如何提高汽車TARA分析的性價(jià)比？如何降低安全架構(gòu)的成本？

本文將從網(wǎng)絡(luò)空間維度來探討如何降低安全架構(gòu)的成本。對(duì)OEM來說，這個(gè)方法的效果會(huì)更明顯。

現(xiàn)在國(guó)內(nèi)外各個(gè)OEM還有零部件供應(yīng)商都在做TARA分析，不過大部分OEM和零部件供應(yīng)商可能在這一塊并沒有太多經(jīng)驗(yàn)，導(dǎo)致盡管可能花了不少時(shí)間和金錢，但是很難向公司的管理層去說明，因?yàn)樽鯰ARA分析而給公司帶來了多少安全收益或者效果。

這個(gè)時(shí)候，管理層就會(huì)質(zhì)疑：花了這么多錢和時(shí)間做的TARA分析，除了滿足合規(guī)要求以外，還有什么用？

如此看來，TARA分析像是一個(gè)很沒有性價(jià)比的安全活動(dòng)，只是出于合規(guī)的強(qiáng)制要求。接下來就給大家分享一下，怎么讓TARA分析變得更有性價(jià)比。

網(wǎng)絡(luò)空間中的威脅場(chǎng)景識(shí)別

做TARA分析，首先必然要識(shí)別對(duì)應(yīng)的風(fēng)險(xiǎn)，尤其是整個(gè)網(wǎng)絡(luò)空間中對(duì)應(yīng)的風(fēng)險(xiǎn)點(diǎn)。要注意的是，這一點(diǎn)對(duì)于零部件供應(yīng)商也不例外。我們通?；谠?、管、端、核這4個(gè)層級(jí)去識(shí)別相應(yīng)風(fēng)險(xiǎn)。

圖中列舉了一些容易產(chǎn)生風(fēng)險(xiǎn)的點(diǎn)，但導(dǎo)致風(fēng)險(xiǎn)產(chǎn)生的核心原因，可以簡(jiǎn)單歸類為內(nèi)因和外因，通過對(duì)內(nèi)、外因的歸類，能夠更好地構(gòu)建一個(gè)威脅場(chǎng)景；不過，為了減少分析時(shí)間，或者說提高效率，要構(gòu)建有價(jià)值的威脅場(chǎng)景，這里的“價(jià)值”指的是對(duì)于攻擊者而言。

關(guān)于外因，可以這樣理解，它是攻擊者的意圖，對(duì)于攻擊者的價(jià)值決定了攻擊意圖的強(qiáng)烈程度，攻擊者必然是為了實(shí)現(xiàn)某種目的發(fā)起的攻擊，因此單從外因來考慮，我們要關(guān)注的是，對(duì)于攻擊者最有價(jià)值的點(diǎn)會(huì)對(duì)威脅場(chǎng)景的構(gòu)建產(chǎn)生什么影響。

根據(jù)攻擊目標(biāo)，這里做了四個(gè)分類。

第一類是以高價(jià)值數(shù)據(jù)為目標(biāo)的威脅場(chǎng)景，比如說用戶的個(gè)人數(shù)據(jù)、車輛行為數(shù)據(jù)以及地理位置信息，甚至包括用戶的金融信息，如交易記錄等，還有車輛周邊的信息、音視頻等數(shù)據(jù)，都是要分析的目標(biāo)，也是我們定義為高價(jià)值、高影響的威脅場(chǎng)景。需要注意的是，這里的影響指的是對(duì)于整個(gè)社會(huì)層面的影響，因?yàn)槲覀冊(cè)跇?gòu)建車輛網(wǎng)絡(luò)空間時(shí)，不是只考慮一輛車，而是考慮同一類型車型。

第二類是以硬件資產(chǎn)為目標(biāo)的威脅場(chǎng)景，比如說車輛盜竊，或者說破壞公共財(cái)產(chǎn)，甚至是影響公共安全等，這種威脅場(chǎng)景對(duì)于攻擊者來說，其實(shí)并不具有特別高的價(jià)值，因?yàn)橥狄惠v車并沒有太多錢，所以我們認(rèn)為它是一個(gè)低價(jià)值、高影響的威脅場(chǎng)景。

第三類是以IP資產(chǎn)為目標(biāo)的威脅場(chǎng)景。攻擊者可能是以打擊企業(yè)、或者獲得競(jìng)爭(zhēng)優(yōu)勢(shì)為目的而進(jìn)行的攻擊，這種目標(biāo)我們我們認(rèn)為它是低價(jià)值、低影響的。

最后一類就是黑產(chǎn)。黑產(chǎn)在整個(gè)IT行業(yè)和移動(dòng)端都已成規(guī)模，本文暫不贅述。

以上舉例說明的攻擊者目的，其實(shí)是為了解釋攻擊者“What to do”，即要做什么事情，接下來再分析一下攻擊者是如何做到這些事情的，即“How to do”。

攻擊路徑分析

其實(shí)“How to do”也就是TARA分析中的攻擊路徑分析，出于一些保密原因，這里只能通過一些示意圖來做說明。對(duì)應(yīng)上述威脅場(chǎng)景的分類，攻擊路徑也被分成四類。

第一類是單目標(biāo)長(zhǎng)路徑。比如說攻擊目標(biāo)就是逆向軟件算法，如果用哈曼的產(chǎn)品舉例，哈曼的音視頻處理算法可能就是哈曼的一個(gè)核心資產(chǎn)，這類算法如果被逆向用到了競(jìng)爭(zhēng)對(duì)手的產(chǎn)品里面，就可以給競(jìng)品帶來非常大的競(jìng)爭(zhēng)優(yōu)勢(shì)。要實(shí)現(xiàn)這個(gè)目標(biāo)，攻擊者可能要先買臺(tái)車，然后拆車，把二進(jìn)制文件DUMP出來，然后再逆向分析，最后進(jìn)行逆向工程來獲取對(duì)應(yīng)的算法。這是第一個(gè)類型。

第二類是多目標(biāo)長(zhǎng)路徑。比如說他的目標(biāo)可能是某個(gè)人的個(gè)人信息、金融支付信息等。

第三類是單目標(biāo)復(fù)用路徑。這里先解釋一下“復(fù)用路徑”，它指的是可以通過同樣的方法對(duì)多個(gè)車或多個(gè)用戶發(fā)起攻擊，比如說在同款車型上面應(yīng)用某個(gè)通信協(xié)議的漏洞。

最后一種是多目標(biāo)復(fù)用路徑，它是指針對(duì)多輛車或者多個(gè)用戶發(fā)起一次攻擊以實(shí)現(xiàn)多個(gè)目的，比如說批量遠(yuǎn)程操控，操控自動(dòng)駕駛、或者泊車這一類的功能。

上述攻擊路徑的分類是為了更好理解在實(shí)際情況下，哪些威脅場(chǎng)景最可能發(fā)生，哪些又是沒有太多價(jià)值與意義的，攻擊者的意圖是一定要在考慮在內(nèi)的，從而更好地區(qū)分以及降低最終TARA分析的工作量。

通過上述一系列的活動(dòng)，我們可以通過內(nèi)、外因?qū)ν{場(chǎng)景中脆弱性產(chǎn)生的原因進(jìn)行歸類，以及對(duì)攻擊路徑中的主要、次要形式進(jìn)行區(qū)分。一定程度上區(qū)分出TARA分析環(huán)節(jié)中的主次關(guān)系，能夠更有效的投入資源去做安全需求，明確安全需求放在哪些地方更有效。

畢竟，一旦安全需求被要求應(yīng)用在某一個(gè)節(jié)點(diǎn)或者是某一個(gè)產(chǎn)品里的時(shí)候，就會(huì)帶來相應(yīng)的成本，所以當(dāng)然要用最少的安全需求來實(shí)現(xiàn)最大化的安全收益。

如何實(shí)現(xiàn)安全收益最大化

在針對(duì)某系統(tǒng)的TARA分析中，威脅場(chǎng)景的占比如下圖所示，如果要安全收益最大化，可以通過以下幾步來實(shí)現(xiàn)。首先是對(duì)車輛網(wǎng)絡(luò)空間應(yīng)用一個(gè)TARA分析工具，可以是任何工具，包括自動(dòng)化的工具，通過這種工具獲得一個(gè)相對(duì)來說比較完整的威脅場(chǎng)景和攻擊路徑。

值得一提的是，現(xiàn)在很多帶輔助功能的TARA分析工具可以窮舉一個(gè)攻擊路徑，雖說我們使用工具的目的是為了提高效率，以及避免一些人為的低級(jí)錯(cuò)誤，但在實(shí)際使用這類工具的過程中，因?yàn)楦F舉了這些路徑，導(dǎo)致刪掉那些自動(dòng)生成的無效路徑比自己分析所花費(fèi)的時(shí)間反而更多。

其次，需要將安全控制措施應(yīng)用在對(duì)應(yīng)的攻擊入口，以阻止攻擊路徑、消減威脅場(chǎng)景，將安全控制措施用在關(guān)鍵節(jié)點(diǎn)上，才可以更好更有效地阻斷攻擊路徑，以及消減威脅場(chǎng)景。

最后，我們需要將安全管理措施應(yīng)用在生產(chǎn)運(yùn)維的過程中，以預(yù)防新的攻擊路徑產(chǎn)生，同時(shí)消減威脅場(chǎng)景。

我們可以通過將TARA分析得到的四大類基線，即管理類基線、安全架構(gòu)基線、技術(shù)規(guī)范基線以及分布式安全活動(dòng)基線，總結(jié)為一個(gè)大的安全基線，這樣可以提高工作產(chǎn)物的復(fù)用率，同時(shí)降低OEM以及零部件供應(yīng)商的研發(fā)成本。

通過這樣一系列的優(yōu)化，可以讓TARA分析較為明確地總結(jié)出削減了哪些威脅場(chǎng)景，進(jìn)而將這些被削減了的威脅場(chǎng)景提煉為一個(gè)所謂的“安全收益”，以匯報(bào)給公司管理層。此外，總結(jié)好這類安全基線也可以減少后續(xù)開發(fā)所用的時(shí)間，如此一來，不就提高了性價(jià)比嗎？

當(dāng)然，任何安全特性或安全措施都必定會(huì)增加成本，而且，合規(guī)是底線，不論怎么減少成本，都必須要達(dá)到合規(guī)的底線，就跟考試不能掛科一樣。

車輛網(wǎng)絡(luò)安全其實(shí)就是一個(gè)上有來政策法規(guī)的要求、下有來自終端的多樣需求、成本很高且看起來沒啥收益的事情，正因?yàn)槿绱耍踩雷o(hù)策略的性價(jià)比對(duì)于車輛網(wǎng)絡(luò)安全來說特別重要。

如何高性價(jià)比的構(gòu)建網(wǎng)絡(luò)安全防務(wù)策略？如果用八個(gè)字來總結(jié)的話，那就是主次分明、化繁為簡(jiǎn)。

在TARA分析活動(dòng)中，通過攻擊者的視角去分清主次，通過歸納安全基線來化繁為簡(jiǎn)，這樣就可以讓原先看起來沒什么性價(jià)比的TARA分析變得有價(jià)值，而且不僅花的時(shí)間更短，同時(shí)也可以給管理層一個(gè)比較好的匯報(bào)，是不是看起來就變得有性價(jià)比了呢？

其實(shí)不僅是TARA分析，甚至不僅是信息安全，對(duì)于很多領(lǐng)域來說，性價(jià)比都備受關(guān)注，畢竟不論我們要實(shí)現(xiàn)的目標(biāo)如何偉大，也不可能投入無限的資源進(jìn)去。而且現(xiàn)在這個(gè)時(shí)代，做選擇、做舍棄更需要勇氣和智慧，分清主次，才能夠更好地去做選擇，以及更明智地去舍棄一些東西，而化繁為簡(jiǎn)則是一種出于本能、也是順其自然的做法。 關(guān)注“談思汽車”公眾號(hào)，后臺(tái)回復(fù)“哈曼”，獲取哈曼首席網(wǎng)絡(luò)安全架構(gòu)師黃惠斌完整直播內(nèi)容。

審核編輯：劉清