隨著汽車互聯化和智能化,汽車不再孤立并且越來越融入到互聯網中。在這同時,汽車也慢慢成為潛在的網絡攻擊目標,汽車的網絡安全已成為汽車安全的基礎,受到越來越多的關注和重視。對于一切聯網事物而言,風險、漏洞和威脅無處不在。聯網汽車行業也不例外。

攻擊樹技術在研究已知網絡攻擊的威脅分析,進行風險評估中發揮著重要作用。例如,利用保護樹和防御樹來分析系統中網絡威脅的弱點。如今,攻擊樹的應用在智能網聯汽車的領域有了卓越的發展。但是,構建大規模的攻擊樹是一項艱巨的任務——C2A產品安全總監David Mor Ofek為安全評估人員提供了一個藍圖,允許攻擊樹隨著模型的增長而增長,從而節省了時間和資源。

今天的智能網聯汽車(CAV)架構比以往任何時候都復雜得多。隨著智能網聯汽車規模的擴大,以滿足消費者的需求;也需要有強大的、有彈性的安全態勢,能夠隨時識別和減輕潛在的威脅。

這些問題在威脅和風險分析(TARA)過程中得到了很大程度的解決,這是脆弱性管理過程的一個關鍵部分。當設計一輛新汽車時,TARA流程會識別潛在的威脅載體,并告知應對措施,以解決這些漏洞。這個過程最好盡可能快速和有效地完成,以便進行必要的改進。構建和設計攻擊樹是TARA過程的一個重要方面,但有一個問題:攻擊樹的創建是一個復雜和耗時的過程,通常涉及密集的、專家驅動的車輛漏洞構建。安全評估人員可能會在整個產品生命周期中構建數百個攻擊樹——這是重復的、費力的、低效的,因此人們希望它能實現自動化。

幸運的是,攻擊樹可以設計成與模型一起生長。在這篇文章中,C2A將解釋目前攻擊樹的方法所存在的問題,提出設計原則,這些原則可以應用于可擴展的方法,以滿足智能網聯汽車的需求,并舉例說明這種方法。

攻擊樹建模的常見方法

目前,攻擊樹建模的主要方式為:攻擊樹目錄和自動樹構建。

在編目方法中,安全評估人員將使用現成的樹作為主流攻擊路徑,盡可能多地覆蓋攻擊路徑域。相反,自動方法遵循從設計構建樹的一致方法。記住:構建攻擊樹需要最高水平的專業知識。盡管自動化和基于模板的方法可以幫助減輕一些繁重的工作,但這兩種策略最終只能提供部分解決方案。為了增加真正的安全價值,重要的是要考慮一個基本的安全原則:設計的攻擊樹。

像任何軟件設計一樣,攻擊樹也需要高度的規劃。人們期望,隨著車輛系統的發展,安全需求將會增長。為了提高效率并防止工作重復,重要的是,安全評估人員準備的基礎設施將隨項目擴展,隨著系統的發展循環利用工作,而不是在每個階段開始完全重新設計。

攻擊樹設計原則

攻擊樹建模并不存在錯誤的方法;不同的方法有不同的好處,甚至可以應用于相同的系統。也就是說,這些基本原則就能夠幫助構建一個可擴展的攻擊樹,它可以隨任何系統而成長。

1.設計原則1:將元素從設計分析階段拉到建筑流線

設計階段包括連接、資產和屬性,并將組成攻擊樹的構建塊。 對于具有不存在元素的攻擊路徑,安全評估人員應該將其添加到設計中,或者等待該特定攻擊路徑的更高級的設計階段。

2.設計原則2:把擴展性放在第一位,構建攻擊樹進行擴展

設計階段包括連接、資產和屬性,并將組成攻擊樹的構建塊。 對于具有不存在元素的攻擊路徑,安全評估人員應該將其添加到設計中,或者等待該特定攻擊路徑的更高級的設計階段。

3. 設計原則3:利用微子樹作為構建塊

通過使用微子樹作為攻擊樹后續迭代的構建塊,安全評估人員可以根據設計無縫地替換或添加。 每個子樹代表攻擊路徑的一個特定部分——通信入口點、操作系統或內核攻擊——并為可重用、敏捷的威脅管理而設計。

4. 設計原則4:采用分層樹的方法來考慮車輛的發展設計

分層樹的方法將允許評估人員在車輛從純概念層到技術和實現層的設計演進中考慮不同的抽象層次。

最終,將設計原則應用到你的方法中

現在,這些設計原則將被應用到用C2A的AutoSec ANALYSIS構建的樣本ADAS系統中。

在最高抽象階段,ADAS系統本身只是一個決策元素,有一個執行決策的功能資產。連接元素提供導航和v-data,而傳感器感知消息從傳感器元素發送,驅動消息從驅動元素發送,連接元素包含一個更新應用程序和一個路由表。

此處將以一個嚴重的事故場景為例:與附近的車輛碰撞,以及一個威脅:篡改決策軟件模型代碼。

應用設計原則1—只使用模型中的元素—出現了下面的樹。

注意,有2個節點利用代碼漏洞和連接到外部接口; 兩者都被用作方法而不是步驟。 這些是后續開發的占位符,在后續開發中,安全評估人員將需要根據設計更改底層步驟。

在后來的設計中,詳細介紹了所需的系統和子系統,以及使用的具體技術:

先前設計中的元件現在是完整的系統,具有ECU和內部屬性,如豐富的操作系統,元件之間的一般連接已成為以太網、CAN、C-VTX和LTE網絡。

在構建本設計的攻擊樹時,應采取以下步驟:

1. 構建子樹來表示特定技術的攻擊

2. 重用以前的樹結構來表示新的設計

TCU外部連接采用子樹方式:

集成子樹,在豐富的操作系統環境中開發代碼:

現在,攻擊樹代表一種新的設計,同時保持樹的原始結構,并與代表新設計的子樹集成。

隨著互聯網汽車的發展,攻擊樹建模方法也必須發展

為重用和可伸縮性而設計是日常軟件開發的一部分,攻擊樹模型應該也不例外。與目錄和自動樹構建不同,設計的樹考慮到了未來的車輛設計迭代——最小化時間投資,獲得最大回報。準備好正確的基礎設施將允許攻擊樹隨著模型的設計而進化和擴展,這是擴展安全工作的關鍵。通過一次只關注一個設計階段,優先考慮攻擊樹擴展,利用微子樹和采用分層樹方法,安全評估人員將設計出敏捷的、具有前瞻性的攻擊樹,可以擴展以匹配整個安全生命周期的TARA需求。

關于C2A SECURITY

C2A Security是一家受信任的端對端汽車網絡安全解決方案供應商。公司推出了嵌入式車載網絡安全解決方案,使用多層次方法解決網絡安全問題,提供與汽車有關的保護措施和安全兼容性。C2A旗下的AutoSec是一個綜合網絡安全生命周期管理平臺,為整車廠和一級供應商提供可視性,使之能夠在互聯網汽車的整個生命周期中滿足網絡安全需要。C2A采取市場中性策略,能夠流暢地滿足汽車產業的需求,擁有易集成性,重新定義了汽車網絡安全生態系統。C2A是市場上最具靈活性、綜合性和透明度的網絡安全解決方案供應商。C2A的投資方包括More Ventures、OurCrowd和Maniv Mobility。

關鍵詞：