行業(yè)重磅！C2A提供可通用攻擊樹模型設計藍圖

　　隨著汽車互聯(lián)化和智能化，汽車不再孤立并且越來越融入到互聯(lián)網(wǎng)中。在這同時，汽車也慢慢成為潛在的網(wǎng)絡攻擊目標，汽車的網(wǎng)絡安全已成為汽車安全的基礎，受到越來越多的關注和重視。對于一切聯(lián)網(wǎng)事物而言，風險、漏洞和威脅無處不在。聯(lián)網(wǎng)汽車行業(yè)也不例外。

　　攻擊樹技術在研究已知網(wǎng)絡攻擊的威脅分析,進行風險評估中發(fā)揮著重要作用。例如，利用保護樹和防御樹來分析系統(tǒng)中網(wǎng)絡威脅的弱點。如今，攻擊樹的應用在智能網(wǎng)聯(lián)汽車的領域有了卓越的發(fā)展。但是，構建大規(guī)模的攻擊樹是一項艱巨的任務——C2A產品安全總監(jiān)David Mor Ofek為安全評估人員提供了一個藍圖，允許攻擊樹隨著模型的增長而增長，從而節(jié)省了時間和資源。

　　今天的智能網(wǎng)聯(lián)汽車(CAV)架構比以往任何時候都復雜得多。隨著智能網(wǎng)聯(lián)汽車規(guī)模的擴大，以滿足消費者的需求;也需要有強大的、有彈性的安全態(tài)勢，能夠隨時識別和減輕潛在的威脅。

　　這些問題在威脅和風險分析(TARA)過程中得到了很大程度的解決，這是脆弱性管理過程的一個關鍵部分。當設計一輛新汽車時，TARA流程會識別潛在的威脅載體，并告知應對措施，以解決這些漏洞。這個過程最好盡可能快速和有效地完成，以便進行必要的改進。構建和設計攻擊樹是TARA過程的一個重要方面，但有一個問題:攻擊樹的創(chuàng)建是一個復雜和耗時的過程，通常涉及密集的、專家驅動的車輛漏洞構建。安全評估人員可能會在整個產品生命周期中構建數(shù)百個攻擊樹——這是重復的、費力的、低效的，因此人們希望它能實現(xiàn)自動化。

　　幸運的是，攻擊樹可以設計成與模型一起生長。在這篇文章中，C2A將解釋目前攻擊樹的方法所存在的問題，提出設計原則，這些原則可以應用于可擴展的方法，以滿足智能網(wǎng)聯(lián)汽車的需求，并舉例說明這種方法。

　　攻擊樹建模的常見方法

　　目前，攻擊樹建模的主要方式為：攻擊樹目錄和自動樹構建。

　　在編目方法中，安全評估人員將使用現(xiàn)成的樹作為主流攻擊路徑，盡可能多地覆蓋攻擊路徑域。相反，自動方法遵循從設計構建樹的一致方法。記住:構建攻擊樹需要最高水平的專業(yè)知識。盡管自動化和基于模板的方法可以幫助減輕一些繁重的工作，但這兩種策略最終只能提供部分解決方案。為了增加真正的安全價值，重要的是要考慮一個基本的安全原則:設計的攻擊樹。

　　像任何軟件設計一樣，攻擊樹也需要高度的規(guī)劃。人們期望，隨著車輛系統(tǒng)的發(fā)展，安全需求將會增長。為了提高效率并防止工作重復，重要的是，安全評估人員準備的基礎設施將隨項目擴展，隨著系統(tǒng)的發(fā)展循環(huán)利用工作，而不是在每個階段開始完全重新設計。

　　攻擊樹設計原則

　　攻擊樹建模并不存在錯誤的方法;不同的方法有不同的好處，甚至可以應用于相同的系統(tǒng)。也就是說，這些基本原則就能夠幫助構建一個可擴展的攻擊樹，它可以隨任何系統(tǒng)而成長。

　　1.設計原則1:將元素從設計分析階段拉到建筑流線

　　設計階段包括連接、資產和屬性，并將組成攻擊樹的構建塊。對于具有不存在元素的攻擊路徑，安全評估人員應該將其添加到設計中，或者等待該特定攻擊路徑的更高級的設計階段。

　　2. 設計原則2:把擴展性放在第一位，構建攻擊樹進行擴展

　　設計階段包括連接、資產和屬性，并將組成攻擊樹的構建塊。對于具有不存在元素的攻擊路徑，安全評估人員應該將其添加到設計中，或者等待該特定攻擊路徑的更高級的設計階段。

　　3. 設計原則3:利用微子樹作為構建塊

　　通過使用微子樹作為攻擊樹后續(xù)迭代的構建塊，安全評估人員可以根據(jù)設計無縫地替換或添加。每個子樹代表攻擊路徑的一個特定部分——通信入口點、操作系統(tǒng)或內核攻擊——并為可重用、敏捷的威脅管理而設計。

　　4. 設計原則4:采用分層樹的方法來考慮車輛的發(fā)展設計

　　分層樹的方法將允許評估人員在車輛從純概念層到技術和實現(xiàn)層的設計演進中考慮不同的抽象層次。

　　最終，將設計原則應用到你的方法中

　　現(xiàn)在，這些設計原則將被應用到用C2A的AutoSec ANALYSIS構建的樣本ADAS系統(tǒng)中。　　

　　在最高抽象階段，ADAS系統(tǒng)本身只是一個決策元素，有一個執(zhí)行決策的功能資產。連接元素提供導航和v-data，而傳感器感知消息從傳感器元素發(fā)送，驅動消息從驅動元素發(fā)送，連接元素包含一個更新應用程序和一個路由表。

　　此處將以一個嚴重的事故場景為例：與附近的車輛碰撞，以及一個威脅：篡改決策軟件模型代碼。

　　應用設計原則1—只使用模型中的元素—出現(xiàn)了下面的樹。

　　注意，有2個節(jié)點利用代碼漏洞和連接到外部接口;兩者都被用作方法而不是步驟。這些是后續(xù)開發(fā)的占位符，在后續(xù)開發(fā)中，安全評估人員將需要根據(jù)設計更改底層步驟。

　　在后來的設計中，詳細介紹了所需的系統(tǒng)和子系統(tǒng)，以及使用的具體技術：

　　先前設計中的元件現(xiàn)在是完整的系統(tǒng)，具有ECU和內部屬性，如豐富的操作系統(tǒng)，元件之間的一般連接已成為以太網(wǎng)、CAN、C-VTX和LTE網(wǎng)絡。

　　在構建本設計的攻擊樹時，應采取以下步驟:

　　1.構建子樹來表示特定技術的攻擊

　　2.重用以前的樹結構來表示新的設計

　　TCU外部連接采用子樹方式:

　　集成子樹，在豐富的操作系統(tǒng)環(huán)境中開發(fā)代碼：

　　現(xiàn)在，攻擊樹代表一種新的設計，同時保持樹的原始結構，并與代表新設計的子樹集成。

　　隨著互聯(lián)網(wǎng)汽車的發(fā)展，攻擊樹建模方法也必須發(fā)展

　　為重用和可伸縮性而設計是日常軟件開發(fā)的一部分，攻擊樹模型應該也不例外。與目錄和自動樹構建不同，設計的樹考慮到了未來的車輛設計迭代——最小化時間投資，獲得最大回報。準備好正確的基礎設施將允許攻擊樹隨著模型的設計而進化和擴展，這是擴展安全工作的關鍵。通過一次只關注一個設計階段，優(yōu)先考慮攻擊樹擴展，利用微子樹和采用分層樹方法，安全評估人員將設計出敏捷的、具有前瞻性的攻擊樹，可以擴展以匹配整個安全生命周期的TARA需求。

　　關于C2A SECURITY

　　C2A Security是一家受信任的端對端汽車網(wǎng)絡安全解決方案供應商。公司推出了嵌入式車載網(wǎng)絡安全解決方案，使用多層次方法解決網(wǎng)絡安全問題，提供與汽車有關的保護措施和安全兼容性。C2A旗下的AutoSec是一個綜合網(wǎng)絡安全生命周期管理平臺，為整車廠和一級供應商提供可視性，使之能夠在互聯(lián)網(wǎng)汽車的整個生命周期中滿足網(wǎng)絡安全需要。C2A采取市場中性策略，能夠流暢地滿足汽車產業(yè)的需求，擁有易集成性，重新定義了汽車網(wǎng)絡安全生態(tài)系統(tǒng)。C2A是市場上最具靈活性、綜合性和透明度的網(wǎng)絡安全解決方案供應商。C2A的投資方包括More Ventures、OurCrowd和Maniv Mobility。