阿维塔TARA中的压轴题实践经验分享

TARA是什么？2023年12月7日，在2023中国汽车功能安全与质量管理峰会上，阿维塔数字安全-车辆安全负责人苏牧辰表示，TARA是ISO21434提出的网络安全的工具，是车联网安全工程师的饭碗。国内即将发布强标或已发布标准中已涉及TARA工作。TARA的核心价值包括风险管理、合规要求、资源分配、监控和改进四个方面。

TARA怎么做？苏牧辰介绍，首先要做整车资产梳理；其次进行TARA建模；最后是TARA结果分析。阿维塔的TARA实践整车由大到小层级有50+控制器。聚焦阿维塔智能座舱，苏牧辰对TARA建模还原、功能列表分析、功能威胁分析、敏感数据关键链路分析等实践过程进行了案例分享，以帮助行业伙伴更好地理解TARA。

苏牧辰 | 阿维塔数字安全-车辆安全负责人

以下为演讲内容整理：

TARA是什么

目前汽车承载的代码量比以前多了很多，以前传统燃油车上的代码量是1亿，现在我们平时用到的多功能，在车上可以听音乐，可以看视频，大概有4亿到5亿的代码量。到2025年，预测代码量会超过10亿，不仅有娱乐功能，而且智能驾驶本身所消耗的代码量很多，因为有一些本地的算力、模型等不是实时上云的，也有一些上云的交互。

在这么多代码量的新势力软件定义汽车的发展下，怎么去做TARA。首先TARA是什么？TARA是21434的ISO里面提出来的标准，简单说就是告诉大家现在车上有软件了，我们要怎么去保护整车的网络安全和信息安全。ISO的标准一直是从国际上首先提出，大家都要去跟着执行，强调的是网络安全。有各种各样的解读，里面定义了车上的网络安全该怎么分析，在传统互联网里面网络安全的标准已经定的清晰明了，比如什么样的漏洞是高危漏洞，我能黑到你的系统，拿到系统的权限，这个漏洞可能是高危漏洞。我只能造成一部分的信息泄露，且不是敏感信息，这样的漏洞造成的最终威胁也没有很大。在车上的场景就不一样了，车上的漏洞会有远控功能，手机发出来给到车云，车云再传给车，我在链路黑进去了，就会像速度与激情电影里面的批量实现控车，这样的漏洞就是车联网里的网络安全漏洞。

图源：演讲嘉宾素材

21434里面写到，漏洞影响了5000万以上的资产或者造成了人身安全才是严重漏洞，有非常多的定义。对于我来讲，TARA是什么？是工程师的饭碗。很多工程师在跟领导汇报的时候跟领导讲TARA是很复杂的概念，定义了网络威胁，我一般都会跟领导讲，这是我吃饭的工具，有了它才能体现工作的价值，TARA让我们有活可干。ISO21434是出海业务必做的，因为2023年、2024年这几年是出海元年，大家在国内卷的太厉害了，车都卖不动了，只能往海外卖，比如泰国、欧盟等市场，就要开始做ISO21434。

近几年，大家对信息安全和网络安全在车上的法律法规概念很模糊，到现在为止，没有一个特别完整的强标公开发布说一定要把网络安全做成什么样子。一般来讲，国内发布强标之后，会给各个车企整改期，针对新车型的整改期是一年，在2025年之后发布的新车型必须要按照标准拿到国际上的准入认证，才能去卖这款车，不然是没有卖车资格的。这也是信息安全行业的一大变革，直接影响到车辆的上市。第二，目前有的车企需要提前做的事是国家智能车L3的试点申报项目，因为我们隶属于长安，长安作为央企，首先要参与智能智驾的试点项目，这样的智驾试点项目里对TARA有明确的要求。 

TARA主要分为四点，传统来讲，本质是做风险管理的，要看车上有哪些资产，这些资产哪些部分会产生网络安全的风险，帮助满足合规要求。对安全工程师落实到工作中是在做什么呢？第一是做资源的分配，通过TARA分析可以看到整车网络安全的威胁到底在哪里，要搞清楚网络安全的工作都在哪些零部件上，公司内部的架构一般是网关、TBOX、智能驾驶和智能座舱的控制器，这四大控制器承载了整车80%的代码量，我会把工作信息安全的资源以及相应的资源分配、代码的审计工作以及漏洞的修复工作都分配到这四个控制器上，因为它占据了核心的威胁面和供给链路。TARA分析不仅可以在系统设计和实施之前进行，还可以作为持续的过程来监控和改进信息安全状况，并采取相应的措施进行修复和加固。

TARA怎么做

TARA怎么做？首先要做整车资产的梳理，有几大步骤。目前整个汽车上下挂的零部件很多，从智能座舱下面下挂了蓝牙，再下挂了氛围灯和香氛，需要我们定义重要零部件和重要信号功能，收集零部件固件及hsm相关信息。然后就是TARA建模，在梳理好资产之后，我们要用TARA建模的工具把整车的链路还原，需要将CAN、LIN等所有线路及信号传输。比如我们有整个信号矩阵，哪些信号走的是LAN网络，哪些信号走以太网络，它怎么走，从哪一个控制器到哪里都必须全量还原。最后才是结果分析，因为还原出来了之后才能看出哪一条攻击链路是直接暴露在外的。

难点在于定义核心资产，因为现在车很卷，加了很多有特色的功能在上面。上百个控制器怎么去定义？首先，要划分哪些属于资产。在这里特别要提的一点是数据和代码也属于资产，而且被国家分级分类的数据安全概念定义为核心重要资产。本身我买车，车属于硬件资产，但是现在对于各个生存的企业来讲，代码才是核心资产。

我们运用了麦肯锡的MECE理论进行分类，在绝对不相重合互斥的前提下，会找到信息安全工程师最终要去保护的是安全芯片，而不是其他的东西。数据也不是所有的数据都关注，主要关注的是敏感数据，敏感数据参照网络安全法L1到L4公开、密集、企业级别的数据。功能只关心安全相关的功能，就像业务功能，灯到底亮不亮的起来在网络安全这一块就不关注了，交给业务全权去管理。安全相关功能如加密、证书、鉴权、系统安全配置防火墙和白名单等。

图源：演讲嘉宾素材

定义出来后，哪些控制器里面才有可能有这些东西呢？首先，按电子电器架构主要分了大的安全域，再去看哪些控制器有代码，如果完全没有代码就不在网络安全和信息安全的管控范围内了，因为我没有办法进行通信。其次就是做不做OTA，如果一次就封板直接上车，我只需要审计一次，后面的工作量就不会重复审计，因为代码不会再变更。数据可能存在的地方分三层，一是系统型数据，系统配置文件里本身有密钥跟证书，这些都是L4级别，最加密级别的数据，我们会去审计它。二是框架层数据，框架层和相应的功能相关。比如我们可以通过人脸直接登陆座舱，人脸数据必定是会被车进行采集的操作，那数据会不会外露呢？这是我们关注的。三是应用层数据，2021年是中国的隐私保护法百年之大变革，现在我们在车上也有很多应用数据，比如你的行踪和轨迹。

阿维塔的TARA实践分享

按代码量和功能敏感性区分我们要做的保护，这次讲的保护对象是智能座舱。因为用户基本上90%以上的时间数据的交互产生在智能座舱里，因为你坐在车里。我们拿TARA的工具还原的建模中间是CDC，首先还原了它的外设，CDC控制器接的是用户直接交互的娱乐屏，仪表盘一般也是跟远端屏接着的。座舱的摄像头一般都在这个屏里面，它会采集你的人脸信息，会看你的手势操作，因为现在有一些手势操作都交互在CDC控制器里。

图源：演讲嘉宾素材

第二，CAN线和LIN线对传输的要求很高，要求速度非常快的信号，我们会让它走CANFD，这种实时的要打开童锁。第三，还原近端通信，因为大家经常在座舱里面用蓝牙给家人打电话，开车的时候连接WIFI。一般座舱里面的蓝牙是传统蓝牙，还有一种低功能蓝牙叫BOE，不怎么耗电一直都开着，会在数字钥匙上用到。CDC这一块还录入了能量管理、用户管理和额外车控的APP。

在还原完这些之后，我们会把所有的功能录入功能分析表，这个过程需要花一周，因为需要跟座舱的业务去对，尤其是人脸识别是为了识别你的情绪，车上会有一个功能是你不高兴了，它突然就跟你说你不要不高兴，我给你放一首歌。这些起来越时尚的功能越是我们需要注意的，因为越时尚越容易触及到信息安全的底线。我们后期添加了权限功能，用户可以设置它可以监听你多久，不能让它一直监听你，因为这个也跟网络安全相关。

目前远程控车除了四门两盖，四个车门，前备箱和后备箱之外，还可以远程开空调、远程备车，甚至现在还有无人AVP功能，把车仍在地库面前它可以自己去找一个位置停。这些都是通过车运的信号转发的，我们会把高敏的一些功能，看似很有特色的功能录入进去，然后进行威胁分析。如果蓝牙一直接收到莫名其妙的数据包，它崩了之后没有基础的抵御跟连接能力了，你就可以去植入一段恶意的攻击代码，通过植入的恶意工具代码你可以拿到座舱的权限，拿到权限后座舱在行驶的过程中，你打开它的车窗、车门和座椅都是有可能的。当然如果这个车本身的功能安全有一定的限制，比如行驶过程中没有办法开门，那这就是功能安全帮助信息安全做了一层防护。但是有的时候会从代码里发现功能安全可能缺失的链路，因为它没有防住这些功能。

测出漏洞之后我们做了评级。首先，对于发数据包把蓝牙搞崩这件事情是有补救措施的，所以我们会给几个攻击的步骤评级，比如作为一个黑客来讲，他需要学习一个月或者是六个月以上，专业技能要达到外行、精通、专家四个等级，什么样的等级才能做这个操作，综合地去评定威胁发生的可能性，最终评定威胁发生可能性还是极低的，因为需要非常高的代码基础，而且需要蹲点，需要他很亲近的人才能做这件事情，会分析这些攻击成本，最终找到哪些攻击是有可能的，是真的要去防的。因为如果所有的事情都去防，那么信息安全的工作就做不完了，成本也很高，大家也会想哪有那么多的黑客。所以我们会分析整个数据的链路，包括它的完整性、防窃听和防泄露，会把整个功能走通，看这个车有没有违规使用大家的数据。

最后，也是宣传一下我们的安全团队。我们安全团队不太一样的是，我们做了很多对标分析，并且招了自己的工程师，不是把所有的渗透委外给任何供应商做，原则是招会技术的同学，然后去一起做这些工作，会去支持业务，而不是给业务找茬，会告诉你我是帮你过合规标准。我们也做了自动化的平台，做了一些测试，有自己的研发团队去研发线上的工具，包括我会带我们的同学跟学术界做一些合作，每年发一两篇黑客的文章。

（以上内容来自阿维塔数字安全-车辆安全负责人于2023年12月7日在2023中国汽车功能安全与质量管理峰会发表的《阿维塔TARA中的压轴题实践经验分享》主题演讲。）