PART B和PART C将PART A中的威胁分成内部威胁和外部威胁,
Part B根据威胁和攻击手法将缓解手段分成8个表格。
table5介绍有潜在攻击目标、动机威胁的缓解手段
table6介绍没有充分保护或抑制的潜在漏洞可能会被渗透风险的缓解手段
|
|
|
|
|
|
|
通过冒充
对消息进行欺骗(例如,V2X队列驾驶(platooning)中802.11p协议,gnss消息)
|
|
|
|
|
女巫(sybil)攻击(当路上有很多车辆时,为了欺骗其他车辆)
|
|
|
|
|
通信信道允许代码注入,例如篡改的软件二进制数据可能被注入到通信流中 |
|
|
|
|
|
|
|
通信信道允许篡改车辆上的数据/代码 |
|
访问控制技术和访问控制设计应该被应用到保护系统数据/代码中
|
|
|
通信信道允许覆盖车辆上的数据/代码 |
|
|
|
|
|
通信信道允许向车辆引入数据/代码(写数据 代码) |
|
|
接受信息从一个不可靠或不信任源 |
|
|
|
|
|
|
|
重放攻击,例如攻击通信网关允许攻击者降级ECU软件或网关固件
|
|
|
|
|
|
|
|
获取对文件或数据的未授权访问 |
|
|
|
|
向车辆信息系统发送大量的垃圾数据,使其不能正常提供服务
|
|
|
|
|
黑洞攻击,为了破坏车辆之间的通信,攻击者能够阻断车辆之间的信息
|
|
|
|
|
非特权用户能够获得特权访问,例如 root访问 |
|
|
|
|
嵌入在通信媒介中的病毒影响车辆系统 |
|
|
|
|
|
|
|
|
|
恶意V2X通信信息,例如基础设施到车辆或车辆-车辆信息(例如CAM,DENM) |
|
|
|
|
|
|
|
恶意专有信息(例如那些从OEM或组件/系统/功能供应商发送的消息) |
|
|
|
|
|
|
|
破坏空中软件更新程序,包括制作系统更新程序或固件 |
|
|
|
|
破坏本地/物理软件更新程序,包括制作系统更新程序或固件 |
|
|
软件在更新过程之前被篡改(因此被破坏),尽管更新过程是完整的 |
|
|
破坏软件供应商的加密密钥以允许无效更新 |
|
|
|
|
对更新服务器或网络开展拒绝服务攻击以阻止关键软件更新的推出和/或客户特定功能的解锁 |
|
安全控制应该应用到后端系统。后端服务器对提供服务至关重要,在系统中断时是否有恢复措施。在OWASP中可以找到安全控制的样例
|
|
|
|
|
|
|
|
无辜受害者(车主、运营者或维修工程师)被骗采取行动无意中加载恶意软件或发动攻击 |
|
根据最少访问权限原则,对用户角色和访问权限进行定义和控制
|
|
|
|
|
组织应确保定义并遵循安全程序,包括记录与安全功能管理相关的行为和访问
|
|
|
|
|
|
|
|
篡改被设计远程操作的系统功能,如远程key、防盗控制系统和充电桩 |
|
|
|
|
篡改车辆远程信息处理(如篡改敏感货物的温度测量,远程打开货舱门)
|
|
|
干扰短距离无线系统或传感器 |
|
|
被破坏的应用程序,或那些软件安全性差的应用程序,可被用作攻击车辆系统的方式
|
|
|
|
|
外部接口如usb或其他端口通常被用作攻击点,例如通过代码注入
|
|
|
|
|
连接到车辆系统的媒体系统感染了病毒 |
|
|
诊断访问接口被用来制作攻击,例如篡改车辆参数(直接或非直接)
|
|
|
|
|
|
|
|
|
|
从车辆系统中提取版权或专有软件(产品盗版) |
|
访问控制技术和访问控制设计应该被应用到保护系统数据/代码中
|
|
|
未授权访问车主隐私信息,如个人信息、支付账户信息、通讯录、位置、车辆电子ID等 |
|
|
|
|
|
|
|
|
|
不合法/未授权改变车辆的电子ID |
|
访问控制技术和访问控制设计应该被应用到保护系统数据/代码中
|
|
|
实体欺诈,例如用户在与收费系统通信时展示为其他实体信息
|
|
|
规避监控系统的行为(例如渗透/篡改/阻断ODR追踪数据、运动数据等信息)
|
|
访问控制技术和访问控制设计应该被应用到保护系统数据/代码中
|
|
|
数据篡改伪造车辆驾驶数据(例如里程、驾驶速度、驾驶方向等) |
|
|
未授权改变系统诊断数据 |
|
|
未授权删除/篡改系统事件日志 |
|
访问控制技术和访问控制设计应该被应用到保护系统数据/代码中
|
|
|
引入恶意软件或恶意软件活动 |
|
访问控制技术和访问控制设计应该被应用到保护系统数据/代码中
|
|
|
车辆控制系统或信息系统
|
|
|
拒绝服务攻击,例如CAN总线泛洪可能在内部网络上触发DOS攻击,或者对ECU系统触发高频率消息错误
|
|
|
|
|
未授权访问伪造车辆关键功能配置参数,例如刹车数据、安全气囊展开阈值
|
|
访问控制技术和访问控制设计应该被应用到保护系统数据/代码中
|
|
|
未授权访问伪造充电参数,例如充电电压、充电电源、电池温度等 |
表B6.没有充分保护或抑制的潜在漏洞可能会被渗透风险的缓解手段
|
|
|
|
|
|
|
短密钥和长有效周期的组合使攻击者能够破解加密 |
|
|
|
|
|
|
|
使用已经或即将被弃用的
|
|
|
硬件或软件,被设计为能够进行攻击或未能满足阻止攻击的设计标准
|
|
|
|
|
软件缺陷,软件缺陷的存在可能是潜在可利用漏洞的基础。如果软件没有经过测试,以验证已知的坏代码/错误不存在,并降低未知的坏代码/错误存在的风险,这一点尤其正确
|
|
|
|
|
使用开发中的剩余部分(例如调试端口、JTAG端口、微处理器、开发证书、开发人员密码等)可以允许访问ecu或允许攻击者获得更高的权限 |
|
|
|
|
|
规避网络分段以获取控制。典型案例是使用未保护的网关或访问点(如火车挂车网关),绕过保护机制并获取访问其他网络区域以执行恶意行为,如发送任意的CAN总线消息 |
|
|
|
|
|
|
|
|
|
信息泄露。当车辆更换车主时个人数据可能被泄露(例如车辆出售或车辆出租)
|
|
存储个人数据应遵循保护数据完整性和机密性的最佳实践
|
|
|
|
|
|
|
|
篡改电子硬件,例如未授权的电子硬件被加到车辆系统以实现中间人攻击
|
|
|
PART C 介绍车辆外部威胁的缓解手段,根据威胁类型分成3张表。
|
|
|
|
|
|
|
员工滥用权限导致(内部攻击) |
|
|
|
|
未授权网络访问服务器(后门、未打补丁的系统软件漏洞、SQL攻击或其他手段)
|
|
安全控制应被应用到后端系统以最小化未授权访问。安全控制样例可以从OWASP中找到
|
|
|
未授权物理访问服务器(usb欺骗或其他连接到服务器的媒介攻击)
|
|
|
|
|
攻击后端的服务器停止它的功能,例如阻断车辆交互功能和车辆依赖的服务
|
|
安全控制应该应用到后端系统。
后端服务器对提供服务至关重要,在系统中断时是否有恢复措施。在OWASP中可以找到安全控制的样例
|
|
|
丢失云上的信息。存储在三方云上的敏感数据可能会因为攻击或事件丢失
|
|
安全控制应被应用到云计算相关的最小化风险。安全控制样例可以从OWASP和NCSC云计算指南中找到
|
|
|
共享数据无意导致的信息泄露(例如,管理员权限错误) |
|
安全控制应被应用到后端系统以阻止数据入侵。安全控制样例可以从OWASP中找到
|
|
|
|
|
|
|
|
无辜受害者(车主、运营者或维修工程师)被骗采取行动无意中加载恶意软件或发动攻击 |
|
根据最少访问权限原则,对用户角色和访问权限进行定义和控制
|
|
|
|
|
组织应确保定义并遵循安全程序,包括记录与安全功能管理相关的行为和访问
|
|
|
|
|
|
|
|
由第三方造成的损害。在交通事故或盗窃的情况下,敏感数据可能会因物理损坏而丢失或泄露
|
|
存储个人数据应遵循保护数据完整性和机密性的最佳实践
|
|
|
DRM(数字版权管理)冲突造成的损失。可能由于DRM问题导致用户数据被删除
|
|
|
由于IT组件的磨损,敏感数据的完整性可能会丢失,从而导致潜在的级联问题(例如,在密钥更改的情况下)
|
原文始发于微信公众号(企业安全实践):车联网安全-UNR155法规-车辆威胁对应的缓解手段
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3986759.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论