威脅分析與風險評估

威脅分析與風險評估(Threat Analysis and Risk Assessment)簡稱TARA,是識別、評估及管理威脅及風險的工具。此方法可以用來管理IT相關威脅的風險,在汽車網路安全標準ISO/SAE 21434的第15章[1],也有定義相同名稱的方法,用在汽車網路安全上。TARA讓組織可以識別潛在的危害及風險,提出適當的對策,以提升其系統、網路及資料的安全性[2]

流程

依照MITRA所述,IT應用的TARA流程是由以下幾個步驟所組成[3]

  1. 系統及資訊建模:識別要保護的系統、網路及資料,並以簡圖呈現其關係。
  2. 威脅識別:識別系統、網路及資料中潛在的威脅及弱點。
  3. 風險評估:用識別到威脅及弱點的可行性,以及其影響的程度評估其風險。
  4. 風險處置:選擇適合的措施,來減少或消除識別到的風險。
  5. 監控及審查:定期的監控所實施的措施,確認是否有效,若有需要,也可以再進行調整。

依照ISO/SAE 21434,汽車網路安全的TARA可以分為以下的步驟:

  1. 資產識別:找到網路安全資產,以及其擁有的網路安全屬性(機密性、完整性及可用性)。
  2. 威脅場景識別:找到資產的網路安全屬性可能會受到威脅的場景,並加以說明。
  3. 影響評級:針對資產的網路安全屬性被破壞,用安全、財產、運作及隱私四個層面來評估影響。
  4. 攻擊路徑分析:利用攻擊樹分析,找到可以造成威脅場景的攻擊路徑。
  5. 攻擊可行性等級:根據攻擊路徑的內容評估其攻擊可行性
  6. 風險確認:針對每一個威脅場景,用攻擊可行性以及安全、財產、運作及隱私四個層面的影響評級,評估這四個層面的風險,風險值以1-5表示。
  7. 風險處理確認:依風險大小決定要如何處理風險。

應用場合

IT應用中的TARA可以用在許多的場合中,例如:

  • IT安全:識別使用資訊科技時,會出現的威脅和風險,並加以處理。
  • 風險管理:在商業流程、專案及決策時,評估及處理風險。
  • 合規:確認有符合安全標準、法律規範以及最佳實務。

汽車網路安全的TARA可以用在以下的場合:

  • 在產品概念定義時,確認風險大小、安全目標,及要如何處理風險。
  • 在需求分析及架構設計時,確認是否有未考慮到的風險。
  • 在測試驗證時,確認TARA是否完整,是否有未考慮到的風險。
  • 在持續網路監控時,也是運用TARA新發現漏洞的風險及影響。

優點

組織進行TARA有以下的優點:

  • 系統化的識別會影響系統、網路及資料安全性的威脅和風險,並且加以評估。
  • 可以協助選擇措施,並且依照特定威脅及風險調整,然後實施。
  • 透過對實務措施的持續監控及改善,可以提昇IT安全及風險管理。
  • 有助於符合安全標準、法規需求以及最佳實務。

缺點和挑戰

TARA方法有其優點,但也有其缺點。

TARA方法的品質會依進行此流程的知識和經驗有很大的變化。若相關知識不足,有可能無法完整識別威脅和風險,或是識別錯誤。TARA方法需要有持續監控並且評審的流程,確保所實施的措施是有效的。對於小的組織來說,這很花時間,也需要許多的資源。TARA方法有時也可能高估了風險,造成組織過度的安全措施,並且產生不必要的支出。

相關方法及標準

  • ISO/IEC 27005:ISO有關資訊風險管理的標準
  • NIST SP 800-30:美國NIST風險評估的指南
  • OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation):CERT協調中心提出的方法
  • 資訊風險因素分析,簡稱FAIR

參考資料

  1. International Organization for Standardization. . [2023-04-26]. (原始内容存档于2021-04-08).
  2. . [2023-04-27]. (原始内容存档于2023-05-01) (德语).
  3. (PDF). Mitre Corporation. [2023-04-27]. (原始内容存档 (PDF)于2023-05-31).

文獻

網頁

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.