定財(cái)務(wù)損害(例如由于未授權(quán)的功能激活)。
在計(jì)算相應(yīng)的損害系數(shù)時(shí),我們首先尋找安全損害的最壞情況后果,并僅采用該后果來(lái)確定 DP 安全;然后尋找財(cái)務(wù)損害的最壞情況后果,并采用該后果來(lái)確定 DP 財(cái)務(wù);同樣,尋找運(yùn)營(yíng)損害的最壞情況后果,并采用該后果來(lái)確定 DP 運(yùn)營(yíng)。所有最壞情況因素的總和將決定由相應(yīng)安全目標(biāo)違規(guī)導(dǎo)致的總 DP。
最后,總 DP 值可轉(zhuǎn)換為損害類別,如表 5 所示。這些分類采用了成熟的十進(jìn)制冪次縮放(參見表 1),其設(shè)計(jì)方式是:嚴(yán)重傷害和極高財(cái)務(wù)損害對(duì)應(yīng)的分類為災(zāi)難性。
表 5、損害潛力(DP)分類
3.4 風(fēng)險(xiǎn)評(píng)估
為完成風(fēng)險(xiǎn)分析,我們最終創(chuàng)建了所謂的風(fēng)險(xiǎn)矩陣,該矩陣將安全攻擊路徑成功的概率(攻擊潛力 AP)與該事件的預(yù)期損失(損害潛力 DP)相結(jié)合,形成有意義的風(fēng)險(xiǎn)分類。
遺憾的是,[IEC61508] 及其汽車領(lǐng)域衍生標(biāo)準(zhǔn) [ISO26262](目前)均未提供任何強(qiáng)制性風(fēng)險(xiǎn)評(píng)估方法或風(fēng)險(xiǎn)接受值。這主要出于政治原因,因?yàn)槊總€(gè)應(yīng)用通用 [IEC61508] 標(biāo)準(zhǔn)的行業(yè)(甚至每個(gè)制造商)都有自己對(duì)可接受和不可接受風(fēng)險(xiǎn)的定義。然而,我們發(fā)現(xiàn),源自鐵路安全工程的風(fēng)險(xiǎn)矩陣和相應(yīng)風(fēng)險(xiǎn)評(píng)估方法完全符合我們的需求。因此,表 6 至少可作為可單獨(dú)調(diào)整的汽車 IT 安全風(fēng)險(xiǎn)接受矩陣的基礎(chǔ)。
表 6、示例性汽車 IT 安全風(fēng)險(xiǎn)矩陣
3.5 應(yīng)用示例
現(xiàn)在,通過(guò)一個(gè)簡(jiǎn)要示例來(lái)說(shuō)明本方法。假設(shè)某客戶修改安全關(guān)鍵型 ECU 固件,以對(duì)其汽車發(fā)動(dòng)機(jī)進(jìn)行未授權(quán)的性能調(diào)整(即 “芯片調(diào)校”)。該攻擊旨在違反 “ECU 固件完整性應(yīng)受到保護(hù)” 的安全目標(biāo)。在本示例中,向 ECU 上傳自定義代碼是一項(xiàng)受保護(hù)的功能,這意味著 ECU 僅接受經(jīng)過(guò)認(rèn)證的原始代碼,且為保護(hù)知識(shí)產(chǎn)權(quán),該代碼已加密。
我們假設(shè)保護(hù)機(jī)制并非由安全芯片強(qiáng)制執(zhí)行,而僅通過(guò)軟件安全措施實(shí)現(xiàn)。因此,攻擊者能夠逆向工程固件和 / 或獲取非公開信息,以進(jìn)行自定義代碼軟件更新。根據(jù)第 3.2 節(jié)中描述的方法,該攻擊路徑的攻擊潛力評(píng)級(jí)可能如下:
收集必要知識(shí)、獲取必要設(shè)備并實(shí)際執(zhí)行攻擊所需的時(shí)間可能介于數(shù)天到數(shù)周之間(系數(shù) 2)。請(qǐng)注意,為 AP 類別的估算選擇中間系數(shù)是完全合理的,例如,對(duì)于介于 “天” 和 “周” 兩個(gè)參考值之間的評(píng)級(jí),可選擇系數(shù) 2。首次識(shí)別并實(shí)施此類攻擊所需的專業(yè)知識(shí)為專家級(jí)(系數(shù) 6)。成功實(shí)施攻擊(在數(shù)天到數(shù)周內(nèi))至少需要了解 ECU 的內(nèi)部軟件結(jié)構(gòu)和功能,因此所需的目標(biāo)知識(shí)評(píng)級(jí)為受限信息(系數(shù) 3)。由于攻擊者通常也是車輛的合法所有者,他可以隨時(shí)完全訪問(wèn)自己的車輛,因此攻擊機(jī)會(huì)實(shí)際上是無(wú)限制的。然而,攻擊者必須以某種方式與 ECU 通信,這至少需要容易的物理訪問(wèn)權(quán)限(系數(shù) 1)。最后,實(shí)施攻擊可能需要標(biāo)準(zhǔn)設(shè)備以及一些額外的軟件 / 電纜。然而,這些專業(yè)部件可通過(guò)互聯(lián)網(wǎng)輕松獲取,因此所需設(shè)備的評(píng)級(jí)介于標(biāo)準(zhǔn)設(shè)備和專業(yè)設(shè)備之間(系數(shù) 3)。總 AP 的計(jì)算匯總于表 7,結(jié)果為中等攻擊潛力。然而,一旦攻擊可以自動(dòng)化,且所需代碼(即所謂的 “漏洞利用程序”)在互聯(lián)網(wǎng)上發(fā)布,其評(píng)級(jí)通常會(huì)顯著降低,從而形成新的攻擊路徑。
現(xiàn)在,我們分析如果該攻擊路徑違反了相應(yīng)的安全目標(biāo),可能造成的損害潛力。如果安全關(guān)鍵型代碼被未授權(quán)修改,從最壞情況的安全角度來(lái)看,其執(zhí)行可能導(dǎo)致嚴(yán)重事故,甚至造成人員受傷(系數(shù) 100)。從最壞情況的財(cái)務(wù)角度(與安全無(wú)關(guān))來(lái)看,(未被發(fā)現(xiàn)的)自定義軟件安裝可能導(dǎo)致虛假的保修索賠或錯(cuò)誤的責(zé)任問(wèn)題,由此造成的財(cái)務(wù)損害評(píng)級(jí)最多為相關(guān)年銷售額的 5%-20%(系數(shù) 10)。最后,獨(dú)立于任何安全或財(cái)務(wù)后果,未授權(quán)修改的軟件代碼可能會(huì)導(dǎo)致某些車輛功能受到影響或出現(xiàn)故障,因?yàn)樵摯a未經(jīng)過(guò)制造商驗(yàn)證(系數(shù) 5)。如表 7 所示,總損害潛力經(jīng)計(jì)算分類為嚴(yán)重。
為對(duì)該攻擊路徑進(jìn)行最終的 IT 安全風(fēng)險(xiǎn)評(píng)估,我們應(yīng)用表 6 中定義的車載 IT 安全風(fēng)險(xiǎn)矩陣,將該攻擊路徑評(píng)級(jí)為非期望的安全風(fēng)險(xiǎn)(即 1 / 中等 × 嚴(yán)重)。與僅采用軟件機(jī)制相比,在 ECU 中實(shí)施更好的安全措施(如基于硬件的完整性保護(hù)機(jī)制 [SSW08])可能會(huì)顯著提高所需的攻擊潛力,從而將總體風(fēng)險(xiǎn)降低到可容忍水平(例如)。
請(qǐng)注意,由于攻擊的前提條件可能不同,攻擊潛力的計(jì)算可能存在多種合理結(jié)果。例如,專業(yè)知識(shí)和時(shí)間之間通常存在權(quán)衡,即攻擊者要么需要豐富的專業(yè)知識(shí),要么需要大量時(shí)間。在這些情況下,從攻擊場(chǎng)景集合中選擇最低的總 AP 系數(shù)是穩(wěn)妥的做法。此外,某些攻擊無(wú)法通過(guò)正在進(jìn)行風(fēng)險(xiǎn)分析的 IT 組件直接抵御(例如開發(fā)過(guò)程中的安全)。這些攻擊可能是非技術(shù)性的(如社會(huì)工程學(xué)攻擊),或針對(duì)超出 IT 組件制造商職責(zé)范圍的技術(shù)系統(tǒng)。將這些攻擊納入風(fēng)險(xiǎn)分析的正式方法是定義風(fēng)險(xiǎn)分析所依據(jù)的假設(shè),例如假設(shè)開發(fā)站點(diǎn)是安全的。
表 7、攻擊潛力、損害潛力及由此產(chǎn)生的安全風(fēng)險(xiǎn)的示例性計(jì)算
4、獲取相關(guān)數(shù)據(jù)
一個(gè)重要問(wèn)題是如何獲取所有相關(guān)數(shù)據(jù),以便(i)識(shí)別可能的攻擊和潛在的由此產(chǎn)生的損害;(ii)對(duì)損害因素和攻擊因素進(jìn)行相應(yīng)分類。為識(shí)別潛在的安全目標(biāo)和可能的攻擊路徑,我們建議使用安全調(diào)查問(wèn)卷(參見第 4.1 節(jié))。為識(shí)別和分類攻擊,我們采用第 4.2 節(jié)中描述的方法。最后,為根據(jù)第 3.3 節(jié)估算潛在損害,我們建議使用更詳細(xì)的安全調(diào)查問(wèn)卷,其中還包括對(duì)以往類似安全事件的分析。
4.1 安全調(diào)查問(wèn)卷
以下提供一份安全調(diào)查問(wèn)卷草案,用于收集完成有意義的安全風(fēng)險(xiǎn)分析所需的信息。這包括對(duì)應(yīng)用程序使用的基本理解(1)、潛在安全目標(biāo)的識(shí)別(2)、已知的潛在攻擊和濫用場(chǎng)景的收集(3)以及現(xiàn)有安全措施的識(shí)別(4)。該方法類似于《通用標(biāo)準(zhǔn)》中定義 “安全目標(biāo)” 的模型,該模型描述了評(píng)估目標(biāo)、其安全環(huán)境、安全目標(biāo)和功能安全要求。
(1)請(qǐng)簡(jiǎn)要描述您的車載 IT 應(yīng)用程序,包括所有相關(guān)實(shí)體(例如駕駛員、原始設(shè)備制造商、服務(wù)商、第三方)以及所有(與安全相關(guān)的)用例!
(2)請(qǐng)?zhí)峁┠承?shí)體可能具有特定安全目標(biāo)的數(shù)據(jù)、資源或功能!
(3)請(qǐng)簡(jiǎn)要描述您已知的針對(duì)該車載 IT 應(yīng)用程序的任何攻擊、濫用場(chǎng)景和攻擊意圖!
(4)請(qǐng)簡(jiǎn)要描述可能已存在的任何用于實(shí)現(xiàn)(2)中安全目標(biāo)的安全措施!
(5)請(qǐng)?zhí)峁?)中識(shí)別的每項(xiàng)攻擊的前提條件和成本估算!
(6)請(qǐng)?zhí)峁?)中識(shí)別的每項(xiàng)攻擊的潛在損害估算!
為對(duì)攻擊潛力和損害潛力進(jìn)行細(xì)粒度估算,安全調(diào)查問(wèn)卷應(yīng)使用本研究第 3.2 節(jié)和第 3.3 節(jié)中提出的估算方法所提供的類別。對(duì)于新的與安全相關(guān)的應(yīng)用程序,只能通過(guò)相應(yīng)專家的近似估算來(lái)確定損害類別。如果與安全相關(guān)的應(yīng)用程序已成為安全攻擊的目標(biāo),則估算會(huì)更加精確,因?yàn)榭梢约{入已有事件的嚴(yán)重程度和頻率。因此,我們建議由負(fù)責(zé)的開發(fā)人員與安全專家以及能夠估算所分析車載應(yīng)用程序遭受安全漏洞可能造成的安全、財(cái)務(wù)和運(yùn)營(yíng)后果的專家共同完成此調(diào)查問(wèn)卷。
4.2 攻擊的識(shí)別和分類
《通用標(biāo)準(zhǔn)》要求評(píng)估人員檢查公開來(lái)源以及評(píng)估證據(jù)(即內(nèi)部文檔),以識(shí)別潛在漏洞并評(píng)估其被利用的可能性。如果潛在漏洞在評(píng)估目標(biāo)的預(yù)期運(yùn)行環(huán)境中可被利用,且成功識(shí)別和利用所需的攻擊潛力超出了評(píng)估目標(biāo)聲稱能夠抵御的水平,則必須實(shí)施安全解決方案。攻擊因素的評(píng)估根據(jù) CC 以及評(píng)估人員的知識(shí)和經(jīng)驗(yàn)進(jìn)行。因此,一旦某 IT 產(chǎn)品通過(guò) CC 認(rèn)證,就可以對(duì)其抵御針對(duì)安全目標(biāo)的攻擊的能力做出可靠聲明。本風(fēng)險(xiǎn)分析方法中攻擊的識(shí)別和分類可基于 CC 認(rèn)證結(jié)果。此外,安全關(guān)鍵型車載系統(tǒng)的 CC 認(rèn)證提供了國(guó)際認(rèn)可的保證,證明制造商已為避免系統(tǒng)遭受攻擊造成的損害做出了切實(shí)努力。
4.3 工具實(shí)現(xiàn)
我們已將本方法實(shí)現(xiàn)為一個(gè)簡(jiǎn)單的電子表格應(yīng)用程序,該程序允許系統(tǒng)地獲取安全目標(biāo)、其可能的攻擊路徑以及相應(yīng)的損害后果。它能夠根據(jù)我們提出的方法估算攻擊潛力和損害潛力,并根據(jù)我們調(diào)整后的安全風(fēng)險(xiǎn)矩陣提供自動(dòng)風(fēng)險(xiǎn)評(píng)估。
目前,該方法已成功應(yīng)用于多個(gè)知名汽車原始設(shè)備制造商的安全分析和咨詢項(xiàng)目中。
5、總結(jié)與展望
本文提出了一種系統(tǒng)方法,用于平衡實(shí)施車載安全措施的安全成本與相應(yīng)汽車安全攻擊的安全風(fēng)險(xiǎn)。該方法基于成熟的方法學(xué),并經(jīng)過(guò)精心調(diào)整和整合,可高效、有意義地應(yīng)用于車載 IT 安全場(chǎng)景。通過(guò)融入汽車領(lǐng)域的特殊特征,所提出的方法為汽車開發(fā)人員和制造商提供了一套車載 IT 安全措施的量化評(píng)估方法,通過(guò)該方法可以清晰分析成本與安全風(fēng)險(xiǎn)之間的權(quán)衡,從而做出有充分依據(jù)的決策。
本方法基于一個(gè)假設(shè),即隨著所需攻擊潛力的增加,安全措施遭受成功攻擊的概率會(huì)降低(參見表 6)。這一假設(shè)在大多數(shù)但并非所有實(shí)際場(chǎng)景中都成立。例如,假設(shè)某汽車制造商無(wú)論成本如何,都愿意逆向工程競(jìng)爭(zhēng)對(duì)手全新產(chǎn)品的軟件。如何通過(guò)擴(kuò)展我們的分類體系來(lái)摒棄這一假設(shè),將是未來(lái)的研究方向。
進(jìn)一步的研究方向還包括采用更細(xì)粒度的因素或?qū)Ω鱾€(gè)因素和類別的權(quán)重進(jìn)行優(yōu)化。特別是,我們提出的安全調(diào)查問(wèn)卷的初步實(shí)際結(jié)果可為驗(yàn)證或調(diào)整我們的量表以適應(yīng)當(dāng)前汽車行業(yè)的實(shí)際場(chǎng)景提供寶貴輸入。如第 3.1 節(jié)所述,制定一套涵蓋所有重要、已知 ECU 安全問(wèn)題(與潛在安全解決方案無(wú)關(guān))的汽車專用保護(hù)輪廓(PP),將顯著簡(jiǎn)化和系統(tǒng)化車載安全目標(biāo)、威脅和攻擊路徑的識(shí)別過(guò)程。
另一個(gè)有趣的問(wèn)題是,我們的研究結(jié)果與關(guān)于確定信息安全最優(yōu)投資水平的討論有何關(guān)聯(lián)。根據(jù)他們的研究和給定要求,受保護(hù)資產(chǎn)總成本的 36.8% 至 50% 應(yīng)用于安全措施投資。我們的方法是否會(huì)得出類似結(jié)果?在汽車大規(guī)模生產(chǎn)的特殊背景下,總投資成本受單位生產(chǎn)成本的顯著影響。為(除其他外)回答這一問(wèn)題,我們的車載 IT 風(fēng)險(xiǎn)分析方法目前正由兩家德國(guó)汽車制造商獨(dú)立應(yīng)用和評(píng)估,用于兩種不同的安全解決方案。
最后,我們要強(qiáng)調(diào)的是,即使基于充分的分析,風(fēng)險(xiǎn)分析仍然是一種統(tǒng)計(jì)估算,本質(zhì)上包含不確定性。
(添加微信號(hào)NewCarRen咨詢)
相關(guān)文章
