TARA攻擊樹分析方法論

本文作者：極氪軟體及電子中心-Oliver Xiao

TARA分析幫助開發人員系統性地找出目標存在的安全問題，然後妥善地處置這些問題，重點在於系統性，而不是純靠開發人員的靈光一閃。 ISO 21434定義的TARA規範示意圖如下。“風險值 = 攻擊可行性 x 損害程度”作為中心思想，以此判定CAL等級，確認處置措施。攻擊樹分析是核心的環節，表述了抽象的威脅場景具體有哪些實現路徑。下面簡要分析如何做攻擊樹模型。

圖1. TARA方法論

攻擊樹模型的一個總要前置條件是確認安全目標。這裡以整車電子電氣架構作為一個示例去考慮系統邊界，暴露在最外側的是各種物理介面和感測器，再往內就是各種通訊匯流排，處於端點的是控制器。從資訊互動實體和傳播路徑考慮，邊界內的主要的安全資產可以分類為：

1.      各類物理介面

2.      ECU韌體

3.      匯流排通訊

4.      使用者資料

5.      密碼學相關資料

6.      服務或功能

 

 

圖2. 整車系統邊界

 

安全屬性模型，有經典的CIA，還有STRIDE威脅模型（對應6個屬性），對於車載網路環境，更適合的是EVITA提出的模型，包含以下安全屬性：

-        真實性（身份認證）

-        完整性

-        可用性

-        授權

-        抗否認性

-        新鮮度

-        匿名

-        機密性

 

我們將資產和安全屬性做一個對映，如下表所示：

資產	機密性	完整性	可用性	真實性	授權	不可否認性	新鮮度	匿名化
物理介面		√	√	√	√
ECU 韌體		√		√
匯流排通訊	√	√	√	√		√	√
使用者資料	√	√			√			√
密碼學資料	√	√	√
服務或功能		√	√	√	√

安全目標可以看作是保護資產的安全屬性，那麼威脅則是資產的安全屬性可能遭到破壞的場景，損害場景則是相應威脅可能導致的破壞或造成的損失。

安全目標 = 保護資產X的安全屬性Y

威脅場景 = 何種方式破壞資產X的安全屬性Y

損害場景 = 破壞資產X的安全屬性Y後可能導致的損害

 

以ECU韌體的完整性為例，安全目標是保護ECU韌體的完整性。完整性遭到破壞，即韌體遭到篡改，為ECU韌體的威脅場景。而具體遭到篡改的資料位置不同，造成的後果也不同，可能有以下幾種損害場景：

1.      篡改了程式碼段，修改了ECU功能，車輛功能發生變化

2.      篡改了程式碼段，植入後門

3.      篡改了程式碼段，遮蔽了認證過程，提升許可權

4.      篡改了標定資料，車輛效能發生了變化

5.      篡改了車輛配置，啟用了未付費購買的功能

 

具體的攻擊樹實現路徑分析，嚴重依賴於網路安全開發人員的經驗。我們也可以參考一些開源的攻擊路徑資料庫，如CAPEC。CAPEC資料庫從多個視角對攻擊路徑進行了分類，常用的有按攻擊機制分類和按域分類。這些分類也可以作為參考，進行列舉攻擊路徑。

按照攻擊域來分類：

3000 - Domains of Attack

  Software - (513)

  Hardware - (515)

  Communications - (512)

  Supply Chain - (437)

  Social Engineering - (403)

  Physical Security - (514)

按照攻擊機制來分類：

1000 - Mechanisms of Attack

  Engage in Deceptive Interactions - (156)

  Abuse Existing Functionality - (210)

  Manipulate Data Structures - (255)

  Manipulate System Resources - (262)

  Inject Unexpected Items - (152)

  Employ Probabilistic Techniques - (223)

  Manipulate Timing and State - (172)

  Collect and Analyze Information - (118)

  Subvert Access Control - (225)

R155法規也提供了一個威脅的攻擊方法清單（附錄5表格A1），可用於自查列舉結果是否完備。

由於攻擊樹和對應的措施嚴重依賴專家經驗，建議建立一個汽車電子電氣架構的通用技術攻擊路徑資料庫，資料庫有多個檢視，可以從資產類別、安全屬性、攻擊機制等方式進行分類。再配合視覺化工具從系統的拓撲圖上分析，從根節點出發，沿著資料流畫出攻擊路徑上需要經過的節點，以及每個節點或通訊管道的哪些安全屬性遭到破壞。我們可以先不考慮每個步驟的可行性有多大，畫出如下路徑圖。

圖3. 攻擊路徑上標註節點安全屬性示例

 

   然後開發人員可以適用工具從資料庫中根據安全屬性、資產種類查詢到對應節點存在哪些攻擊方法，包括攻擊方法描述、前置條件、攻擊原理與示例說明、相關漏洞、減緩措施，並從前置條件可以推斷此攻擊方法是否適用當前節點，即可完成攻擊樹模型的確定。當電氣拓撲很複雜，或者是目標資產的分發路徑多樣化，導致攻擊分支過於龐雜時，可以做適當的裁剪，當識別到某個路徑的可行性非常低時，可無需繼續向下展開分析。

   目前極氪2.0區域控制電氣架構已開發完成，在這個電氣架構開發過程中已經融入了一套相對完善的整車資訊保安架構策略，作為走在行業前列的極氪，要力圖打造最安全的汽車，所以在2.0電氣架構車型開發上，資訊保安團隊從整車功能清單及整車控制單元為切入口，再一次全面的進行TARA分析，完善通用技術攻擊路徑資料庫，同時極氪軟體及電子中心將與資訊保安實驗室在2.0電氣架構的車型上開展雲、管、端全維度的紅藍軍攻防對抗試驗，通過攻防試驗不斷加固極氪車型的資訊保安盾牌。

目前由極氪軟體及電子中心主導的基於中央計算平臺的3.0電氣架構正在如火如荼的研發中，在新的電氣架構中，因其可承載功能將變得有無限可能，基於整車功能清單的TARA分析已不再適用，整車的功能不再是一成不變的，也不僅僅是通過啟用某個已預埋的功能實現功能擴充套件，而是在未來無數新的應用場景下，更多由廣大外部開發者實現，存在更多的不確定性。TARA方法論雖然不會發生大的變化，但分析目標將會從功能劃分轉到基礎通訊架構、ZEEKR_OS、整車原子服務等維度，夯實新一代電氣架構的資訊保安有了新的挑戰。