随着汽车互联化和智能化,汽车不再孤立并且越来越融入到互联网中。在这同时,汽车也慢慢成为潜在的网络攻击目标,汽车的网络安全已成为汽车安全的基础,受到越来越多的关注和重视。对于一切联网事物而言,风险、漏洞和威胁无处不在。联网汽车行业也不例外。

攻击树技术在研究已知网络攻击的威胁分析,进行风险评估中发挥着重要作用。例如,利用保护树和防御树来分析系统中网络威胁的弱点。如今,攻击树的应用在智能网联汽车的领域有了卓越的发展。但是,构建大规模的攻击树是一项艰巨的任务——C2A产品安全总监David Mor Ofek为安全评估人员提供了一个蓝图,允许攻击树随着模型的增长而增长,从而节省了时间和资源。

今天的智能网联汽车(CAV)架构比以往任何时候都复杂得多。随着智能网联汽车规模的扩大,以满足消费者的需求;也需要有强大的、有弹性的安全态势,能够随时识别和减轻潜在的威胁。

这些问题在威胁和风险分析(TARA)过程中得到了很大程度的解决,这是脆弱性管理过程的一个关键部分。当设计一辆新汽车时,TARA流程会识别潜在的威胁载体,并告知应对措施,以解决这些漏洞。这个过程最好尽可能快速和有效地完成,以便进行必要的改进。构建和设计攻击树是TARA过程的一个重要方面,但有一个问题:攻击树的创建是一个复杂和耗时的过程,通常涉及密集的、专家驱动的车辆漏洞构建。安全评估人员可能会在整个产品生命周期中构建数百个攻击树——这是重复的、费力的、低效的,因此人们希望它能实现自动化。

幸运的是,攻击树可以设计成与模型一起生长。在这篇文章中,C2A将解释目前攻击树的方法所存在的问题,提出设计原则,这些原则可以应用于可扩展的方法,以满足智能网联汽车的需求,并举例说明这种方法。

攻击树建模的常见方法

目前,攻击树建模的主要方式为:攻击树目录和自动树构建。

在编目方法中,安全评估人员将使用现成的树作为主流攻击路径,尽可能多地覆盖攻击路径域。相反,自动方法遵循从设计构建树的一致方法。记住:构建攻击树需要最高水平的专业知识。尽管自动化和基于模板的方法可以帮助减轻一些繁重的工作,但这两种策略最终只能提供部分解决方案。为了增加真正的安全价值,重要的是要考虑一个基本的安全原则:设计的攻击树。

像任何软件设计一样,攻击树也需要高度的规划。人们期望,随着车辆系统的发展,安全需求将会增长。为了提高效率并防止工作重复,重要的是,安全评估人员准备的基础设施将随项目扩展,随着系统的发展循环利用工作,而不是在每个阶段开始完全重新设计。

攻击树设计原则

攻击树建模并不存在错误的方法;不同的方法有不同的好处,甚至可以应用于相同的系统。也就是说,这些基本原则就能够帮助构建一个可扩展的攻击树,它可以随任何系统而成长。

1.设计原则1:将元素从设计分析阶段拉到建筑流线

设计阶段包括连接、资产和属性,并将组成攻击树的构建块。 对于具有不存在元素的攻击路径,安全评估人员应该将其添加到设计中,或者等待该特定攻击路径的更高级的设计阶段。

2.设计原则2:把扩展性放在第一位,构建攻击树进行扩展

设计阶段包括连接、资产和属性,并将组成攻击树的构建块。 对于具有不存在元素的攻击路径,安全评估人员应该将其添加到设计中,或者等待该特定攻击路径的更高级的设计阶段。

3. 设计原则3:利用微子树作为构建块

通过使用微子树作为攻击树后续迭代的构建块,安全评估人员可以根据设计无缝地替换或添加。 每个子树代表攻击路径的一个特定部分——通信入口点、操作系统或内核攻击——并为可重用、敏捷的威胁管理而设计。

4. 设计原则4:采用分层树的方法来考虑车辆的发展设计

分层树的方法将允许评估人员在车辆从纯概念层到技术和实现层的设计演进中考虑不同的抽象层次。

最终,将设计原则应用到你的方法中

现在,这些设计原则将被应用到用C2A的AutoSec ANALYSIS构建的样本ADAS系统中。

在最高抽象阶段,ADAS系统本身只是一个决策元素,有一个执行决策的功能资产。连接元素提供导航和v-data,而传感器感知消息从传感器元素发送,驱动消息从驱动元素发送,连接元素包含一个更新应用程序和一个路由表。

此处将以一个严重的事故场景为例:与附近的车辆碰撞,以及一个威胁:篡改决策软件模型代码。

应用设计原则1—只使用模型中的元素—出现了下面的树。

注意,有2个节点利用代码漏洞和连接到外部接口; 两者都被用作方法而不是步骤。 这些是后续开发的占位符,在后续开发中,安全评估人员将需要根据设计更改底层步骤。

在后来的设计中,详细介绍了所需的系统和子系统,以及使用的具体技术:

先前设计中的元件现在是完整的系统,具有ECU和内部属性,如丰富的操作系统,元件之间的一般连接已成为以太网、CAN、C-VTX和LTE网络。

在构建本设计的攻击树时,应采取以下步骤:

1. 构建子树来表示特定技术的攻击

2. 重用以前的树结构来表示新的设计

TCU外部连接采用子树方式:

集成子树,在丰富的操作系统环境中开发代码:

现在,攻击树代表一种新的设计,同时保持树的原始结构,并与代表新设计的子树集成。

随着互联网汽车的发展,攻击树建模方法也必须发展

为重用和可伸缩性而设计是日常软件开发的一部分,攻击树模型应该也不例外。与目录和自动树构建不同,设计的树考虑到了未来的车辆设计迭代——最小化时间投资,获得最大回报。准备好正确的基础设施将允许攻击树随着模型的设计而进化和扩展,这是扩展安全工作的关键。通过一次只关注一个设计阶段,优先考虑攻击树扩展,利用微子树和采用分层树方法,安全评估人员将设计出敏捷的、具有前瞻性的攻击树,可以扩展以匹配整个安全生命周期的TARA需求。

关于C2A SECURITY

C2A Security是一家受信任的端对端汽车网络安全解决方案供应商。公司推出了嵌入式车载网络安全解决方案,使用多层次方法解决网络安全问题,提供与汽车有关的保护措施和安全兼容性。C2A旗下的AutoSec是一个综合网络安全生命周期管理平台,为整车厂和一级供应商提供可视性,使之能够在互联网汽车的整个生命周期中满足网络安全需要。C2A采取市场中性策略,能够流畅地满足汽车产业的需求,拥有易集成性,重新定义了汽车网络安全生态系统。C2A是市场上最具灵活性、综合性和透明度的网络安全解决方案供应商。C2A的投资方包括More Ventures、OurCrowd和Maniv Mobility。