freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

技術文章 l 關于汽車的資產定義 金幣
2020-06-16 20:09:24

008.jpg

1.??? 什么是汽車資產?

百度說,資產是指由企業過去的交易或事項形成的、由企業擁有或者控制的、預期

會給企業帶來經濟利益的資源。

****說,an asset is somethingvaluable or useful.

ISO 27001說,信息資產的定義是對組織有價值的知識或數據,也就是說,這些知識和數據能夠給組織帶來經濟利益或具有應用的價值,是組織賴以生產的根本,或者是企業的核心競爭力,是需要制定策略和技術手段進行保護的資產。

ISO21434說,An asset is something for which thecompromise of its cybersecurity properties can lead to damage to an item’s stakeholder(資產是指違背其網絡安全屬性會導致相關的利益相關者受損的事物)

從汽車信息安全的角度來說,汽車的資產就是與車輛相關,有價值的,且容易遭到黑客攻擊,對Stakeholder的安全、隱私、財產或操作性造成損害的物件,不僅僅只是車輛本身,從整個車輛生態簡單來說,也包括云、管、端(云服務器、通訊網絡、車載端)。

作為汽車設計人員,我們無法完全有效預測黑客的攻擊手段,也就只能基于已有的攻擊手段和安全事件,不斷迭代開發經驗,基于一定的攻擊假設,建立車輛的防護體系,

從汽車端來說,車上動輒上萬個零部件,每個零部件都很重要,那么從信息安全角度來說,到底哪些是需要重點保護的呢?我們首先要做的就是資產定義,按最新的ISO 21434里面也就是相關項定義(Item Definition)。

在ISO 21434的歷史版本里,還提到了候選資產(對項目相關利益者有潛在價值。如果候選資產的任何相關安全屬性的損失可能會對項目的相關利益者造成潛在的損害,則候選資產有資格成為資產)。至于item和Asset之間的關系,大致可以用下圖來表示:

007.png

2.??? 如何識別資產?

前面對于汽車資產的定義進行了闡述,想必大家對于資產有了大致的印象,那么從信息安全專業角度來說,我們到底該如何判定一個item是不是資產呢?

?? ?對于車輛本身而言,擋風玻璃,輪胎,后視鏡,玻璃水算不算資產?對于汽車來說肯定是資產,每個都有用且有價值,但是對于黑客來說是否有攻擊的價值呢?當然沒有,不然就不叫黑客了,那就是普通的強盜和小偷了。在這里就不得不引出相應的安全屬性了。

一般而言,會采用經典的CIA三個安全屬性進行潛在威脅場景的識別,從安全屬性破壞之后產生的后果,確定資產的重要程度以及對應的安全策略(定義來自CISSP認證考試指南)

機密性Confidentiality確保授權的用戶能夠對數據和資源進行及時和可靠的訪問,也就是重要信息不會泄露(eg:候選資產的保密性損失,客戶個人偏好的泄露可能導致損害場景,即泄露的個人信息可能在未經客戶同意的情況下被濫用(用于他們不同意的目的)。

完整性Integrality:保證信息和系統的準確性和可靠性,并禁止對數據的非授權更改,接收到的信息不會(eg:制動ECU(電子控制單元)收到的信息不完整,可能會對制動功能的正常工作產生不利影響,對車內人員造成身體傷害(傷害或死亡)。

可用性Availability:確保授權的用戶能夠對數據和資源進行及時和可靠的訪問

008.png

??通過識別候選資產的安全屬性,確定可能的損害場景,從而判定為資產,具體的操作思路如下,最新的ISO 21434已經不再這么提,但以下思路方法是沒有問題的。

009.png

3.??? 智能網聯汽車的到底資產有哪些?

前面,我們從理論邏輯的角度對汽車資產的識別做了闡述,那么汽車的資產到底有哪些呢?我們還是想參考之前的推文《智能汽車安全良好實踐》的內容,盤點下,對于一般的智能網聯汽車而言,資產到底涉及有哪些?

010.png

?? ?以上就是參考《ENISA good practices for security of smart cars》中列舉的資產,只是原文中以列表的形式呈現,我們進行了翻譯,并以思維導圖的形式呈現。按照信息安全傳統的“云管端”角度出發,基本覆蓋了大部分內容。云對應服務器、系統和云計算系統,管主要指通信方式,端包括車載內部通信組件,

那么可以說說傳統觀念之外的資產。

????資產里面怎么會有人?如果不特意解釋其實也很難理解,畢竟人到哪里都是重要資產,對于汽車而言,如果是L5自動駕駛車輛,主駕和副駕的人就會成為重要的資產,當然還包括OEM員工和操作工,他們有權限接入車輛,不管是遠程,還是物理的。

移動設備,比如IPAD和手機,由于可能擁有裝有汽車的應用程序,自然也是汽車資產的一部分。還有核心的算法,整車的功能執行單元等等。

?001.PNG002.PNG003.PNG004.PNG005.PNG006.PNG??

主? ?編:楊文昌?@Vincent Yang

主理人:李? ?強?@Keellee



本站歡迎投稿并提供免費定制化行業資料搜集
(后臺回復關鍵詞:資料獲?。?img alt="640?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=" src="https://mmbiz.qpic.cn/mmbiz_gif/Qo8XMCd7XbHDia2H2fW49FB4wzAEZszsgvYX6wptJoSIXQStw1Pe1lViakVibNoNy8fM2fBib5clAfj7sQEn5rz4HQ/640?wx_fmt=gif&tp=webp&wxfrom=5&wx_lazy=1">

青驥原創編譯 l 《智能汽車安全良好實踐》Part Ⅱ青驥原創編譯 l 《智能汽車安全的良好實踐》Part Ⅰ公益課堂 l ISO/SAE 21434標準概要介紹視頻課程公益課堂 l 車聯網信息安全攻防實踐視頻課

頂層設計 | 《車載信息交互系統信息安全技術要求》要點概覽頂層設計 | 《汽車網關信息安全技術要求》要點概覽頂層設計 | 《自動駕駛數據安全白皮書》要點概覽前沿技術 | ?KasperskyLab智能汽車安全研究報告前沿技術 | OWASP固件安全測評指南

青驥原創 l 關于ISO27001文檔編制及實踐難點青驥原創 l 關于ISO 27001及其實施難點

青驥原創 | 關于車載T-BOX的安全防護青驥原創 | 關于TISAX的簡要介紹

創事記 | 除了免費放送100+的公益資料干貨之外,我們還想 ...

? ? ? ? ? ? ? ? ? ? 誠邀關注同名FreeBuf專欄汽車信息安全

? ? ? ? ? ? ? ? ? ? ? ? ?? 希望伴君一路同行

? ? ? ? ? ? ? ? 做汽車信息安全知識的踐行者與傳播者

?

?

??

??

本文作者:, 轉載請注明來自FreeBuf.COM

# 汽車資產
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网