精品国产人成在线_亚洲高清无码在线观看_国产在线视频国产永久2021_国产AV综合第一页一个的一区免费影院黑人_最近中文字幕MV高清在线视频

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

如何提高汽車TARA分析的性價比?如何降低安全架構的成本?

jf_EksNQtU6 ? 來源:談思汽車 ? 2023-12-04 09:45 ? 次閱讀

本文將從網絡空間維度來探討如何降低安全架構的成本。對OEM來說,這個方法的效果會更明顯。

現在國內外各個OEM還有零部件供應商都在做TARA分析,不過大部分OEM和零部件供應商可能在這一塊并沒有太多經驗,導致盡管可能花了不少時間和金錢,但是很難向公司的管理層去說明,因為做TARA分析而給公司帶來了多少安全收益或者效果。

這個時候,管理層就會質疑:花了這么多錢和時間做的TARA分析,除了滿足合規要求以外,還有什么用?

如此看來,TARA分析像是一個很沒有性價比的安全活動,只是出于合規的強制要求。接下來就給大家分享一下,怎么讓TARA分析變得更有性價比。

網絡空間中的威脅場景識別

做TARA分析,首先必然要識別對應的風險,尤其是整個網絡空間中對應的風險點。要注意的是,這一點對于零部件供應商也不例外。我們通常基于云、管、端、核這4個層級去識別相應風險。

10b89b46-9110-11ee-939d-92fbcf53809c.png

圖中列舉了一些容易產生風險的點,但導致風險產生的核心原因,可以簡單歸類為內因和外因,通過對內、外因的歸類,能夠更好地構建一個威脅場景;不過,為了減少分析時間,或者說提高效率,要構建有價值的威脅場景,這里的“價值”指的是對于攻擊者而言。

關于外因,可以這樣理解,它是攻擊者的意圖,對于攻擊者的價值決定了攻擊意圖的強烈程度,攻擊者必然是為了實現某種目的發起的攻擊,因此單從外因來考慮,我們要關注的是,對于攻擊者最有價值的點會對威脅場景的構建產生什么影響。

根據攻擊目標,這里做了四個分類。

10e6f61c-9110-11ee-939d-92fbcf53809c.png

第一類是以高價值數據為目標的威脅場景,比如說用戶的個人數據、車輛行為數據以及地理位置信息,甚至包括用戶的金融信息,如交易記錄等,還有車輛周邊的信息、音視頻等數據,都是要分析的目標,也是我們定義為高價值、高影響的威脅場景。需要注意的是,這里的影響指的是對于整個社會層面的影響,因為我們在構建車輛網絡空間時,不是只考慮一輛車,而是考慮同一類型車型。

第二類是以硬件資產為目標的威脅場景,比如說車輛盜竊,或者說破壞公共財產,甚至是影響公共安全等,這種威脅場景對于攻擊者來說,其實并不具有特別高的價值,因為偷一輛車并沒有太多錢,所以我們認為它是一個低價值、高影響的威脅場景。

第三類是以IP資產為目標的威脅場景。攻擊者可能是以打擊企業、或者獲得競爭優勢為目的而進行的攻擊,這種目標我們我們認為它是低價值、低影響的。

最后一類就是黑產。黑產在整個IT行業和移動端都已成規模,本文暫不贅述。

以上舉例說明的攻擊者目的,其實是為了解釋攻擊者“What to do”,即要做什么事情,接下來再分析一下攻擊者是如何做到這些事情的,即“How to do”。

攻擊路徑分析

其實“How to do”也就是TARA分析中的攻擊路徑分析,出于一些保密原因,這里只能通過一些示意圖來做說明。對應上述威脅場景的分類,攻擊路徑也被分成四類。

10fe0adc-9110-11ee-939d-92fbcf53809c.png

第一類是單目標長路徑。比如說攻擊目標就是逆向軟件算法,如果用哈曼的產品舉例,哈曼的音視頻處理算法可能就是哈曼的一個核心資產,這類算法如果被逆向用到了競爭對手的產品里面,就可以給競品帶來非常大的競爭優勢。要實現這個目標,攻擊者可能要先買臺車,然后拆車,把二進制文件DUMP出來,然后再逆向分析,最后進行逆向工程來獲取對應的算法。這是第一個類型。

第二類是多目標長路徑。比如說他的目標可能是某個人的個人信息、金融支付信息等。

第三類是單目標復用路徑。這里先解釋一下“復用路徑”,它指的是可以通過同樣的方法對多個車或多個用戶發起攻擊,比如說在同款車型上面應用某個通信協議的漏洞。

最后一種是多目標復用路徑,它是指針對多輛車或者多個用戶發起一次攻擊以實現多個目的,比如說批量遠程操控,操控自動駕駛、或者泊車這一類的功能。

上述攻擊路徑的分類是為了更好理解在實際情況下,哪些威脅場景最可能發生,哪些又是沒有太多價值與意義的,攻擊者的意圖是一定要在考慮在內的,從而更好地區分以及降低最終TARA分析的工作量。

通過上述一系列的活動,我們可以通過內、外因對威脅場景中脆弱性產生的原因進行歸類,以及對攻擊路徑中的主要、次要形式進行區分。一定程度上區分出TARA分析環節中的主次關系,能夠更有效的投入資源去做安全需求,明確安全需求放在哪些地方更有效。

畢竟,一旦安全需求被要求應用在某一個節點或者是某一個產品里的時候,就會帶來相應的成本,所以當然要用最少的安全需求來實現最大化的安全收益。

如何實現安全收益最大化

在針對某系統的TARA分析中,威脅場景的占比如下圖所示,如果要安全收益最大化,可以通過以下幾步來實現。首先是對車輛網絡空間應用一個TARA分析工具,可以是任何工具,包括自動化的工具,通過這種工具獲得一個相對來說比較完整的威脅場景和攻擊路徑。

111bc946-9110-11ee-939d-92fbcf53809c.png

值得一提的是,現在很多帶輔助功能的TARA分析工具可以窮舉一個攻擊路徑,雖說我們使用工具的目的是為了提高效率,以及避免一些人為的低級錯誤,但在實際使用這類工具的過程中,因為窮舉了這些路徑,導致刪掉那些自動生成的無效路徑比自己分析所花費的時間反而更多。

其次,需要將安全控制措施應用在對應的攻擊入口,以阻止攻擊路徑、消減威脅場景,將安全控制措施用在關鍵節點上,才可以更好更有效地阻斷攻擊路徑,以及消減威脅場景。

最后,我們需要將安全管理措施應用在生產運維的過程中,以預防新的攻擊路徑產生,同時消減威脅場景。

我們可以通過將TARA分析得到的四大類基線,即管理類基線、安全架構基線、技術規范基線以及分布式安全活動基線,總結為一個大的安全基線,這樣可以提高工作產物的復用率,同時降低OEM以及零部件供應商的研發成本。

通過這樣一系列的優化,可以讓TARA分析較為明確地總結出削減了哪些威脅場景,進而將這些被削減了的威脅場景提煉為一個所謂的“安全收益”,以匯報給公司管理層。此外,總結好這類安全基線也可以減少后續開發所用的時間,如此一來,不就提高了性價比嗎?

當然,任何安全特性或安全措施都必定會增加成本,而且,合規是底線,不論怎么減少成本,都必須要達到合規的底線,就跟考試不能掛科一樣。

車輛網絡安全其實就是一個上有來政策法規的要求、下有來自終端的多樣需求、成本很高且看起來沒啥收益的事情,正因為如此,安全防護策略的性價比對于車輛網絡安全來說特別重要。

如何高性價比的構建網絡安全防務策略?如果用八個字來總結的話,那就是主次分明、化繁為簡。

在TARA分析活動中,通過攻擊者的視角去分清主次,通過歸納安全基線來化繁為簡,這樣就可以讓原先看起來沒什么性價比的TARA分析變得有價值,而且不僅花的時間更短,同時也可以給管理層一個比較好的匯報,是不是看起來就變得有性價比了呢?

其實不僅是TARA分析,甚至不僅是信息安全,對于很多領域來說,性價比都備受關注,畢竟不論我們要實現的目標如何偉大,也不可能投入無限的資源進去。而且現在這個時代,做選擇、做舍棄更需要勇氣和智慧,分清主次,才能夠更好地去做選擇,以及更明智地去舍棄一些東西,而化繁為簡則是一種出于本能、也是順其自然的做法。 關注“談思汽車”公眾號,后臺回復“哈曼”,獲取哈曼首席網絡安全架構師黃惠斌完整直播內容。







審核編輯:劉清

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • OEM
    OEM
    +關注

    關注

    4

    文章

    400

    瀏覽量

    50270
  • dump
    +關注

    關注

    0

    文章

    13

    瀏覽量

    9506
  • 自動駕駛
    +關注

    關注

    783

    文章

    13684

    瀏覽量

    166147

原文標題:如何提高汽車TARA分析的性價比?

文章出處:【微信號:談思實驗室,微信公眾號:談思實驗室】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    Arm安全架構入選“2017世界互聯網領先科技成果”

    2017年12月3日,第四屆世界互聯網大會在烏鎮召開。Arm安全架構入選“2017世界互聯網領先科技成果”,并在世界互聯網大會開幕首日進行了發布。其中Arm安全架構的最新進展平臺安全架構
    的頭像 發表于 12-12 11:35 ?6551次閱讀

    TARA分析方法論

    TARA是威脅分析與風險評估(Threat Analysis and Risk Assessment)的縮寫,其在ISO/SAE 21434中被認為是網絡安全分析的核心方法。
    的頭像 發表于 09-14 10:44 ?1532次閱讀
    <b class='flag-5'>TARA</b><b class='flag-5'>分析</b>方法論

    新數字總線架構降低音頻系統成本

    汽車EMC和EMI兼容性要求。小結A2B是一種數字總線架構,能夠為接線集中的音頻應用提供一系列優化功能,而且還能提高性能和降低系統成本。*
    發表于 10-23 17:08

    新數字總線架構降低音頻系統成本

    汽車EMC和EMI兼容性要求。小結A2B是一種數字總線架構,能夠為接線集中的音頻應用提供一系列優化功能,而且還能提高性能和降低系統成本。*
    發表于 10-23 17:08

    淺析PSA平臺安全架構

    ,我們需要能夠應對這些威脅并且適用于各種成本點的設備安全。平臺安全架構(PSA)的使命就是克服這一挑戰。它能夠服務于任何設計合理的 Arm 處理器,包括低成本微控制器。
    發表于 07-25 07:27

    阿里云安全肖力:云原生安全構筑下一代企業安全架構

    "數字經濟的發展驅動越來越多的企業上云,每個企業都會基于云原生安全能力構筑下一代企業安全架構,完成從扁平到立體式架構的進化,屆時云原生安全技術紅利也將加速釋放!”9月27日,阿里云智能
    發表于 09-29 15:15

    關于PSA平臺安全架構看完你就懂了

    關于PSA平臺安全架構看完你就懂了
    發表于 05-18 06:08

    請教大神怎樣去設計一種DBAS應用系統安全架構

    軟件體系結構是由哪些部分組成的?設計過程包括哪些部分?怎樣去設計一種DBAS應用系統安全架構
    發表于 07-22 08:16

    Arm的平臺安全架構(PSA)干貨

    Arm的平臺安全架構(PSA)干貨,導語:在互聯網飛速發展過程中,安全問題始終貫穿其中。在這場安全保衛戰中,科技公司肩上的責任早已不再局限于提供產品與服務那么簡單。對于從端到云的整個產業價值鏈,arm生態系...
    發表于 07-27 07:04

    Arm平臺安全架構固件框架1.0

    Arm的平臺安全架構(PSA)是一套完整的: ?威脅模型。 ?安全分析。 ?硬件和固件體系結構規范。 ?開源固件參考實施。 ?獨立評估和認證方案——PSA CertifiedTM。 PSA提供了一個
    發表于 08-08 07:14

    基于數字水印的多媒體公文安全架構

    定義了多媒體公文的新概念,在分析傳統電子政務安全架構的基礎上,提出利用數字水印技術來提高多媒體公文的安全性,并以PDF 文檔為例介紹了如何利用數字水印技術來維護信
    發表于 08-04 09:21 ?13次下載

    ARM推出最新安全架構,支持物聯網多樣化、碎片化

    世界互聯網大會先進科技成果發布會上,ARM全球執行副總裁兼大中華區總裁吳雄昂發布了最新的平臺安全架構,通過這樣一個安全架構,不光是解決了安全架構的一致性問題,而且能夠支持多樣化、碎片化的物聯網系統。
    發表于 12-04 12:12 ?777次閱讀

    車載信息安全架構與應用實例

    汽車的互聯技術以及汽車網絡技術發展趨勢;汽車信息安全需求及其面臨的安全挑戰的分析;現有的和即將實
    的頭像 發表于 01-17 07:00 ?3937次閱讀
    車載信息<b class='flag-5'>安全架構</b>與應用實例

    建立云安全架構的解決方案及技術綜述

    隨著組織越來越多地將數據和應用程序轉移到云端,安全架構在確保工作負載安全方面變得至關重要。云安全架構是一個框架,它定義了組織如何為其運營的每個云模型處理云安全,以及它打算使用哪些解決方
    發表于 06-14 16:44 ?2159次閱讀

    如何提高汽車TARA分析性價比

    本文將從網絡空間維度來探討如何降低安全架構成本。對OEM來說,這個方法的效果會更明顯。
    的頭像 發表于 12-13 14:24 ?497次閱讀