如何提高汽車TARA分析的性價比？如何降低安全架構的成本？

本文將從網(wǎng)絡空間維度來探討如何降低安全架構的成本。對OEM來說，這個方法的效果會更明顯。

現(xiàn)在國內(nèi)外各個OEM還有零部件供應商都在做TARA分析，不過大部分OEM和零部件供應商可能在這一塊并沒有太多經(jīng)驗，導致盡管可能花了不少時間和金錢，但是很難向公司的管理層去說明，因為做TARA分析而給公司帶來了多少安全收益或者效果。

這個時候，管理層就會質疑：花了這么多錢和時間做的TARA分析，除了滿足合規(guī)要求以外，還有什么用？

如此看來，TARA分析像是一個很沒有性價比的安全活動，只是出于合規(guī)的強制要求。接下來就給大家分享一下，怎么讓TARA分析變得更有性價比。

網(wǎng)絡空間中的威脅場景識別

做TARA分析，首先必然要識別對應的風險，尤其是整個網(wǎng)絡空間中對應的風險點。要注意的是，這一點對于零部件供應商也不例外。我們通?；谠?、管、端、核這4個層級去識別相應風險。

圖中列舉了一些容易產(chǎn)生風險的點，但導致風險產(chǎn)生的核心原因，可以簡單歸類為內(nèi)因和外因，通過對內(nèi)、外因的歸類，能夠更好地構建一個威脅場景；不過，為了減少分析時間，或者說提高效率，要構建有價值的威脅場景，這里的“價值”指的是對于攻擊者而言。

關于外因，可以這樣理解，它是攻擊者的意圖，對于攻擊者的價值決定了攻擊意圖的強烈程度，攻擊者必然是為了實現(xiàn)某種目的發(fā)起的攻擊，因此單從外因來考慮，我們要關注的是，對于攻擊者最有價值的點會對威脅場景的構建產(chǎn)生什么影響。

根據(jù)攻擊目標，這里做了四個分類。

第一類是以高價值數(shù)據(jù)為目標的威脅場景，比如說用戶的個人數(shù)據(jù)、車輛行為數(shù)據(jù)以及地理位置信息，甚至包括用戶的金融信息，如交易記錄等，還有車輛周邊的信息、音視頻等數(shù)據(jù)，都是要分析的目標，也是我們定義為高價值、高影響的威脅場景。需要注意的是，這里的影響指的是對于整個社會層面的影響，因為我們在構建車輛網(wǎng)絡空間時，不是只考慮一輛車，而是考慮同一類型車型。

第二類是以硬件資產(chǎn)為目標的威脅場景，比如說車輛盜竊，或者說破壞公共財產(chǎn)，甚至是影響公共安全等，這種威脅場景對于攻擊者來說，其實并不具有特別高的價值，因為偷一輛車并沒有太多錢，所以我們認為它是一個低價值、高影響的威脅場景。

第三類是以IP資產(chǎn)為目標的威脅場景。攻擊者可能是以打擊企業(yè)、或者獲得競爭優(yōu)勢為目的而進行的攻擊，這種目標我們我們認為它是低價值、低影響的。

最后一類就是黑產(chǎn)。黑產(chǎn)在整個IT行業(yè)和移動端都已成規(guī)模，本文暫不贅述。

以上舉例說明的攻擊者目的，其實是為了解釋攻擊者“What to do”，即要做什么事情，接下來再分析一下攻擊者是如何做到這些事情的，即“How to do”。

攻擊路徑分析

其實“How to do”也就是TARA分析中的攻擊路徑分析，出于一些保密原因，這里只能通過一些示意圖來做說明。對應上述威脅場景的分類，攻擊路徑也被分成四類。

第一類是單目標長路徑。比如說攻擊目標就是逆向軟件算法，如果用哈曼的產(chǎn)品舉例，哈曼的音視頻處理算法可能就是哈曼的一個核心資產(chǎn)，這類算法如果被逆向用到了競爭對手的產(chǎn)品里面，就可以給競品帶來非常大的競爭優(yōu)勢。要實現(xiàn)這個目標，攻擊者可能要先買臺車，然后拆車，把二進制文件DUMP出來，然后再逆向分析，最后進行逆向工程來獲取對應的算法。這是第一個類型。

第二類是多目標長路徑。比如說他的目標可能是某個人的個人信息、金融支付信息等。

第三類是單目標復用路徑。這里先解釋一下“復用路徑”，它指的是可以通過同樣的方法對多個車或多個用戶發(fā)起攻擊，比如說在同款車型上面應用某個通信協(xié)議的漏洞。

最后一種是多目標復用路徑，它是指針對多輛車或者多個用戶發(fā)起一次攻擊以實現(xiàn)多個目的，比如說批量遠程操控，操控自動駕駛、或者泊車這一類的功能。

上述攻擊路徑的分類是為了更好理解在實際情況下，哪些威脅場景最可能發(fā)生，哪些又是沒有太多價值與意義的，攻擊者的意圖是一定要在考慮在內(nèi)的，從而更好地區(qū)分以及降低最終TARA分析的工作量。

通過上述一系列的活動，我們可以通過內(nèi)、外因對威脅場景中脆弱性產(chǎn)生的原因進行歸類，以及對攻擊路徑中的主要、次要形式進行區(qū)分。一定程度上區(qū)分出TARA分析環(huán)節(jié)中的主次關系，能夠更有效的投入資源去做安全需求，明確安全需求放在哪些地方更有效。

畢竟，一旦安全需求被要求應用在某一個節(jié)點或者是某一個產(chǎn)品里的時候，就會帶來相應的成本，所以當然要用最少的安全需求來實現(xiàn)最大化的安全收益。

如何實現(xiàn)安全收益最大化

在針對某系統(tǒng)的TARA分析中，威脅場景的占比如下圖所示，如果要安全收益最大化，可以通過以下幾步來實現(xiàn)。首先是對車輛網(wǎng)絡空間應用一個TARA分析工具，可以是任何工具，包括自動化的工具，通過這種工具獲得一個相對來說比較完整的威脅場景和攻擊路徑。

值得一提的是，現(xiàn)在很多帶輔助功能的TARA分析工具可以窮舉一個攻擊路徑，雖說我們使用工具的目的是為了提高效率，以及避免一些人為的低級錯誤，但在實際使用這類工具的過程中，因為窮舉了這些路徑，導致刪掉那些自動生成的無效路徑比自己分析所花費的時間反而更多。

其次，需要將安全控制措施應用在對應的攻擊入口，以阻止攻擊路徑、消減威脅場景，將安全控制措施用在關鍵節(jié)點上，才可以更好更有效地阻斷攻擊路徑，以及消減威脅場景。

最后，我們需要將安全管理措施應用在生產(chǎn)運維的過程中，以預防新的攻擊路徑產(chǎn)生，同時消減威脅場景。

我們可以通過將TARA分析得到的四大類基線，即管理類基線、安全架構基線、技術規(guī)范基線以及分布式安全活動基線，總結為一個大的安全基線，這樣可以提高工作產(chǎn)物的復用率，同時降低OEM以及零部件供應商的研發(fā)成本。

通過這樣一系列的優(yōu)化，可以讓TARA分析較為明確地總結出削減了哪些威脅場景，進而將這些被削減了的威脅場景提煉為一個所謂的“安全收益”，以匯報給公司管理層。此外，總結好這類安全基線也可以減少后續(xù)開發(fā)所用的時間，如此一來，不就提高了性價比嗎？

當然，任何安全特性或安全措施都必定會增加成本，而且，合規(guī)是底線，不論怎么減少成本，都必須要達到合規(guī)的底線，就跟考試不能掛科一樣。

車輛網(wǎng)絡安全其實就是一個上有來政策法規(guī)的要求、下有來自終端的多樣需求、成本很高且看起來沒啥收益的事情，正因為如此，安全防護策略的性價比對于車輛網(wǎng)絡安全來說特別重要。

如何高性價比的構建網(wǎng)絡安全防務策略？如果用八個字來總結的話，那就是主次分明、化繁為簡。

在TARA分析活動中，通過攻擊者的視角去分清主次，通過歸納安全基線來化繁為簡，這樣就可以讓原先看起來沒什么性價比的TARA分析變得有價值，而且不僅花的時間更短，同時也可以給管理層一個比較好的匯報，是不是看起來就變得有性價比了呢？

其實不僅是TARA分析，甚至不僅是信息安全，對于很多領域來說，性價比都備受關注，畢竟不論我們要實現(xiàn)的目標如何偉大，也不可能投入無限的資源進去。而且現(xiàn)在這個時代，做選擇、做舍棄更需要勇氣和智慧，分清主次，才能夠更好地去做選擇，以及更明智地去舍棄一些東西，而化繁為簡則是一種出于本能、也是順其自然的做法。 關注“談思汽車”公眾號，后臺回復“哈曼”，獲取哈曼首席網(wǎng)絡安全架構師黃惠斌完整直播內(nèi)容。

審核編輯：劉清