水湾编译|《车载电气控制单元网络安全评估框架》第二篇

           图2.  拟议的网络安全评估框架

    我们提出的CSEF在图2中有描述。"对象"指的是详细评估的对象，包括硬件和软件组件、逻辑功能和安全特性。"假设"指定了评估对象需要的支持环境，以确保其正常运行，避免因异常操作引入的系统错误。"对象"和"假设"是CSEF的基础，它们限定了网络安全评估的范围。基于"对象"和"假设"，该框架进行资产识别、威胁分析和风险评估，从而推导出"资产"、"威胁"和"风险"。"资产"指的是被评估对象应当保护的数据、服务和权限资产。"威胁"全面描述了来自目标资产的潜在攻击场景、攻击路径和对资产的攻击影响。"风险"考虑了某种威胁可能导致的财务损失、人身伤害、操作失败和隐私泄露。由于"威胁"和"风险"只是理论上的，我们应该进行实际的"测试"案例，以验证威胁是否会实际引发相应的风险。而从"威胁"和"风险"中衍生出的"安全目标"，是实际测试的标准。"安全目标"描述了被评估对象需要保护的目标"资产"的要求。当测试结果表明被评估对象确实满足了安全要求，那么被评估对象就具备了保护目标资产的能力，测试就算通过。

A.对象

    "对象"详细描述了将要被评估的目标对象。该对象定义了被评估目标的物理和逻辑边界，将其与不需要评估的外部实体区分开来。通过"对象"的帮助，评估者可以详细了解被评估目标对象的硬件、软件、逻辑功能和安全能力，从而更深入地理解被评估对象以及更复杂的网络安全评估方案。

B.假设

    "假设"解释了我们应该对环境做出的假设，以便被评估对象能够正常提供功能。如果被评估对象被放置在一个不符合这些假设的操作环境中，被评估对象可能不再提供其所有功能。假设可以涉及环境中的物理、人为和运行时间等方面。

    关于物理操作环境的物理方面，我们可以假设被评估对象被放置在一个旨在最小化电磁辐射的房间中，或者被评估对象的管理控制台被放置在一个限制访问的区域。在操作员方面，我们假设用户经过充分的培训能够操作被评估对象，或者用户不会记录他们的密码。关于运行时间环境的假设，我们可以假设一个PC工作站至少有10GB的可用磁盘空间来运行被评估对象，或者被评估对象不会连接到一个不可信的网络。

    我们应该注意到，在评估过程中这些假设被视为真实：它们不会被以任何方式进行测试。出于这些原因，我们只能对运行环境做出假设，而不能假设被评估对象的行为。

C.资产

    网络安全与需要保护的资产息息相关。恶意攻击者会尝试获取资产以获得财务利益或破坏目标系统。资产有多种形式，从文件或服务器的内容，到即时通讯程序的可用性，再到保密设施的操作特权等。许多资产以信息的形式被IT产品存储、处理和传输，以满足信息所有者的需求。为了避免主观评估导致几乎任何东西都可能成为资产的情况，我们将资产分为三类：数据、服务和特权。针对被评估对象的所有攻击必须旨在操纵这三种类型的资产。

1）数据

    数据是存储、处理和传输在被评估对象中的资产。攻击者可以获取并篡改数据资产，也可以通过冒充授权用户或目标数据的通信实体来操纵数据资产。数据资产的属性包括保密性、完整性和可用性。

2）服务

    服务是被评估对象向外提供的功能。攻击者可以采取相应的措施来迫使目标失去提供外部服务的能力，这将影响目标服务的可用性。服务资产的属性是可用性。

3）特权

    被评估对象通常根据不同的角色为系统资源设置不同级别的权限。不同级别的特权可以访问不同的资源。恶意攻击者经常试图获得更高级别的特权，以访问更重要的资源。特权资产的属性是可用性。

D. 威胁

    威胁是对资产的敌对行为，它会影响资产的一个或多个属性，而资产通过这些属性反映其价值。威胁代理可以被描述为一个单一的实体，但在某些情况下，将其描述为一个实体类别或实体组可能更为恰当。威胁代理可以是攻击者、用户、计算机进程、意外事件等。威胁可以进一步从专业知识、资源、机会和动机等方面进行描述。

    在提出的框架中，我们用几个属性来表示威胁，包括名称、描述、类型、入口、路径、连通性、受威胁的资产、风险、漏洞和对策。根据STRIDE威胁模型，有六种类型的威胁：欺骗（Spoofing）、篡改（Tampering）、否认（Repudiation）、信息泄露（Information Disclosure）、拒绝服务（Denial of Service, DoS）和提升权限（Elevation of Privilege）。入口、路径和受威胁的资产详细描述了潜在攻击对目标资产构成威胁的方式。威胁背后的潜在攻击可能通过物理连通性、近场无线连通性和远程无线连通性访问被评估对象。风险描述了潜在攻击可能对系统造成的后果以及潜在攻击成功执行的可能性。漏洞是实际发生的攻击事件。对策是我们应该采取的安全机制，以保护目标系统免受已知威胁的侵害。

    提出的框架采用攻击树模型来模拟威胁。框架将基于硬件架构、软件架构和被评估对象的外部交互实体，从十个方面对威胁进行建模。至于与车辆相关的被评估对象，威胁模型应考虑硬件安全、固件安全、系统安全、车载总线安全、无线通信安全、Network安全、Web安全、传感器安全和隐私安全。

E. 风险

    风险描述了潜在攻击可能对目标对象和外部世界造成的严重后果、威胁的严重性以及潜在攻击成功执行的可能性。风险的水平是由威胁严重性和影响严重性的矩阵来确定的。

1) 威胁严重性（Threat Severity, TS）

    汽车行业与传统的计算机行业相似，但也有一些不同之处。汽车行业有着严格的安全要求。计算机行业的安全事故造成的危害可能只是财务损失或隐私泄露，但汽车行业的安全事故可能会导致人身伤害。其次，在汽车的长生命周期中，车载ECU的架构变化缓慢，这使得安全评估变得更有价值。基于上述特点，该框架优化了通用漏洞评分系统（Common Vulnerability Scoring

System, CVSS），提出了一个威胁严重性评估机制。

    总体而言，威胁严重性考虑了许多不同的因素，包括攻击向量、攻击范围、攻击方法、时间窗口、专家知识、目标信息、攻击设备、所需权限、用户界面、保密性影响、完整性影响、可用性影响和权重系数。这13个指标被分为三组：可利用性指标、知识指标和影响指标。可利用性指标代表威胁的实际攻击的具体细节。知识指标代表威胁攻击前的信息、知识和授权。影响指标描述了威胁对被评估对象造成的影响。参数和分数如表1所示。

a: 可利用性指标（Exploitability Metrics, EM）

a.1) 攻击向量（Attack Vector, AV）：攻击向量衡量攻击者如何连接到目标系统。有三种攻击向量。远程无线连接意味着攻击者可以通过LTE或5G蜂窝网络对目标发起远程攻击。近场无线连接意味着攻击者只能通过WiFi、蓝牙等短距离无线网络对目标发起一定程度的远程攻击。物理攻击表示攻击者必须物理接触到目标才能发起攻击。

a.2) 攻击范围（Attack Scope, AS）：攻击范围指的是威胁影响的范围。有些威胁只影响一个目标，有些影响多个目标，还有些影响所有目标。

a.3) 攻击方法（Attack Method, AM）：攻击方法识别攻击的难度。攻击可以是一个单一的操作，也可以是一系列操作的组合。

a.4) 攻击设备（Attack Equipment, AE）：获取攻击设备的难度随着威胁的不同而变化。攻击设备可能是一个开源设备，也可能是需要定制的复杂设备。

a.5) 时间窗口（Time Window, TW）：时间窗口指示攻击者何时可以对目标发起攻击。攻击者可以在任何时间发起攻击，或者在目标处于特定状态时，或者只有在目标触发特定行为时。

                表1. 资产、威胁和风险

得分是“威胁严重性”中13个度量的得分值，表示针对威胁发起攻击的难度。例如，如果威胁的攻击向量是远程无线攻击，根据表 1，该指标的得分为1.0，这表明远程攻击比物理接触攻击更容易发动。

b: 知识指标（Knowledge Metrics, KM）

b.1) 专家知识（Expert Knowledge, EK）：专家知识表明攻击者是业余爱好者、熟练人员、专家还是多领域的专家。

b.2) 目标信息（Target Information, TI）：恶意攻击者在发起特定攻击之前会收集有关目标的信息。目标信息的指标衡量获取信息的难易程度。

b.3) 所需权限（Privileges Required, PR）：该指标显示攻击是否获得了目标用户的授权。

b.4) 可见界面（Visible Interface, VI）：该指标表明攻击是否需要可见的界面。

c: 影响指标（Impact Metrics, IM）

表2.威胁严重性级别

威胁严重度得分表示特定威胁的复杂性，表明将威胁转化为攻击的难易程度分数越小，攻击就越复杂，就越难真正发生，威胁严重程度也就越低。

c.1) 保密性影响（Confifidentiality Impact, CI）：该指标表明对数据保密性的影响。攻击者可能获得对目标有严重和直接影响的关键数据。例如，如果黑客获得了系统管理的关键材料，他们就可以访问目标系统的大多数资源。

c.2) 完整性影响（Integrity Impact, II）：该指标表明对数据完整性的影响。攻击者可以按其意愿修改数据，使其完全不完整或完全无保护。

c.3) 可用性影响（Availability Impact, AI）：该指标表明对数据可用性的影响。攻击者可能导致完全的服务拒绝或降低目标数据系统的性能。

    我们定义Score_TS为威胁严重性的得分，Score_EM为可利用性指标的得分，Score_KM为知识指标的得分，以及Score_IM为影响指标的得分。分数的设置可以定性地表明某个指标的重要性，其数值参考CVSS。如有必要，也可以完全使用其他值，只要它能反映某个指标不同参数之间的差异。然后，指标的得分如下计算。

    α_1到α_5是可利用性指标组中指标的权重系数。β_1到β_4是知识指标组中指标的权重系数。而γ_1、γ_2、γ_3是影响指标组中指标的权重系数。各种下标的S代表指标参数的值。为了将得分限制在10以内，我们在计算威胁严重性得分（Score_TS）的公式中使用了系数10。根据威胁严重性的得分，威胁可以按照提出的评估框架被划分为几个等级，如表2所示。

2)  攻击概率（Attack Probability, AP）

    潜在攻击成功的概率称为攻击概率。攻击概率根据评估框架中使用的威胁分析和风险评估方法而有所不同。该框架从五个影响因素衡量特定风险项的攻击概率，即专业知识、辅助工具、目标知识、目标环境和时间成本，如表3所示。通过这些因素的综合评估，可以对攻击成功的可能性进行量化分析，从而为制定相应的安全措施和防御策略提供依据。

                   表3.攻击概率度量

得分是“Attack Probability”中各指标的得分值，表示针对威胁发起攻击的概率。例如，如果威胁的攻击向量是远程无线攻击，根据表1，该指标的得分为1.0，这表明远程攻击的概率较高。

a: 专业知识（Professional Knowledge, PK）

    专业知识指的是攻击者执行攻击所需的专业水平。攻击者可能是业余爱好者、熟练人员、专家，或者是多个领域的专家。

b: 辅助工具（Auxiliary Tools, AT）

辅助工具表示该工具是专用工具还是可以公开获得的工具。

c: 目标知识（Target Knowledge, TK）

目标知识表示关于目标对象的信息是否可以公开获得。在某些情况下，由于信息保密，我们无法获得有关目标对象的任何信息。

d: 目标环境（Target Environment, TE）

该指标告诉我们攻击环境是简单还是复杂。在简单的攻击环境中，攻击者更容易接触到目标并执行攻击。

e: 时间成本（Time Cost, TC）

时间成本表示攻击将花费多长时间。影响时间成本的因素包括攻击环境的构建、目标对象信息的收集、攻击工具的开发、漏洞挖掘、漏洞验证等。

    我们定义δ为漏洞转换因子，表示在提出的评估框架中潜在攻击成功的概率。带有各种下标的S代表指标参数的值。而α1、α2是指标的权重系数。通过这些指标的综合评估，可以对攻击成功的可能性进行量化分析，从而为制定相应的安全措施和防御策略提供依据。

3)  影响严重性（Impact Severity, IS）

    影响严重性指标表明威胁可能造成的潜在伤害。提出的评估框架以经济损害、人身伤害、运行失败和隐私泄露作为参考指标，来评估某一威胁的潜在影响程度。

a: 经济损害（Financial Damage, FD）

    经济损害考虑了所有可能的直接或间接经济损害。直接经济损害可能包括产品责任问题、法律问题和产品特性。例如，攻击可能导致产品召回和重大损失。攻击可能导致因产品缺陷而造成的销售损失。另一方面，间接经济损害包括声誉损害、市场份额丧失、知识产权侵权等。总之，经济损害是制造商的直接和间接成本总和，根本原因可能来自任何利益相关者。

b: 人身伤害（Personal Injury, PI）

    人身伤害指标表明针对被评估对象的攻击对人造成的损害。乘客和行人的安全是最高优先级。根据ISO 26262，伤害可以分为无伤害、轻至中度伤害、严重伤害、生命威胁性伤害和致命伤害。

c: 运行故障（Operational Failure, OF）

    运行故障包括由于车辆功能的意外丧失或失控而造成的运行损害。攻击者可能控制车辆功能或使车辆功能服务拒绝。此类运行损害的例子包括关键和次要功能丧失。然而，在某些情况下，运行损害可能会导致安全和经济损害。如果与安全相关的车辆功能被恶意攻击者控制，乘客和道路使用者的个人安全将无法得到保障。

d: 隐私披露（Privacy Disclosure, PD）

    隐私披露考虑了由于利益相关者（如车主、驾驶员和乘客）的隐私权受到侵犯而造成的损害。通常，隐私披露不具有直接的伤害、经济和运行维度。然而，在某些情况下，隐私侵犯可能导致对某些市场的准入资格丧失，给利益相关者造成运营损害。

    提出的安全评估框架参考了HEAVENS安全模型提出的潜在影响严重性评估方法。参数和分数如表4所示。我们定义Score_IS为影响严重性的得分。带有各种下标的S代表指标参数的值。然后，影响严重性的得分如下计算。根据影响严重性的得分，某一威胁的影响可以按照提出的评估框架被划分为几个等级，如表5所示。

 表4.  影响严重性指标

得分是“影响严重性”中各度量的得分值，表示威胁所造成的潜在危害程度。得分越高，危害越严重。

表5.  影响严重程度

影响严重度得分代表威胁造成的伤害的严重程度。得分越高，威胁造成的伤害越大，风险越高。根据不同的得分，将威胁造成的潜在影响严重程度分为5个等级。

表6.  风险矩阵

4）风险矩阵

    如表6所示，提出的评估框架结合了威胁严重性和影响严重性等级来推导出风险的安全等级。威胁严重性等级越高，影响严重性等级越高，威胁转化为实际攻击的可能性越大，潜在造成的损害越大，风险等级就越高。

F. 安全目标和测试

    威胁分析和风险评估通常在产品生命周期的概念设计阶段进行，以推导出将在后续开发阶段通过技术实现的安全目标。然而，市场上的产品已经处于运营阶段。在完成威胁分析和风险评估之后，评估框架仅提供了理论上的网络安全威胁和相应的风险，这对于已经完成并上市的产品来说是不够的。鉴于此，我们需要设计并进行测试，以验证产品是否符合从威胁分析和风险评估中得出的安全目标。安全目标是评估对象的测试标准。如果评估对象不符合安全目标，可能存在漏洞。测试用例是基于威胁和风险设计的，并根据安全目标来执行。根据车辆的网络安全框架，我们的评估框架中的测试用例是基于以下十个方面设计的。

1)   硬件安全测试用例集。该测试用例集包括PCB印刷文字测试、硬件总线协议测试、硬件接口测试和芯片安全测试。

2)   固件安全测试用例集。该测试用例集包括敏感数据测试、敏感逻辑测试和固件篡改测试。

3)   系统安全测试用例集。该测试用例集包括端口扫描测试、漏洞测试和安全审计测试。

4)   车内总线安全测试用例集。该测试用例集包括总线数据拦截测试、总线数据篡改测试、总线节点欺骗测试和总线DoS（拒绝服务）测试。

5)   无线电安全测试用例集。该测试用例集包括WiFi安全测试、蓝牙安全测试、TPMS（轮胎压力监测系统）安全测试、GPS（全球定位系统）安全测试、DSRC（专用短程通信）安全测试、C-V2X（蜂窝车联网）安全测试，以及车辆中使用的其他无线电通信协议的安全性测试。

6)   Network安全测试用例集。该测试用例集包括数据加密测试、数据完整性检查测试、实体欺骗测试、数据重放测试和中间人攻击测试。

7)   Web安全测试用例集。该测试用例集包括常见的Web安全测试项目，例如OWASP（开放网络应用安全项目）十大Web安全漏洞。

8） 应用程序安全测试用例集。测试用例包括应用程序环境安全测试、应用程序代码安全性测试、应用服务接口测试、本地数据安全测试、网络层通信安全测试和授权认证安全测试。

9） 传感器安全测试用例集。测试用例集包括激光雷达安全测试、摄像头安全测试、毫米波雷达安全测试和超声波雷达安全测试。

10） 隐私安全测试用例集。测试用例集包括位置隐私安全测试和身份隐私安全测试。

G.  比较

             表7.  CSEF与其他方法的比较

    与其他TARA方法相比，CSEF的优势如表7所示。与其他只能在概念设计阶段使用的方法相比，CSEF不仅可以在概念设计阶段降低车载ECU的网络安全风险，还可以在ECU发布后指导测试人员进行网络安全测试。此外，CSEF使用攻击树方法来识别重要资产，这比头脑风暴更为全面。与传统的TARA方法相比，CSEF中的威胁分析和风险评估方法针对汽车领域进行了深度优化。