如何解決 ISO/SAE 21434 資安整合難題?建議導入 ATHENA 車載系統攻擊知識庫

如何解決 ISO/SAE 21434 資安整合難題?建議導入 ATHENA 車載系統攻擊知識庫

2023 年 12 月,臺灣資安公司奧義智慧科技 (CyCraft Technology) 資深資安威脅研究員林殿智 (Tien-Chih Lin) 在 2023 歐洲黑帽安全大會工具展示空間 (Black Hat Europe 2023 Arsenal) 上,發表了奧義智慧針對車載資安的研究成果:「ATHENA:車載系統攻擊知識庫」 (ATHENA: Advanced THreat knowlEdge-base for Networked Automotive)(本講座簡報請參考文末延伸閱讀)。

奧義智慧研究團隊發現在汽車產業 ISO/SAE 21434 資安標準生命周期中,不易整合各種資安解決方案的問題,並建議使用奧義智慧開發的 ATHENA 車載系統攻擊知識庫因應相關挑戰。我們以實際案例示範了 ATHENA 在生命周期各階段的應用情境與方法,再次強調「資訊傳遞一致性」在實作資安標準時的重要性。

閱讀本文,你可以知道:
  1. 汽車產業 ISO/SAE 21434 資安標準的應用難題。
  2. 奧義智慧 ATHENA 車載系統攻擊知識庫的應用方式與重要性。

UNECE WP.29 R155 與 ISO/SAE 21434

近年來,資安研究人員在車載系統中持續發現漏洞和攻擊情境,聯合國歐洲經濟研究會 (UNECE) 所屬的世界車輛法規協調論壇 (WP.29) 為因應車載系統的資安挑戰,於 2020 年 6 月頒布 R155 法規,要求建立網路安全管理系統 (Cyber Security Management System,CSMS)。為了符合法規的強制要求,國際標準化組織 (ISO) 和國際汽車工程師學會 (SAE) 於 2021 年 8 月發布了《道路車輛-網路安全工程》(Road vehicles — Cybersecurity engineering,ISO/SAE 21434) ,為全球汽車製造商提供一個可遵循的車載資安框架,以有效增強汽車資安措施。

ISO/SAE 21434 生命周期的核心遵循 V 模型(如圖1),從左上經過底部後終止於右上。此模型起始於:概念 (Concept) 和設計 (Design) 階段,從這兩類廣泛的高層次概念收斂成更具體的實作 (Implementation) 階段,訂定實作細節和規範。在驗證 (Verification) 階段檢驗實作細節,確保符合設計階段時確立的規格。最後,在認證 (Validation) 階段則會確認是否與概念階段設定的原始資安目標 (Cybersecurity Goal) 一致。

ISO/SAE 21434 生命周期 V 模型
圖1 ISO/SAE 21434 生命周期 V 模型

ISO/SAE 21434 的系統性問題

奧義智慧研究團隊之所以發現 ISO/SAE 21434 的系統性問題,來自於尋求我們顧問輔導的一位客戶,該客戶正準備進入 ISO/SAE 21434 實作。客戶用以實作的目標網路架構核心為 CAN Bus,並透過 Gateway 將網路切割為三個不同的使用情境,其中可對外連網的是 T-Box;Body Control ECU 則是一個將電子訊號轉換為物理控制的系統(圖2)。

客戶實作 ISO/SAE 21434 標準的網路架構
圖2 客戶實作 ISO/SAE 21434 標準的網路架構

對應 ISO/SAE 21434 生命周期 V 模型,客戶自評的整體概況為(圖3):

1. 概念階段:

  • Body Control ECU 為最大隱憂,必須採取保護措施防範網路攻擊。

2. 設計與實施階段:

  • 引入 ECU Protection 解決方案。

3. 驗證階段:

  • 尋求第三方團隊進行全車滲透測試 (Full Vehicle Penetration Testing)。

針對客戶的自評方案,我們認為因 Body Control ECU 位於 CAN Bus 上、難以驗證訊號發送者的身份,即便引入了 ECU Protection 也只能防止程式執行流程不被篡改,但無法防範更容易遭遇的欺騙攻擊 (Spoofing Attack)。當驗證階段發現實作階段的方案無法解決風險時,客戶固然可以進入第二輪的 V 模型,重新開始下一輪的概念初評;然而,客戶尋求的第三方全車滲透測試可能是從外部連網設備開始驗證,無法檢測到內部的 Body Control ECU,也無法發現解決方案的無效。

客戶自評方案與奧義智慧顧問回饋(紅框)
圖3 客戶自評方案(白框)與奧義智慧顧問回饋(紅框)

在輔導過程中,我們提出了客戶自評方案的以下問題:

1. 概念階段:

  • 缺乏攻擊技巧的全局視野,難以全面盤點所有風險。
  • 不清楚攻擊原理,難以制定有效的偵測和緩解措施。

2. 設計與實施階段:

  • 誤解偵測和緩解措施的有效範圍,導入無效的解決方案,甚至誤以為威脅已成功緩解。

3. 驗證與認證階段:

  • 缺乏全面性的驗證計畫,無法確實驗證解決方案。

為什麼在實作 ISO/SAE 21434 時會產生上述問題呢?奧義智慧團隊在深入分析後,發現一個根本上的系統性問題:不同階段間的訊息落差(圖4)。概念階段的訊息不足-例如威脅分析與風險評估 (Threat Analysis and Risk Assessment,TARA) 的結果無法具現化成可執行的策略-會使設計和實施階段難以執行,繼而使驗證和認證階段產生混亂。雪上加霜的是,V 模型是一個連續且迭代的流程,訊息不一致將導致盲點持續產生,造成模型中的各階段問題被隱藏且難以解決。

ISO/SAE 21434 生命周期的系統性問題
圖4

ATHENA 車載系統攻擊知識庫作為解法

ATHENA(Advanced THreat knowlEdge-base for Networked Automotive)是一個由奧義智慧開發、全面且全球通用的車載系統攻擊知識庫。我們依據 MITRE ATT&CK® 框架,統整了針對車載安全的 TTPs,為汽車產業資安威脅和解決方法提供了關鍵的知識模型。在首次釋出中,我們主要盤點攻擊戰術 (Attack Techniques),未來釋出的版本將進一步補充攻擊技術的內容,包括相應的緩解和檢測方法等。

圖5 ATHENA 車載系統攻擊知識庫


ATHENA 車載系統攻擊知識庫能與 ISO/SAE 21434 的 V 模型良好整合(圖6):在概念階段,ATHENA 可以補足並統一 TARA 的結果,產生可執行的偵測和緩解策略供下一階段使用;在設計與實作階段,透過 ATHENA 可以有效量化各解決方案適用的偵測和緩解範圍,協助使用者根據這些資訊規劃防禦策略;在驗證與認證階段,ATHENA 將比對概念階段的高風險攻擊路徑資訊,以及設計與實作階段之解決方案宣稱可緩解的威脅資訊,協助汽車資安團隊制定完整且一致的驗證計畫。

整合 ATHENA 與 ISO/SAE 21434 的 V 模型
圖6 整合 ATHENA 與 ISO/SAE 21434 的 V 模型

ATHENA 車載系統攻擊知識庫應用:案例分析

在先前的客戶輔導案例中,我們發現了潛藏在 ISO/SAE 21434 的 V 模型裡的系統性問題。接著,我們將導入 ATHENA 車載系統攻擊知識庫,以解決該模型的資訊不一致狀態。

1. 概念階段

概念階段的主要任務是威脅分析與風險評估,因此我們先依照各裝置的屬性,利用 ATHENA 過濾掉不相關的攻擊手法,盤點出該裝置所有的潛在攻擊矩陣 (Potential Attack Matrix) 。透過矩陣我們觀察到: T-Box 因為有較多的對外連線功能,所以有較多的 Initial Access 攻擊面。相反地,IC 與 Gateway 並未直接連接到外網,因此缺少 Initial Access 攻擊面(圖7)。

利用 ATHENA 分析的各裝置潛在攻擊矩陣
圖7 利用 ATHENA 分析的各裝置潛在攻擊矩陣

潛在攻擊矩陣盤點完成後,我們接續根據攻擊技術與裝置連線狀況,建立兩者的關聯圖。加上依照不同裝置之重要性預先定義好的權重,我們可以得到一個加權圖(圖8)。

攻擊技術與裝置關聯後的加權
圖8 攻擊技術與裝置關聯後的加權圖

我們利用現有的圖論演算法進行路徑搜索,列舉出所有潛在的攻擊路徑,再搭配權重分析,即可將攻擊路徑依據風險高低排序,進而鎖定最高風險的攻擊路徑。在高風險攻擊路徑中,我們還能清楚拆解攻擊路徑的不同階段:以圖 9 此路徑為例,攻擊者可先透過四種 Initial Access 攻擊技術取得 T-Box 權限,以 Lateral Movement 移動到 Gateway。最後,再次利用 Lateral Movement 技巧控制 Body Control ECU,造就五種不同的攻擊衝擊。

圖9 高風險攻擊路徑示例

在描繪出由攻擊技術組成的攻擊路徑後,我們可以列出相對應的偵測和緩解方法清單,開展下一階段的設計與實作。

2. 設計與實作階段

在設計與實作階段,首先需要根據概念階段評估出的風險,設計實作需求,並實際導入因應的解決方案。有了 ATHENA 分析後的加權圖與高風險攻擊路徑,尚需迅速了解風險分布範圍和數量,於是我們引入 Sounil Yu 提出的 Cyber Defense Matrix 矩陣,以識別風險針對的資產以及該風險可以在哪個階段處理

由於每一條攻擊路徑皆涵蓋多個攻擊手法、各攻擊手法也對應到多個偵測緩解方法,不同高風險攻擊路徑所對應的偵測緩解方法一定有所重複。將偵測和緩解方法清單投影到 CDM 矩陣後,我們即可獲得一個帶有計數器的 CDM 矩陣,此計數器可統計各偵測緩解方法重複的次數,重複越多次代表此偵測緩解方法可以緩解多個攻擊手法。

帶有計數器的 CDM 矩陣真的能有效評估緩解方法嗎?透過 ATHENA 和 CDM 矩陣的疊加(圖 10),可發現相對於其他層級來說,網路層 (Networks) 高於 30 分的項目明顯較多,意味著需要對網路層採取更多的偵測和緩解措施。一如奧義智慧研究團隊對客戶自評結果的判斷:由於客戶使用的主幹網路 CAN Bus 是一種多用於汽車和工業內部控制、未考慮資安風險的網路協定,雖然低成本、高即時但易受攻擊,因此在網路層級上,的確對偵測和緩解方法有更高的需求。由上可知,ATHENA 投影至 CDM 矩陣上所得的資訊與資安專家判斷一致,可提供具專業度且可執行的評估結果。

 緩解方法投影在 Cyber Defense Matrix 矩陣後的分數
圖10 緩解方法投影在 Cyber Defense Matrix 矩陣後的分數


3. 驗證與認證階段

在驗證與認證階段,除了要確定高風險威脅是否已被緩解,也要確認應優先保護的資產是否安全,因此滲透測試是一個非常廣泛被應用的手法。然而,相較於以往用滲透測試企圖發掘新漏洞的做法,奧義智慧團隊認為「驗證偵測和緩解方案是否有效」是此階段更重要的目標。

在引入 ATHENA 後,概念階段有可視化的高風險攻擊路徑圖,能讓驗證階段優先驗證、設計與實作階段有相對應的偵測及緩解方法,也能讓驗證階段設計相關情境驗證其有效性。例如圖 11 便是透過概念階段評估結果規劃的 T-Box 滲透測試計畫,示範了紅隊如何利用評估的結果,一路從外圍入侵到內部,並成功碰觸到 CAN Bus。由此可見,唯有透過 ATHENA 將各階段互相串聯,我們才能獲得一個更全面且不脫鉤的驗證方式。

T-Box 潛在攻擊矩陣規劃的滲透測試計畫
圖11 利用 T-Box 潛在攻擊矩陣規劃的滲透測試計畫



總結

汽車產業 ISO/SAE 21434 資安標準雖已訂定3年了,在實作上仍面臨諸多挑戰,特別是資訊不一致將導致致命盲點反覆出現。奧義智慧研究團隊主張:引入 ATHENA 車載系統攻擊知識庫不僅使風險評估更全面、風險緩解更有效,同時也使 ISO/SAE 21434 生命周期 V 模型的訊息傳遞更加流暢,有利內部溝通與對外的情報交換。透過 ATHENA 賦予的共通語言,我們期待改變有如巴別塔般失語混亂的現狀,提升ISO/SAE 21434 資安標準的適用性與重要性。


延伸閱讀
  1. Tien-Chih Lin. (2023). “ATHENA: Advanced THreat knowlEdge-base for Networked Automotive.” Black Hat Europe 2023.
  2. 林殿智(2023),<翻開 ISO/SAE 21434 中覆蓋的陷阱卡:利用攻擊知識庫打造車載環境的資安韌性>,CYBERSEC 2023。
  3. 奧義智慧聯手菱鏡 TrapaSecurity 團隊,共建車聯網資安生態系

Writer: Dange Lin

關於 CyCraft

奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。

訂閱奧義智慧電子報

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
點擊此按鈕,即表示您同意奧義智慧的隱私權政策,並同意奧義智慧使用您所提供的資訊並寄送資訊給您。您隨時可以取消訂閱。