由于自动驾驶的出现,软件和连接从根本上改变了汽车行业, 共享移动性和电气化——网络安全成为该行业成败攸关的挑战之一. UNECE R155等法规要求oem及其供应商将网络安全活动整合到整个项目生命周期中,以提供及时的证据, 端到端的有效网络安全管理, 这最终允许认证系统安全防范网络攻击. 对于汽车来说,一个主要的方面就是保证车辆的安全性, 系统和/或组件具有网络弹性. 为此目的, 最近发布的国际标准ISO/SAE 21434提供了如何执行最相关的网络安全活动之一:TARA的指导.
在汽车网络安全工程的背景下, 风险评估被称为“威胁分析和风险评估(TARA)”.“这是一种符合ISO/SAE 21434标准的汽车特定风险评估程序. 与任何风险评估一样, TARA从定义需要确保网络弹性的项目开始. 后来, 识别破坏场景和威胁, 并仔细评估其各自的影响和可行性,以确定相应的风险值,并应予以相应处理.
TARA是通过设计来驱动安全性的一个不可或缺的机制——这被证明是确保最终产品安全性的最有效和最高效的方法. 最终, 因为TARA是ISO/SAE 21434中定义的核心活动之一, 客户肯定会在整个产品生命周期中要求它的执行和维护.
ISO/SAE 21434为TARA提供了标准化方法,以便在供应链上的各个组织之间理解和比较风险和风险处理决策. 通常,TARA由以下步骤组成:
资产识别——识别需要保护的系统对象免受网络攻击(例如.g.、软件程序或通信链路)
损害场景识别和影响评级——识别成功的网络攻击的负面后果,并估计对系统及其用户的影响
威胁场景识别和攻击路径分析——列举攻击资产的潜在方式,并确定实现这些攻击所需的一系列操作
攻击可行性评级-评估已识别攻击的容易程度或合理性
确定风险值-从影响和攻击的可行性计算风险值
风险治疗决策-对治疗潜在的攻击做出有意识的决定.g.,降低风险或保留风险)
谁来演TARA?风险处理决策用于导出网络安全设计, 体系结构和实现细节. 没有一个合适的塔拉, 网络安全工程很容易失败,因为如果没有识别出潜在的威胁,就可能不考虑安全控制, 或者,如果不正确的风险值导致错误的优先级排序,高风险被错误地视为可接受的风险.
TARA的质量很大程度上取决于执行分析的网络安全工程师的知识和经验. 除了熟悉标准和方法外, 一个称职的网络安全工程师需要对所评估的汽车系统有深入的了解,并对汽车领域特有的攻击方法和利用技术有最新的了解. 另外, 在与开发团队合作时,他或她必须是一个良好的沟通者, 架构师, 安全工程师和其他专家,以完成TARA的不同部分.
细节很重要:在TARA过程中, 一个有经验的网络安全工程师知道该把重点放在哪里, 哪里可能出现漏洞, 在哪里寻找常见的攻击路径,以及如何生成有用的信息以供以后使用. 对威胁的描述需要精确和翔实,以便为制定网络安全目标和有效对策提供充分的理解.
TARA是一个与项目开发相结合的迭代过程. 通常,TARA在项目开始时缺少关键信息. 解决这个问题的方法之一, 是用假设来限制分析的范围和抵消信息的缺乏. 一旦更多的信息(如系统架构和软件设计)可用,这些假设就会改变. 例如, 假设电子控制单元(ECU)具有特权诊断访问的安全访问, 可以排除使用直接诊断接口读取和写入ECU数据或代码的威胁. 如果在项目开发过程中获得更多细节, 可以在分析中添加与绕过或操纵安全访问实现相关的其他威胁.
TARA是系统管理汽车网络安全风险的关键一步. 熟悉TARA流程, 方法和工具, 结合汽车网络安全工程知识和过去的项目经验是保证TARA质量的关键因素. 美高梅网投拥有一批汽车网络安全顾问,他们具有专业的技术知识,可以引导您的组织实现TARA卓越. 美高梅网投的 软件工厂 团队了解更多关于我们如何支持您的TARA流程并确保您的汽车产品安全.