#百人创作先锋团#信息安全分析方法介绍(一)

EVITA风险评估

EVITA(E-safety vehicle intrusion protected applications)是欧盟第七框架计划资助项目（2008-2011），旨在为车载网络的体系架构进行设计、验证、形成原型，以防止安全相关的组件被篡改，并保护敏感数据以免受到攻击。这个方法也是目前业界较为推荐的一种方法。

欧盟项目EVITA旨在开发一套技术和组件的原型，以确保车载系统硬件、软件和分析方法的安全性。EVITA仅旨在调查车辆级别的网络安全解决方案。根据需要，设想了不同级别的安全保护。某些资产可能不需要安全措施（低风险）。风险分析旨在确定安全要求的优先级。

基本原理：保护每个威胁的成本太高，因此需要对风险进行分级，以便制定对策。与安全攻击相关的风险取决于影响的严重程度(即对利益相关者的伤害—驾驶员、其他道路使用者、市政当局、智能交通系统运营商、车辆制造商和系统供应商。成功攻击的概率—取决于攻击者的资源、物理安全攻击的性质。物理伤害可能是攻击的目标伤害也可能是意外后果。

基于EVITA方法学的威胁分析与风险评估流程如图所示。

EVITA分析流程

用例描述具体来讲就是确定在未来可能对安全性产生影响的一系列特定的车辆功能，资产识别是对汽车资产进行识别并对其价值进行赋值，威胁分析是识别威胁，也可以具体解释为建立攻击树模型。这个方法论的不足之处在于，安全威胁识别时繁琐不易操作，成功执行攻击需要时间不确定等。

EVITA考虑四个方面的安全目标：

（1）操控性（operational），维护所有车辆和智能交通系统功能所期望的操作性能；

（2）功能安全（safety），确保驾乘人员和路边人员的功能安全；

（3）隐私（privacy），保护驾驶人员，以及车辆制造和供应商在知识产权方面的私密性；

（4）经济性（financial），保护欺骗性的经济损失和车辆盗窃问题。

对于每个安全目标，EVITA开展三个阶段的工作：

（1）威胁识别（threat identification），使用场景和攻击树识别威胁，并获得安全需求；

（2）威胁分类（threat classification），基于威胁的严重性和成功攻击的可能性对威胁进行分类；

（3）风险分析（risk analysis），基于威胁的分类，提供建议的措施。

EVITA风险等级的计算，对于攻击可能性的计算综合了各个不同资产-攻击的可能性。每个具体的资产攻击都具有相应的攻击可能性（综合了成功攻击所需要的时间、专业性、对攻击对象的知识、机会窗口和设备等要素），而攻击目标则决定了攻击后果的严重性（针对汽车电子系统，涉及对其功能安全、操作性、财务和隐私等方面的考量）。根据攻击方法所包含资产攻击的“与”“或”关系，采用不同的方法计算其复合攻击可能性，再结合攻击严重性，计算出针对每一个攻击方法的风险等级。对于功能安全相关的威胁，还需要结合可控性来计算风险等级。

EVITA基于攻击树方法的威胁分析与风险评估过程

下图展示了这种分析方法的一个实例，在该例中，为了达到攻击目标1，可能采用攻击方法1或攻击方法2，其中攻击方法1为资产攻击1和资产攻击2的合取（即“与”关系），而攻击方法2则为资产攻击3~5中的任意一种（即“或”关系）。

基于攻击树方法的威胁分析与风险评估过程实例

对于每个安全目标，EVITA把威胁的严重性分为五个等级：S0、S1、S2、S3、S4。其中，S4的严重性最高。

EVITA 危险的严重性等级表

攻击成功的可能性方面，需要综合考虑多种因素：

• 确定如何攻击和成功执行攻击需要的时间(Elapsed Time)
• 需要的专门技能(Specialist Expertise)
• 需要了解的系统信息(knowledge)
• 需要的机会窗口(Window of opportunity)
• 需要的特殊设备等(Equipment)

攻击潜力和攻击几率评级

 针对私密性经济性和操作性的网络安全威胁的网络安全风险

安全相关威胁的风险概率图

安全相关威胁的可控性分类

攻击潜能评估表

 综合分析表

STIRDE威胁分析模型

STRIDE威胁分析模型是微软安全工程和通信部门开发的威胁建模的系统方法，是安全开发生命周期SDL）中一部分，对系统面临的威胁进行分类从而辅助系统设计人员改进系统的安全性设计。STRIDE是包含六个含义的字母缩略词，代表6种威胁，其中“S”指代Spoofing即假冒，，“T”指代Tampering即篡改、“R”指代Repudiation即否认、“I”指代Information disclosure即信息泄漏、“D”指代Denial of service即拒绝服务、“E”指代Elevation of privilege即提升权限。

STRIDE威胁分析模型说明

STRIDE威胁分析模型是基于系统的安全属性进行分析的，涉及机密性、完整性、可用性、身份验证、授权、不可否认性等6个属性。

安全属性说明

STRIDE所表示威胁与系统的安全属性形成一一对应的关系，上述的6种安全属性基本涵盖了系统安全的所有属性，其对应关系如表。

安全威胁和安全属性对应关系

利用STRIDE威胁模型进行ECU信息安全威胁时，有两个方向：

1、将系统分解为相关的组件，并分析每个组件是否易受到威胁攻击，从而找到减轻威胁所带来的影响的方法； 

2、将组件组合在一起形成系统时，分析其受到的威胁，此时，利用数据流关系图DFD的方法，逐个分析每个数据流关系图的元素容易受到的威胁攻击。

数据流关系图使用一组标准符号，其中包括了四个元素，分别是数据流、数据存储、进程以及交互方。考虑到目的是为了进行威胁建模，所以添加了信任边界这一新的元素。正确的数据流关系图是确保威胁模型正确的关键，所以在对系统进行威胁建模前，首先需要绘制出正确的数据流关系图，确保其显示系统的所有项。而每个DFD元素分别具有一组自己易受攻击的威胁，这为威胁分析过程提供了很好的参考价值。就数据流和数据存储来说，容易受到篡改、信息泄漏、拒绝服务这三类攻击的威胁；就进程这一元素来说，容易受到STRIDE六类攻击的威胁；对于交互方来说，容易受到假冒、否认这两类攻击的威胁；对于信任边界这一元素，也具有影响自身的独特威胁。除此之外还需关注的是，有的威胁一旦被利用，同时可能引发其他的威胁。

ATTACK TREE攻击树模型

攻击树模型将攻击目标逐级细分成单个攻击手段和相应的攻击路径，用于分析系统所面临的安全威胁。提供了一种思维方式，帮助开发者站在攻击者的角度来思考系统可能存在的漏洞，此方法很大程度上依赖于具备的黑客经验。

攻击树模型主要结构包括攻击目标、攻击子目标、“与/或”门、攻击手段和攻击路径组成。通过将攻击目标逐层拆解分析得出最终的攻击路径，用于分析系统所面临的安全威胁。

攻击树模型示意图

文章转载自公众号：智车Robot