威脅分析與風險評估
威脅分析與風險評估(Threat Analysis and Risk Assessment)簡稱TARA,是識別、評估及管理威脅及風險的工具。此方法可以用來管理IT相關威脅的風險,在汽車網路安全標準ISO/SAE 21434的第15章[1],也有定義相同名稱的方法,用在汽車網路安全上。TARA讓組織可以識別潛在的危害及風險,提出適當的對策,以提升其系統、網路及資料的安全性[2]。
流程
依照MITRA所述,IT應用的TARA流程是由以下幾個步驟所組成[3]。
- 系統及資訊建模:識別要保護的系統、網路及資料,並以簡圖呈現其關係。
- 威脅識別:識別系統、網路及資料中潛在的威脅及弱點。
- 風險評估:用識別到威脅及弱點的可行性,以及其影響的程度評估其風險。
- 風險處置:選擇適合的措施,來減少或消除識別到的風險。
- 監控及審查:定期的監控所實施的措施,確認是否有效,若有需要,也可以再進行調整。
依照ISO/SAE 21434,汽車網路安全的TARA可以分為以下的步驟:
- 資產識別:找到網路安全資產,以及其擁有的網路安全屬性(機密性、完整性及可用性)。
- 威脅場景識別:找到資產的網路安全屬性可能會受到威脅的場景,並加以說明。
- 影響評級:針對資產的網路安全屬性被破壞,用安全、財產、運作及隱私四個層面來評估影響。
- 攻擊路徑分析:利用攻擊樹分析,找到可以造成威脅場景的攻擊路徑。
- 攻擊可行性等級:根據攻擊路徑的內容評估其攻擊可行性
- 風險確認:針對每一個威脅場景,用攻擊可行性以及安全、財產、運作及隱私四個層面的影響評級,評估這四個層面的風險,風險值以1-5表示。
- 風險處理確認:依風險大小決定要如何處理風險。
應用場合
IT應用中的TARA可以用在許多的場合中,例如:
- IT安全:識別使用資訊科技時,會出現的威脅和風險,並加以處理。
- 風險管理:在商業流程、專案及決策時,評估及處理風險。
- 合規:確認有符合安全標準、法律規範以及最佳實務。
汽車網路安全的TARA可以用在以下的場合:
- 在產品概念定義時,確認風險大小、安全目標,及要如何處理風險。
- 在需求分析及架構設計時,確認是否有未考慮到的風險。
- 在測試驗證時,確認TARA是否完整,是否有未考慮到的風險。
- 在持續網路監控時,也是運用TARA新發現漏洞的風險及影響。
優點
組織進行TARA有以下的優點:
- 系統化的識別會影響系統、網路及資料安全性的威脅和風險,並且加以評估。
- 可以協助選擇措施,並且依照特定威脅及風險調整,然後實施。
- 透過對實務措施的持續監控及改善,可以提昇IT安全及風險管理。
- 有助於符合安全標準、法規需求以及最佳實務。
缺點和挑戰
TARA方法有其優點,但也有其缺點。
TARA方法的品質會依進行此流程的知識和經驗有很大的變化。若相關知識不足,有可能無法完整識別威脅和風險,或是識別錯誤。TARA方法需要有持續監控並且評審的流程,確保所實施的措施是有效的。對於小的組織來說,這很花時間,也需要許多的資源。TARA方法有時也可能高估了風險,造成組織過度的安全措施,並且產生不必要的支出。
相關方法及標準
- ISO/IEC 27005:ISO有關資訊風險管理的標準
- NIST SP 800-30:美國NIST風險評估的指南
- OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation):CERT協調中心提出的方法
- 資訊風險因素分析,簡稱FAIR
參考資料
文獻
- Andreas Puder, Jacqueline Sax, Eric Henle. 28. MPDI. 2023. doi:10.5445/IR/1000157846 (英语).
- Georg Macher, Eric Armengaud, Eugen Brenner, and Christian Kreiner. 28. 2016. doi:10.1007/978-3-319-45477-1_11 (英语).
網頁
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.