2023 年 12 月,臺灣資安公司奧義智慧科技 (CyCraft Technology) 資深資安威脅研究員林殿智 (Tien-Chih Lin) 在 2023 歐洲黑帽安全大會工具展示空間 (Black Hat Europe 2023 Arsenal) 上,發表了奧義智慧針對車載資安的研究成果:「ATHENA:車載系統攻擊知識庫」 (ATHENA: Advanced THreat knowlEdge-base for Networked Automotive)(本講座簡報請參考文末延伸閱讀)。
奧義智慧研究團隊發現在汽車產業 ISO/SAE 21434 資安標準生命周期中,不易整合各種資安解決方案的問題,並建議使用奧義智慧開發的 ATHENA 車載系統攻擊知識庫因應相關挑戰。我們以實際案例示範了 ATHENA 在生命周期各階段的應用情境與方法,再次強調「資訊傳遞一致性」在實作資安標準時的重要性。
近年來,資安研究人員在車載系統中持續發現漏洞和攻擊情境,聯合國歐洲經濟研究會 (UNECE) 所屬的世界車輛法規協調論壇 (WP.29) 為因應車載系統的資安挑戰,於 2020 年 6 月頒布 R155 法規,要求建立網路安全管理系統 (Cyber Security Management System,CSMS)。為了符合法規的強制要求,國際標準化組織 (ISO) 和國際汽車工程師學會 (SAE) 於 2021 年 8 月發布了《道路車輛-網路安全工程》(Road vehicles — Cybersecurity engineering,ISO/SAE 21434) ,為全球汽車製造商提供一個可遵循的車載資安框架,以有效增強汽車資安措施。
ISO/SAE 21434 生命周期的核心遵循 V 模型(如圖1),從左上經過底部後終止於右上。此模型起始於:概念 (Concept) 和設計 (Design) 階段,從這兩類廣泛的高層次概念收斂成更具體的實作 (Implementation) 階段,訂定實作細節和規範。在驗證 (Verification) 階段檢驗實作細節,確保符合設計階段時確立的規格。最後,在認證 (Validation) 階段則會確認是否與概念階段設定的原始資安目標 (Cybersecurity Goal) 一致。
奧義智慧研究團隊之所以發現 ISO/SAE 21434 的系統性問題,來自於尋求我們顧問輔導的一位客戶,該客戶正準備進入 ISO/SAE 21434 實作。客戶用以實作的目標網路架構核心為 CAN Bus,並透過 Gateway 將網路切割為三個不同的使用情境,其中可對外連網的是 T-Box;Body Control ECU 則是一個將電子訊號轉換為物理控制的系統(圖2)。
對應 ISO/SAE 21434 生命周期 V 模型,客戶自評的整體概況為(圖3):
1. 概念階段:
2. 設計與實施階段:
3. 驗證階段:
針對客戶的自評方案,我們認為因 Body Control ECU 位於 CAN Bus 上、難以驗證訊號發送者的身份,即便引入了 ECU Protection 也只能防止程式執行流程不被篡改,但無法防範更容易遭遇的欺騙攻擊 (Spoofing Attack)。當驗證階段發現實作階段的方案無法解決風險時,客戶固然可以進入第二輪的 V 模型,重新開始下一輪的概念初評;然而,客戶尋求的第三方全車滲透測試可能是從外部連網設備開始驗證,無法檢測到內部的 Body Control ECU,也無法發現解決方案的無效。
在輔導過程中,我們提出了客戶自評方案的以下問題:
1. 概念階段:
2. 設計與實施階段:
3. 驗證與認證階段:
為什麼在實作 ISO/SAE 21434 時會產生上述問題呢?奧義智慧團隊在深入分析後,發現一個根本上的系統性問題:不同階段間的訊息落差(圖4)。概念階段的訊息不足-例如威脅分析與風險評估 (Threat Analysis and Risk Assessment,TARA) 的結果無法具現化成可執行的策略-會使設計和實施階段難以執行,繼而使驗證和認證階段產生混亂。雪上加霜的是,V 模型是一個連續且迭代的流程,訊息不一致將導致盲點持續產生,造成模型中的各階段問題被隱藏且難以解決。
ATHENA(Advanced THreat knowlEdge-base for Networked Automotive)是一個由奧義智慧開發、全面且全球通用的車載系統攻擊知識庫。我們依據 MITRE ATT&CK® 框架,統整了針對車載安全的 TTPs,為汽車產業資安威脅和解決方法提供了關鍵的知識模型。在首次釋出中,我們主要盤點攻擊戰術 (Attack Techniques),未來釋出的版本將進一步補充攻擊技術的內容,包括相應的緩解和檢測方法等。
ATHENA 車載系統攻擊知識庫能與 ISO/SAE 21434 的 V 模型良好整合(圖6):在概念階段,ATHENA 可以補足並統一 TARA 的結果,產生可執行的偵測和緩解策略供下一階段使用;在設計與實作階段,透過 ATHENA 可以有效量化各解決方案適用的偵測和緩解範圍,協助使用者根據這些資訊規劃防禦策略;在驗證與認證階段,ATHENA 將比對概念階段的高風險攻擊路徑資訊,以及設計與實作階段之解決方案宣稱可緩解的威脅資訊,協助汽車資安團隊制定完整且一致的驗證計畫。
在先前的客戶輔導案例中,我們發現了潛藏在 ISO/SAE 21434 的 V 模型裡的系統性問題。接著,我們將導入 ATHENA 車載系統攻擊知識庫,以解決該模型的資訊不一致狀態。
概念階段的主要任務是威脅分析與風險評估,因此我們先依照各裝置的屬性,利用 ATHENA 過濾掉不相關的攻擊手法,盤點出該裝置所有的潛在攻擊矩陣 (Potential Attack Matrix) 。透過矩陣我們觀察到: T-Box 因為有較多的對外連線功能,所以有較多的 Initial Access 攻擊面。相反地,IC 與 Gateway 並未直接連接到外網,因此缺少 Initial Access 攻擊面(圖7)。
潛在攻擊矩陣盤點完成後,我們接續根據攻擊技術與裝置連線狀況,建立兩者的關聯圖。加上依照不同裝置之重要性預先定義好的權重,我們可以得到一個加權圖(圖8)。
我們利用現有的圖論演算法進行路徑搜索,列舉出所有潛在的攻擊路徑,再搭配權重分析,即可將攻擊路徑依據風險高低排序,進而鎖定最高風險的攻擊路徑。在高風險攻擊路徑中,我們還能清楚拆解攻擊路徑的不同階段:以圖 9 此路徑為例,攻擊者可先透過四種 Initial Access 攻擊技術取得 T-Box 權限,以 Lateral Movement 移動到 Gateway。最後,再次利用 Lateral Movement 技巧控制 Body Control ECU,造就五種不同的攻擊衝擊。
在描繪出由攻擊技術組成的攻擊路徑後,我們可以列出相對應的偵測和緩解方法清單,開展下一階段的設計與實作。
在設計與實作階段,首先需要根據概念階段評估出的風險,設計實作需求,並實際導入因應的解決方案。有了 ATHENA 分析後的加權圖與高風險攻擊路徑,尚需迅速了解風險分布範圍和數量,於是我們引入 Sounil Yu 提出的 Cyber Defense Matrix 矩陣,以識別風險針對的資產以及該風險可以在哪個階段處理。
由於每一條攻擊路徑皆涵蓋多個攻擊手法、各攻擊手法也對應到多個偵測緩解方法,不同高風險攻擊路徑所對應的偵測緩解方法一定有所重複。將偵測和緩解方法清單投影到 CDM 矩陣後,我們即可獲得一個帶有計數器的 CDM 矩陣,此計數器可統計各偵測緩解方法重複的次數,重複越多次代表此偵測緩解方法可以緩解多個攻擊手法。
帶有計數器的 CDM 矩陣真的能有效評估緩解方法嗎?透過 ATHENA 和 CDM 矩陣的疊加(圖 10),可發現相對於其他層級來說,網路層 (Networks) 高於 30 分的項目明顯較多,意味著需要對網路層採取更多的偵測和緩解措施。一如奧義智慧研究團隊對客戶自評結果的判斷:由於客戶使用的主幹網路 CAN Bus 是一種多用於汽車和工業內部控制、未考慮資安風險的網路協定,雖然低成本、高即時但易受攻擊,因此在網路層級上,的確對偵測和緩解方法有更高的需求。由上可知,ATHENA 投影至 CDM 矩陣上所得的資訊與資安專家判斷一致,可提供具專業度且可執行的評估結果。
在驗證與認證階段,除了要確定高風險威脅是否已被緩解,也要確認應優先保護的資產是否安全,因此滲透測試是一個非常廣泛被應用的手法。然而,相較於以往用滲透測試企圖發掘新漏洞的做法,奧義智慧團隊認為「驗證偵測和緩解方案是否有效」是此階段更重要的目標。
在引入 ATHENA 後,概念階段有可視化的高風險攻擊路徑圖,能讓驗證階段優先驗證、設計與實作階段有相對應的偵測及緩解方法,也能讓驗證階段設計相關情境驗證其有效性。例如圖 11 便是透過概念階段評估結果規劃的 T-Box 滲透測試計畫,示範了紅隊如何利用評估的結果,一路從外圍入侵到內部,並成功碰觸到 CAN Bus。由此可見,唯有透過 ATHENA 將各階段互相串聯,我們才能獲得一個更全面且不脫鉤的驗證方式。
汽車產業 ISO/SAE 21434 資安標準雖已訂定3年了,在實作上仍面臨諸多挑戰,特別是資訊不一致將導致致命盲點反覆出現。奧義智慧研究團隊主張:引入 ATHENA 車載系統攻擊知識庫不僅使風險評估更全面、風險緩解更有效,同時也使 ISO/SAE 21434 生命周期 V 模型的訊息傳遞更加流暢,有利內部溝通與對外的情報交換。透過 ATHENA 賦予的共通語言,我們期待改變有如巴別塔般失語混亂的現狀,提升ISO/SAE 21434 資安標準的適用性與重要性。