iso21434-TARA分析示例完整

ISO21434示例源???書：SecurityEngineeringforISO21434,byfortissISO/SAE21434ISO21434ISO21434法 持ISO21434技術(shù)部分的摘要信息如下圖所示：Part5；Part6；Part7和8描述了在產(chǎn)品?命周期中?于確保?絡(luò)安全的活動(dòng)和?法；Part9詳述了概念階段的需求；part10和11詳述了產(chǎn)品階段的需求；Part12-14詳述了售后（post-production）階段的需求Part15詳述了供應(yīng)商管理的需求實(shí)踐示例ISO21434?身控制ECU通過CAN總線向電源切換執(zhí)?器發(fā)送信息，以請(qǐng)求打開/關(guān)閉前燈；攝像頭ECU連接著電源切換執(zhí)?器，可以對(duì)對(duì)?來?進(jìn)?檢測，以?動(dòng)切換遠(yuǎn)光/近光；CANECUECUCAN；導(dǎo)航ECU由兩個(gè)接?：蜂窩和藍(lán)?；?關(guān)ECU還通過CAN總線連接著OBD-II連接器；OBD-II是?于監(jiān)控?輛數(shù)據(jù)的?載計(jì)算機(jī)；藍(lán)?和蜂窩接?與OBD-II連接器是外聯(lián)??，可能成為攻擊的??點(diǎn)?險(xiǎn)評(píng)估本節(jié)描述應(yīng)?ISO21434part8和part9進(jìn)??險(xiǎn)評(píng)估的具體過程part9使?了Part8描述的?險(xiǎn)評(píng)估?法下圖摘要刻畫了相關(guān)活動(dòng)，包括需要產(chǎn)出的輸出和可采?的?法項(xiàng)?定義ItemDe?nition義 步架構(gòu)，并對(duì)其運(yùn)?環(huán)境進(jìn)?了假設(shè)示例1在這個(gè)階段，需要分析前?燈系統(tǒng)，形成：前照燈系統(tǒng)的初步結(jié)構(gòu)preliminaryarchitectureoftheheadlampsystem.架構(gòu)中各元素的描述（例如功能）項(xiàng)?邊界（itemboundary）AssetIdenti?cation（damagescenarios）（damagescenarios）ISO214343：影響評(píng)級(jí)：該?法評(píng)估?絡(luò)攻擊對(duì)資產(chǎn)的影響從威脅場景（Threatscenarios）中獲取資產(chǎn)：威脅場景（Threatscenarios）（在危險(xiǎn)場景活動(dòng)中?成）有助于識(shí)別關(guān)鍵資產(chǎn)預(yù)定義?錄：現(xiàn)有?錄為識(shí)別資產(chǎn)提供了良好的來源示例2CAN/CAN完整性??，CAN總線必須確保傳輸信息的準(zhǔn)確性和完整性可?性??，CAN總線必須在任何時(shí)候都可?，例如，?身控制ECU請(qǐng)求打開/關(guān)閉燈CAN總線的損壞情況包括以下意外?為：前?燈意外受損：在?夜駕駛過程中，由于CAN信號(hào)完整性問題導(dǎo)致前?燈關(guān)閉CANECU威脅場景（Threatscenarios）識(shí)別對(duì)于每個(gè)危險(xiǎn)場景（damagescenarios），威脅場景（Threatscenarios）應(yīng)當(dāng)被識(shí)別注意某?個(gè)危險(xiǎn)場景（damagescenarios），可能關(guān)聯(lián)著多個(gè)威脅場景（Threatscenarios）?個(gè)威脅場景動(dòng)（Threatscenarios）可能包含著?標(biāo)資產(chǎn)被?侵?絡(luò)安全屬性攻擊者可能執(zhí)?的導(dǎo)致危險(xiǎn)的活動(dòng)ISO21434提出了2類?法或結(jié)合?法：誤??例啟發(fā)（misuse-caseelicitation）：威脅場景（Threatscenarios）經(jīng)?？梢酝ㄟ^?意但可能發(fā)?的項(xiàng)?進(jìn)?識(shí)別基于分類記憶法的?法，例如STRIDE威脅模型，系統(tǒng)地進(jìn)?威脅識(shí)別示例3對(duì)于危險(xiǎn)場景（damagescenarios）1和2，威脅場景（Threatscenarios）分別有：CANCAN；CANCAN（Threatscenarios）2，CANCAN影響評(píng)級(jí)ImpactRating這?活動(dòng)以資產(chǎn)識(shí)別獲得的危險(xiǎn)場景（damagescenarios）為輸?每個(gè)危險(xiǎn)場景（damagescenarios）根據(jù)4個(gè)影響范疇來評(píng)定其影響評(píng)級(jí)：Safety安全性Financial經(jīng)濟(jì)性O(shè)perational執(zhí)?性Privacy隱私性別的范疇也可以被考慮下列影響評(píng)級(jí)與危險(xiǎn)?江相關(guān)聯(lián)：嚴(yán)重（severe）重要（major）中等（moderatate）輕微（negligible）最后，功能安全（safety）相關(guān)的影響可從ISO26262中獲取示例4危險(xiǎn)場景（damagescenarios）的影響評(píng)級(jí)如下表所示：攻擊路徑分析（AttackPathAnalysis）從預(yù)設(shè)架構(gòu)出發(fā)，假定項(xiàng)?和環(huán)境，以及危險(xiǎn)場景，可以形成可能的攻擊路徑和它相關(guān)聯(lián)的威脅場景ISO21434：洞 陷攻擊中漏洞如何被利?示例5藍(lán)?和蜂窩接?都是外界訪問的途徑，因此他們是前?燈系統(tǒng)可能的攻擊??點(diǎn)威脅場景1的威脅路徑：ECU，；ECU；ECUCAN：ECU，；ECU；ECUCAN攻擊可能性評(píng)級(jí)AttackFeasibilityRating每條攻擊路徑的評(píng)級(jí)可以根據(jù)下列分類進(jìn)?：?（high）中（medium）低（low）很低（verylow）下?3種?法被建議使?：（AttackPotential）：（eclipsedtime）（specialistexpertise）（itemknowledgerequired）（widowofopportunity）（equipment）CVSS2:https://www.?/cvss/攻擊向量（AttackVector）：攻擊評(píng)級(jí)可通過分析攻擊路徑中的主要攻擊向量進(jìn)?判定示例6這?使?攻擊潛??法，針對(duì)威脅場景1的攻擊路徑，表2顯示了攻擊可能性評(píng)級(jí)結(jié)果：?險(xiǎn)判定RiskDetermination威脅場景的?險(xiǎn)，可以通過與相關(guān)危險(xiǎn)場景的影響評(píng)級(jí)和相關(guān)攻擊路徑的可能性共同判定示例73：（major），（high）2?險(xiǎn)應(yīng)對(duì)決策RiskTreatmentDecision源來避免?險(xiǎn)

減少?險(xiǎn)

分擔(dān)?險(xiǎn)或轉(zhuǎn)移?險(xiǎn)

接受或保留?險(xiǎn)增量?法IncrementalApproachISO21434到不ISO21434：嚴(yán)格的安全評(píng)估號(hào)GoalStructureNotation]）CANECU，safetysecurity模safetysecurity增量評(píng)估維持IncrementalAssessmentMaintenance分 布式）邏輯規(guī)范和?絡(luò)路由的算法似乎可以使?和調(diào)整這些技術(shù)來維持嚴(yán)格的安全評(píng)估?動(dòng)化?動(dòng)化為了提?流程效率和減少錯(cuò)誤，增加?動(dòng)化?持是關(guān)鍵幸運(yùn)的是，在過去的?年?，出現(xiàn)法 （designexploration），?staticanalyzersandmodel-checkers）3ISO21434ID或ID（DSL）性能 能夠選擇最合適的項(xiàng)?增量最后，認(rèn)證??產(chǎn)出，例如將為新項(xiàng)??成安全評(píng)估與基于模型?程的現(xiàn)有?法相?，例如與GSN模型或?本模型（excel表）相?，本?提出的?法有兩個(gè)主要優(yōu)點(diǎn)：健GSN邏第?個(gè)好處是使?增量?法和?動(dòng)化這使得認(rèn)證過程不那么容易出現(xiàn)?為錯(cuò)誤，也更?效如果些?物是否符合ISO21434由于該?法中使?的?法基于嚴(yán)格的安全評(píng)估，認(rèn)證機(jī)構(gòu)可以使?現(xiàn)有?具?動(dòng)檢查安全參數(shù)是否正確增量?法示例?動(dòng)化ISO21434望2ECUCAN示例8在DSL語?中，可以指定已識(shí)別的資產(chǎn)和危險(xiǎn)場景如下：asset(can2).dmgScenario(“hlturnsoffovernightdriving”,can2,int,[maj,neg,maj,neg]).上述內(nèi)容中：參數(shù)can2顯示了?于ECUs間通信的CAN，can2是?項(xiàng)真實(shí)資產(chǎn)dmgScenario顯示了危險(xiǎn)場景（前?燈系統(tǒng)在?夜?駛中關(guān)閉?燈），它與can2和?絡(luò)安全屬性（短整數(shù)/int）相關(guān)為[maj,neg,maj,neg].接下來的活動(dòng)時(shí)威脅場景識(shí)別和攻擊路徑分析這套機(jī)制可以?動(dòng)化執(zhí)?這些活動(dòng)推理規(guī)則制定了潛在的威脅或每個(gè)資產(chǎn)關(guān)聯(lián)的威險(xiǎn)場景潛在的威脅在資產(chǎn)可被訪問時(shí)會(huì)轉(zhuǎn)化為真實(shí)的威脅接下來的?險(xiǎn)評(píng)估是攻擊可能性評(píng)級(jí)和?險(xiǎn)判定過程，該機(jī)制回?每個(gè)攻擊步驟的評(píng)級(jí)作為輸?，然后值{attFS([can2,[can2,gw,can1,bt],int,maj],high)}{riskDT([can2,[can2,gw,can1,bt],int,maj],4)}attFSriskDTIDID（can2）（從右到左的?向）?絡(luò)安全屬性（完整性）和影響等級(jí)（主要）組成本例僅考慮安全影響等級(jí)attFS和riskDT的最后?個(gè)參數(shù)分別表示總體可?性評(píng)級(jí)（?）和已識(shí)別威脅的?險(xiǎn)值（4）推：緩解（mitigation）：哪些威脅可以通過給定的已部署安全模式進(jìn)?緩解；哪些威脅不能；些下?的圖顯示了?個(gè)防?墻?于緩解已識(shí)別的威脅：總的來看，該機(jī)制可以?動(dòng)化下列iso21434?險(xiǎn)評(píng)估部分：對(duì)給定危險(xiǎn)場景，識(shí)別威脅識(shí)別攻擊者利?已識(shí)別威脅的路徑）推薦安全模式以環(huán)節(jié)可識(shí)別威脅（?險(xiǎn)應(yīng)對(duì)決定）增量安全?法為了解釋圖4，假設(shè)在前燈系統(tǒng)有如下改變：增量ECU軟OBD-IIECU，訪?動(dòng)設(shè)計(jì)探索6安脅 ，例如“只有來?公共元素的授權(quán)?戶才能將數(shù)據(jù)寫?身體控制ECU”Figure6aillustratesasecuritymonitorassociatedwiththeBodyControlECU,whereasFigure6billustratesasecuritymonitorassociatedwiththeCANbus.Bothsolutionscanmitigatetheidenti?edthreat.Themaindi?erenceisthattheformermaybedeployedbymeansofsoftwareinstrumentation,andthelattermaybedeployedasaphysicalproxybetweenthe