威胁分析和风险评估实践

资产是指与评估对象相关且对利益相关者至关重要并值得加以保护的事物。例如互联网通信渠道、加密密钥以及安全目标等均属于资产范畴。资产的重要性不仅体现在利益相关者身上——他们能够从资产的功能中获益，同时也体现在威胁行为者身上——他们可能会利用资产来破坏系统。

因此，关键任务是列出您持有的资产。然后系统地确定以下这些资产的网络安全属性：

• 机密性
• 完整性
• 可用性
• 不可否认性
• 可核查性
• 授权

接下来，通过评估资产的网络安全属性被破坏后可能发生的情况，来确定损害场景。

这一步聚焦于评估损害场景对利益相关者可能产生的多方面后果，涵盖安全、财务、运营和隐私等领域。ISO 21434 提供了科学的指导方法，帮助制造商确定损害场景的严重性。值得注意的是，同一损害场景对不同利益相关者的影响程度存在差异。

至此即完成了目标1：精准评估损害的影响。

在此步骤中，我们将重新审视资产，挖掘可能的威胁场景。威胁场景是损害场景实现的潜在途径。在威胁场景分析中，我们将尝试确定当资产的安全属性受到侵害，从而引发威胁场景时，将会发生什么。有多种方法可以确定损害场景。例如，如果某交换机损坏，那么该损坏场景可能会引发威胁场景，比如欺骗或淹没控制器局域网（CAN）总线。

接着，我们要思考潜在攻击者为了让威胁场景发生，必须遵循的路径，这被称为攻击路径。例如，在前面步骤中提到的被破坏的交换机位于车辆中部。要破坏CAN总线，攻击者必须找到一条通往系统的路径。这一步的目标就是识别出这条路径。

ISO/SAE 21434标准并未考虑入侵者及其可能的动机，而是专注于攻击在技术上的可行性，反向推导出针对受损网络安全属性的攻击若要成功，必须如何配置。

联合国欧洲经济委员会（UNECE）的UN R155和R156法规提供了一份漏洞示例清单。确定这些漏洞是否与您的系统相关，并识别额外的威胁场景。

并非所有理论上可能的攻击在实践中都是可行的。例如，加密技术可能会使某种可能的攻击变得不太可能。在本步骤中，我们将通过考虑五个关键参数来判断攻击者成功实施攻击的可能性：

1. 所需时间 
2. 所需的专业知识  
3. 产品知识  
4. 所需设备  
5. 机会窗口 

一旦确定攻击者成功发动攻击的可行性之后，我们便就完成了目标2：评估攻击的可行性（也称为易攻击性）。

在本步骤中，我们将影响评级（相关损害场景的影响，目标1）和攻击可行性评级（攻击路径的可行性，目标2）的结果进行综合：

风险值=影响×攻击可行性

由于利益相关者可能以不同的方式评估风险，所以对于每个利益相关者，我们都必须采用不同的风险值。

执行这一步即完成了目标3：确定风险值。

制造商面临多种风险处理选项：

• 规避 
• 降低 
• 分担或转移给第三方 
• 接受风险 

适当的风险降低方法是制定安全控制措施（技术或组织方面）或引入冗余机制。对风险转移感兴趣的第三方是保险公司。您需要决定如何管理这些风险。

确定网络安全控制措施的有效性可能是一项挑战，但这在风险评估中是一项关键活动。

基于 TARA 结果和风险处理决策，明确网络安全目标和声明。若选择规避风险，需考虑替代技术解决方案。

落实网络安全目标即完成TARA目标4。

网络安全概念源自网络安全目标，并描述了如何将这些目标付诸实践。从目标中推导出需求，并将这些需求分配到您的架构中——即您系统和组织的相关组件。网络安全概念包括这些需求及其在架构中的分配。

明确网络安全概念即完成了目标5：全面捕捉网络安全需求及其分配。

以上是根据ISO/SAE 21434要求执行TARA的基本步骤。该标准要求制造商定期进行TARA检查。