TARA (威胁分析与风险评估) 学习笔记

1. 为什么需要 TARA？ (Why TARA?)

随着汽车行业进入互联化和智能化的时代，传统的安全分析（如 HARA - 危害分析与风险评估）已不足以应对网络安全威胁。TARA 的核心目标是识别和评估由网络攻击可能导致的潜在危害，特别是在以下日益增长的领域：

• 互联车辆 (Interconnected Vehicles)：车辆通过蜂窝网络（4G/5G）、Wi-Fi 等与外部世界持续通信。
• 远程通信 (Telecommunications)：OTA (空中下载) 更新、远程诊断、远程控制等功能成为标配。
• 内部网络暴露 (Internal Network Exposure)：如 CAN 总线上的报文，过去被认为是封闭的，现在可能通过网关等部件受到外部因素的影响。

1.1 人为因素攻击案例 (Human-Actor Attacks)

攻击者利用人与技术的交互点发起攻击。

• 案例: 攻击者通过破解与车辆绑定的手机 App，恶意利用车辆的“远程遥控”（如特斯拉的 "Summon" 功能），或通过 GPS 欺骗 (GPS Spoofing) 让车辆驶向错误的目的地。
• 真实事件: 曾有研究人员仅用价值约 100 美元的硬件，就成功利用通用汽车 OnStar 系统的漏洞，实现了对车辆的远程解锁和追踪。

1.2 M2M (机器对机器) 攻击案例 (Machine-to-Machine Attacks)

攻击者利用车辆与其他外部设备（非用户直接操作）的通信链路发起攻击。

• 案例: 电动汽车（EV/PHEV）在公共充电桩充电时。
  • 通信链路复杂:
    1. 充电桩与车辆之间的通信（充电协议、状态同步）。
    2. 充电桩与后台服务器的通信（用户认证、支付结算）。
    3. 车辆内部各 ECU 之间的通信。
  • 潜在威胁:
    • 完整性问题: 攻击者可能篡改支付信息，将费用转入自己的账户。
    • 保密性问题: 攻击者可能在充电桩上植入恶意程序，窃取用户的信用卡信息或个人身份信息 (PII)。

2. TARA 的核心流程 (依据 ISO 21434)

TARA 是一个系统性的过程，旨在识别威胁、评估风险并制定应对策略。

1. 基础定义阶段 (Foundation Phase)

   • 项目定义 (Item Definition): 清晰地界定分析的对象、边界和功能。
   • 网络安全目标设定 (Cybersecurity Goals Definition): 确定需要保护的核心安全属性。

2. 核心分析阶段 (Core Analysis Phase)

   • 资产识别 (Asset Identification): 找出需要保护的有价值信息或功能。
   • 威胁场景识别 (Threat Scenario Identification): 设想可能对资产造成损害的具体攻击情景。
   • 影响评级 (Impact Rating): 评估威胁成功后对安全、财务、运营和隐私等方面造成的影响严重程度。
   • 攻击路径分析 (Attack Path Analysis): 分析攻击者从入口点到成功利用漏洞的完整步骤。
   • 攻击可行性评级 (Attack Feasibility Rating): 评估实现一次攻击的难度。
   • 风险值确定 (Risk Value Determination): 结合影响评级和攻击可行性，计算出最终的风险等级。
   • 风险处理决策 (Risk Treatment Decision): 根据风险等级，决定采取何种措施（如降低、接受、转移或规避风险）。

3. 概念与目标整合阶段 (Integration Phase)

   • 网络安全概念 (Cybersecurity Concept): 将风险处理决策转化为具体的安全机制和高级要求。
   • 关联网络安全目标 (Tying to Cybersecurity Goals): 确保所有措施都服务于最初设定的安全目标。

3. 关键步骤详解 (Detailed Breakdown of Key Steps)

3.1 项目定义 (Item Definition)

这是 TARA 的起点，“范围定义不清晰，后续全白费”。需要避免对整个车辆进行一次宏观的 TARA，而应采用“放大镜”方法，聚焦于特定功能或系统。

• 项目边界 (Item Boundary): 明确哪些组件、接口和外部系统在本次分析范围内。
• 项目功能 (Item Functions): 描述该项目（功能）的预期行为，特别是输入和输出关系。
• 运行环境 (Operational Environment): 定义功能运行时的车辆状态（如高速行驶、静止、充电中）。这直接影响攻击可行性的判断。例如，一个需要物理接触的攻击在高速行驶时是不可行的。
• 初步架构 (Preliminary Architecture): 绘制简化的系统框图，展示核心组件、数据流和通信接口。
• 相关假设 (Assumptions): 列出分析时所依据的前提条件。例如，假设“ECU 的安全刷写机制是有效的”，这可以避免重复分析已有的基础安全措施，但必须经过验证。

3.2 确定网络安全相关性 (Determining Cyber Relevance)

一个组件或功能是否需要纳入 TARA 的考量范围，可以通过以下流程判断：

1. 它是否是电子电气 (E/E) 组件？（如果不是，则无关）
2. 它的失效或被篡改是否会影响车辆安全运行？（如刹车、转向系统，若影响，则直接相关）
3. 它是否收集、处理或存储用户个人敏感数据 (PII)？（如导航记录、联系人列表，若涉及，则直接相关）
4. 它是否与其他网络化组件通信以实现功能？（即使自身功能不敏感，但如果它是关键信息链路的一环，也可能相关）

3.3 设定网络安全目标 (Setting Cybersecurity Goals)

网络安全目标通常围绕信息安全的经典模型——CIA 三元组 (CIA Triad) 展开。

• 保密性 (Confidentiality): 确保信息不被未经授权的实体访问。在汽车领域，这对应隐私保护和数据防窃。
  • 例子: 防止攻击者通过 CAN 总线嗅探获取到驾驶员的个人信息或车辆的敏感状态数据。
• 完整性 (Integrity): 确保信息在存储或传输过程中不被未经授权地修改、篡改或删除，保证其准确性和可信度。
  • 例子: 防止攻击者通过 CAN 总线注入伪造的传感器信号（如伪造车速），或重放合法的控制指令，导致车辆异常行为。
• 可用性 (Availability): 确保授权用户在需要时能够正常访问信息和使用功能。
  • 例子: 防止攻击者通过发动拒绝服务攻击 (Denial-of-Service, DoS)，如“CAN 总线风暴”，导致关键 ECU（如刹车控制器）无法处理正常指令，功能失效。

3.4 目标、概念与计划的层级关系

这是一个自顶向下的逻辑推导过程，确保安全措施的落地。

损害场景 (Damage Scenario) -> 网络安全目标 (Cybersecurity Goal) -> 网络安全声明 (Cybersecurity Claim) -> 网络安全概念 (Cybersecurity Concept) -> 网络安全计划 (Cybersecurity Plan)

• 损害场景: 描述资产被攻破后可能发生的最坏情况。（例如：攻击者远程执行代码，控制信息娱乐系统）
• 网络安全目标: 为防止该场景发生而设定的高层目标。（例如：强制执行最小权限原则，防止代码被远程执行）
• 网络安全声明: 对目标未完全覆盖的风险或特定场景的补充说明，通常是“故障安全”机制。（例如：如果检测到对 ECU 的非法刷写尝试，ECU 将自动锁定，进入安全模式）
• 网络安全概念: 将目标和声明转化为具体的、可实现的技术或体系要求。（例如：所有用户交互的服务都必须在受限的、非 root 权限的用户组下运行）
• 网络安全计划: 详细说明如何验证和维护上述概念，包括测试方法、工具和流程。（例如：通过渗透测试验证远程代码执行漏洞是否已被修复）

4. 扩展与补充

4.1 法规驱动力：UN R155

除了技术需求，进行 TARA 也是满足国际法规的强制要求。联合国法规 UN R155 (网络安全和网络安全管理体系) 明确要求汽车制造商必须为其车辆建立网络安全管理体系 (CSMS)，并在整个生命周期内进行风险评估（即 TARA），这是车辆获得型式批准的先决条件。

4.2 威胁建模方法：STRIDE

CIA 三元组是“目标”，而 STRIDE 是识别“威胁”的常用方法，两者相辅相成。

• Spoofing (仿冒): 伪装成其他身份 -> 破坏完整性
• Tampering (篡改): 修改数据或代码 -> 破坏完整性
• Repudiation (否认): 否认已执行的操作 -> 破坏完整性 (审计日志的完整性)
• Information Disclosure (信息泄露): 暴露敏感信息 -> 破坏保密性
• Denial of Service (拒绝服务): 使系统不可用 -> 破坏可用性
• Elevation of Privilege (权限提升): 获取超出预期的权限 -> 破坏所有安全属性

4.3 攻击可行性评估：常用维度 (TEKW)

评估攻击可行性时，通常会从以下几个维度打分：

• Time (时间): 执行攻击所需的时间。
• Expertise (专业知识): 攻击者需要具备的技术水平。
• Knowledge of Item (对目标的了解): 攻击者是否需要预先了解系统的内部细节。
• Window of Opportunity (机会窗口): 执行攻击的条件是否苛刻（如需要物理接触、特定车速等）。
• Equipment (设备): 是否需要昂贵或特殊的硬件/软件。

4.4 风险处理决策的四个选项

视频中主要提到了解决风险，完整的风险处理策略有四种：

1. 降低 (Reduce/Mitigate): 采取安全措施来降低风险。（最常用）
2. 接受 (Accept): 当风险级别很低或修复成本过高时，选择接受风险。
3. 转移 (Transfer): 将风险转移给第三方，如通过购买网络安全保险。
4. 规避 (Avoid): 通过改变设计或移除功能来完全避免风险。

5. TARA 工具的重要性 (The Importance of TARA Tools)

5.1 电子表格 (Spreadsheets) 的局限性

• 难以处理复杂性: 现代汽车功能涉及大量 ECU 和复杂的数据交互，电子表格难以直观地表示这种关系。
• 可扩展性差 (Poor Scalability): 当分析多个功能或架构变体时，表格会变得异常臃肿和难以维护。
• 缺乏系统模型: 无法建立组件、数据流、威胁和需求之间的动态关联。修改一处，需要手动检查所有相关项。
• 知识共享困难: 表格形式不利于团队协作和知识传承，可读性差，容易出错。

5.2 专业 TARA 工具的优势

• 模型化方法: 能够以图形化方式构建系统架构，并将资产、威胁、攻击路径等元素关联起来。
• 内置知识库/目录: 提供常见的威胁、漏洞和攻击模式库，加速分析过程。
• 自动化和一致性: 自动计算风险值，确保评估标准的一致性。
• 可追溯性和报告: 能够清晰地展示从需求到威胁再到安全措施的完整追溯链，并一键生成符合标准的报告。
• 易于维护和协作: 当系统架构变更时，只需更新模型，所有相关的风险评估都会相应更新，便于团队协作。

*视频中提到的工具示例：itemis SECURE (原名 YAKINDU Security Analyst / ySEC)。*
覆盖笔记关键知识点的选择题
说明: 请根据以上学习笔记内容，选择每个问题的最佳答案。

1. 在现代汽车行业中，引入 TARA (威胁分析与风险评估) 的最主要驱动力是什么？
   A. 提升车辆的燃油经济性。
   B. 降低车辆的生产制造成本。
   C. 应对因车辆高度互联化而带来的网络安全威胁。
   D. 优化车载信息娱乐系统的人机交互体验。

2. 根据 ISO 21434 的 TARA 流程，在进行“资产识别”和“威胁场景识别”之前，必须完成的首要步骤是什么？
   A. 风险处理决策 (Risk Treatment Decision)
   B. 攻击可行性评级 (Attack Feasibility Rating)
   C. 项目定义 (Item Definition)
   D. 影响评级 (Impact Rating)

3. 在进行 TARA 的“项目定义”时，明确“运行环境 (Operational Environment)”（例如：车辆在高速公路上行驶），主要有助于评估以下哪个方面？
   A. 资产的价值
   B. 攻击成功后的影响
   C. 攻击路径的复杂性
   D. 攻击的可行性

4. 攻击者通过向 CAN 总线大量发送垃圾报文，导致刹车控制 ECU 无法响应正常的刹车指令，这种攻击主要破坏了 CIA 三元组中的哪个属性？
   A. 保密性 (Confidentiality)
   B. 完整性 (Integrity)
   C. 可用性 (Availability)
   D. 真实性 (Authenticity)

5. 在 TARA 实践中，从“损害场景 (Damage Scenario)”推导出具体的安全技术要求，其正确的逻辑层级关系是？
   A. 损害场景 -> 网络安全概念 -> 网络安全目标
   B. 损害场景 -> 网络安全目标 -> 网络安全概念
   C. 网络安全目标 -> 损害场景 -> 网络安全概念
   D. 网络安全概念 -> 损害场景 -> 网络安全目标

6. 某车载摄像头的固件被攻击者篡改，导致其上传伪造的图像数据。这种行为主要违反了信息安全的哪个原则？
   A. 保密性 (Confidentiality)
   B. 完整性 (Integrity)
   C. 可用性 (Availability)
   D. 否认性 (Repudiation)

7. 在进行风险处理决策时，如果一个风险的影响极低且修复成本远超其可能造成的损失，团队最可能采取的处理方式是？
   A. 降低 (Reduce)
   B. 接受 (Accept)
   C. 转移 (Transfer)
   D. 规避 (Avoid)

8. 相较于专业的 TARA 工具，使用电子表格 (Excel) 进行 TARA 的主要缺点是什么？
   A. 无法进行基本的数学计算。
   B. 无法保存和分享文件。
   C. 在处理复杂系统和多变架构时，可扩展性和可维护性极差。
   D. 文件体积通常比专业工具的工程文件更大。

9. 强制要求汽车制造商建立网络安全管理体系 (CSMS) 并在车辆全生命周期内执行风险评估的联合国法规是？
   A. UN R155
   B. ISO 26262
   C. ISO 9001
   D. GDPR

10. 在 STRIDE 威胁建模方法中，“信息泄露 (Information Disclosure)”主要破坏了 CIA 三元组中的哪个原则？
    A. 保密性 (Confidentiality)
    B. 完整性 (Integrity)
    C. 可用性 (Availability)
    D. 以上都不是

选择题答案
C

C

D

C

B

B

B

C

A

A