智能网联汽车TARA建设之 ——智能网联汽车信息安全威胁情报的获取

智能网联汽车TARA（Threat Analysis and RiskAssessment）主要指用来识别和评估智能网联汽车系统中的潜在威胁，并评估相应风险。TARA是整个智能网联汽车信息安全的重要组成部分，并且贯穿了智能汽车整个生命周期。根据J3061规范的指导思想，智能网联汽车的信息安全需要在产品规划阶段就开始考虑，只有这样才能将信息安全融入到架构设计、软硬件开发、测试、量产以及售后中去。梆梆安全研究院经过多年对智能网联汽车领域的深入研究认为TARA并不应该是独立的一环，而是应该成体系的建设，具体建设思路应该包括：威胁情报获取、风险评估和几种建议的流程。后续我们将对这三部分做逐一介绍。本文将重点介绍威胁情报获取，未来几篇文章将对风险评估和集中建议的流程再做深入探讨。

智能网联汽车威胁情报获取是TARA建设的首要一环， 要将信息安全纳入到规划阶段，首先就要明确和识别需要保护的资产可能遇到的威胁和风险，然后才能采取相应的安全防护措施来规避威胁，从而降低甚至消除可能发生的信息安全风险 。因此可以说智能网联汽车威胁情报获取是TARA的源头，也是智能网联汽车全生命周期信息安全建设的关键，同时更是对智能网联汽车各种信息安全威胁的积累和了解。梆梆安全研究院通过对多年在车厂实施项目的实践经验总结后发现，可以至少通过渗透测试、第三方咨询机构、媒体和相关机构，这三个途径来获取智能网联汽车的威胁情报。

1. 渗透测试是获取智能网联汽车信息安全威胁的首要途径

在J3061规范中，渗透测试是在整车开发阶段后期，对整车信息安全需求验证时所进行。其作用在于，一方面可以确保规划阶段提出的所有应该实现的安全需求都得到落实；另一方面也可以发现一些可能被利用的未知威胁。通常情况下，在每次做完渗透测试以后，应该把所有先前未发现的安全威胁记录下来，并最终形成安全威胁数据库，为后续车型的安全规划打下坚实基础。梆梆安全研究院在智能网联汽车渗透测试方面具备丰富的项目经验，实施人员拥有多年信息安全和汽车开发相关领域实践经历。且在渗透测试项方面不但参考了国际信息安全权威机构（如NIST和OWASP等）的相关规定，也结合了在汽车渗透测试方面的实战经验，因此整个渗透测试较为全面和权威。梆梆安全研究院认为，智能网联汽车的渗透测试对象应该包含所有ECU、车内外网络和整车这三大部分，并且渗透测试的范围应至少涵盖硬件、固件、操作系统、应用软件、数据和通信这几大方面。

• 硬件渗透测试， 主要是针对智能网联汽车ECU的主板、存储介质、外设接口、调试接口、人机交互接口进行的渗透测试，主要用于评测固件被提取、核心敏感器件被识别以及遭受侧信道攻击等硬件相关的安全威胁；
• 固件渗透测试 ，主要是针对汽车ECU固件逆向、固件替换、刷写其他固件等进行安全评测，从而评估固件可能遭受的安全威胁；
• 操作系统渗透测试 ，目前主要是针对车载信息娱乐系统主机的渗透测试，主要用于评测已知和未知漏洞风险、安全和健壮性以及对操作系统行为的监控等；
• 应用软件渗透测试 ，主要用于测试 Linux 或者Android操作系统运行的应用软件安全性，如果应用软件存在编码或者逻辑方面的安全漏洞和缺陷，可以使攻击者在未授权的情况下非法利用或破坏。或直接调用并未做任何安全检测的第三方组件，给物联网智能终端带来了极大的安全风险，很可能会引入一些公开的软件漏洞，极易被黑客利用，一旦这些漏洞被利用，同类设备都将遭受影响。另外，物联网智能终端上所安装的业务应用，如果没有做相应的识别和控制机制，例如应用软件的来源识别、应用软件的安装限制、对已经安装应用软件的敏感行为控制等，很容易被攻击者安装恶意程序或进程来实施攻击行为。同时软件更新过程同样存在安全隐患，软件升级包升级过程中没有完整性和合法性验证，容易被攻击者从中劫持或更改软件升级包，而没有进行过加密处理的软件升级包，则可能会被攻击者截取用于发起中间人攻击，从而将恶意程序升级到终端当中；
• 数据渗透测试 ，主要用于测试汽车每个ECU中数据产生、存储、使用、传输、共享以及销毁整个生命周期的数据安全性，从而评估整个数据是否存在被泄露的风险；
• 通信渗透测试 ，主要是指车外网络，比如车载Wi-Fi、蓝牙等车外网络的渗透测试。通信传输也是渗透测试当中非常重要的一部分，这是因为在智能网联汽车和云端或者终端之间进行信息通信传输过程中，容易遭受流量分析、窃取、嗅探、重放等网络攻击，进而导致传输信息遭到泄露、劫持、篡改等威胁。

2. 第三方咨询机构是获取智能网联汽车信息安全威胁的另外一个重要途径

梆梆安全研究院与国内外知名咨询机构拥有良好的合作关系，同时也参与了多种智能网联汽车信息安全相关标准的制定工作。第三方咨询机构通常拥有大量的资源，能够深入智能网联汽车从车厂、经销商、维修厂等一系列场所，获取这些场所曾经发生的信息安全事件，并通过这些事件提取相应的信息安全威胁，这些信息安全威胁会涉及车厂自己的汽车，也会涉及到其他厂商的汽车，信息量非常庞大。同时，第三方咨询机构也拥有对信息安全法律法规很强的解读能力，能够通过对法律法规的解读获取相应的信息安全注意事项及需求。除此之外，第三方咨询机构也会参与到智能网联汽车相关标准的制定中，及时了解标准制定的内容以及推进进度，因此可以提前将可能出台的信息安全标准及时告知车厂，在新车规划的时候将这些信息安全点纳入到规划中。

3. 从媒体和相关机构也可以获得部分智能网联汽车信息安全威胁信息

这条途径通常会在整车发布之后，整车进入运维阶段的时候才会使用。媒体是对各种社会事件非常敏感的机构，能够在第一时间获得相关信息。同时智能网联汽车也是当下最为热点的话题，无论是国内还是国外智能汽车出现信息安全事件，媒体通常情况下都会进行大量的转发和报道，同时也会对这些信息安全事件进行比较详尽的分析。因此同与智能网联汽车信息安全比较专注的媒体进行合作，同样可以获取国内外智能网联汽车发生的信息安全威胁事件。另外，同监管机构合作也是非常好的选择，监管机构也同样拥有大量关于智能网联汽车整个生态的数据，通过对这些数据的分析，比如关联分析、溯源等，能够提炼出部分信息安全威胁情报信息。

获取智能网联汽车信息安全威胁情报是整个TARA的基础，没有信息安全威胁数据的支撑无法实现TARA，同时也无法将信息安全融入到规划当中，智能网联汽车信息安全也无从谈起。因此 所有整车生产厂都应该具备获取信息安全情报的机制、制度和体系，只有这样才能将智能网联汽车信息安全工作建设好。

作者：梆梆安全研究院高级研究员 刘丁

相关阅读

Symbiote发布汽车防黑软件

汽车联网已是大势所趋 网络安全能力成发展先决条件

海豚超声波攻击：智能手机、汽车和数字助理成入侵目标