使用TMT工具进行威胁分析及风险评估(TARA)
总所周知,进行产品的安全研发,大家都会提到威胁分析及风险评估(TARA)活动,那么,为什么需要做威胁分析和风险评估活动呢?安全,本质其实就是信任的问题,就是因为存在信任问题,我们才需要考虑做安全的产品,而TARA活动,正好可以指导我们进行不信任关系的梳理,脆弱点的识别,威胁的分析,风险的评估,进而确定我们是否需要采取相关安全措施解决各种脆弱点,确保不信任的关系必须经过合法的校验才能进行系统和服务的访问;
一、TARA相关活动介绍
TARA活动,可以认为包含以下几个大的活动,资产识别及等级划分,构建数据流图(DFD),划分信任边界,威胁分析,风险评估;
资产识别及等级划分,即对整个系统进行分析,识别出相关的重要资产,并对相关资产进行等级划分,其中,资产可以包括数据流,数据存储器,进程,硬件设施等;
构建数据流图(DFD),即画出系统业务逻辑图,包括各组件及其通信框架,外部访问接口,数据存储即使用,通信协议等;
划分信任边界,即在DFD图的基础上,分析安全边界,安全域,确定信任关系;
威胁分析,即在DFD图的基础上,分析相关脆弱点,识别威胁,当然,威胁还可能会产生在研发过程的各个阶段,在各研发阶段进行识别并分析,最后对威胁进行相关打分,评价;
风险分析,对于威胁分析的结果进行风险评估,对风险进行打分,评价,最后确定该风险如何处理;
二、使用TMT工具进行TARA活动
按照以上TARA活动指导步骤,结合TMT工具,进行一个小的实例:对一个带有数据库的web应用进行威胁建模分析,其中限定只能通过web浏览器访问:
资产识别及等级划分,首先对资产进行识别即等级划分,其中有两个重要资产,web应用,数据库(Database),在此简单系统中,可认为等级都为高(资产等级的划分也可以依据项目实际情况进行划分方案的制订),对TMT工具模板进行定制化,对资产进行增加,删除等;
构建数据流图(DFD),即画出系统的业务逻辑图。
在TMT工具中,对威胁进行定制化,形成项目的定制化威胁库。
威胁分析,利用TMT工具进行威胁分析,自动生成威胁列表
风险分析,进行风险打分及决策是否进行相关风险处置
使用TMT工具进行威胁分析及风险评估(TARA)相关推荐
- 车辆网络安全的未来(上):车辆开发中的威胁分析、风险评估和安全设计、漏洞分析
简介 随着车辆的数字化变革,新的移动出行社会正在迎来黎明.用户所追求的便利性与不断落地的CASE(智能网联.自动化.共享和电动化)技术所提供的服务之间的差距也越来越小,下一代移动出行社会正在塑造.另一 ...
- 汽车工程师如何敲出更“安全”的代码,“硬核”工具春天来了
"软件供应链安全在2022年将比以往任何时候都更加重要,"近日在CES展上,黑莓公司预测,进一步加大软件定义汽车的开发模式进入深水区,安全.可靠的用户体验将成为重要里程碑,汽车制造 ...
- 车辆网络安全ISO/SAE 21434解读(十)TARA分析
一. 概述 威胁分析和风险评估 (Threat analysis and risk assessment methods, 后文简称TARA)通过识别整车/系统的网络安全资产,分析其的潜在安全威胁 ...
- 汽车网络安全渗透测试
"转载自维克多汽车技术(上海)有限公司,作者Vector China" 产品和企业IT的融合引发了新的网络安全风险,从功能安全到数据隐私都面临潜在威胁.汽车行业正在使用各种方法进行 ...
- 软件定义汽车产业生态创新白皮书
1 什么是软件定义汽车 1.1 驱动因素 汽车"新四化"的发展需要软件的加持 据大众汽车公开披露信息,未来平均每辆普通汽车软件代码量超 1 亿行.在电动化.智能化和网联化等的发展推 ...
- 特斯拉频繁遭遇黑客攻击,智能汽车都存在安全“漏洞”?如何查找?
云驰未来是专注智能网联汽车信息安全的产品技术公司,近期重磅发布了国内第一款高度自动化的威胁分析与风险评估(TARA)工具--InTARA,解决了主机厂在TARA分析工作的相关痛点及难题. 随着智能网联 ...
- 智能网联汽车风险评估方法EVITA
EVITA全称E-Safety Vehicle Intrusion Protected Applications,电子安全车辆入侵防护应用.EVITA本身是由欧盟委员会资助的一个项目,始于2008年, ...
- 智能网联汽车信息安全开发解决方案
智能网联汽车信息安全开发解决方案 概述 智能网联汽车为用户带来了多样便捷的使用体验,信息安全问题引发的安全风险和威胁不容小觑.近年来国内外标准组织和机构密集出台多个法规或标准,作为智能网联汽车准入的关 ...
- 42 位专家,12 场演讲,龙蜥社区系统安全 MeetUp 精彩回顾来啦
近日,龙蜥社区系统安全 MeetUp 圆满结束,来自 Arm.阿里云.海光.Intel.统信软件.AMD.达摩院.蚂蚁集团.中科微澜及北京大学等 42 位专家.学者和意见领袖参加了本次活动.会上正式发 ...
- 逾百位开发者到场,超 2 万人线上观看!龙蜥社区开发者服务 devFree MeetUp 精彩回顾来啦
春末夏初,细雨漫漫,龙蜥社区迎来了首届开发者服务平台(devFree)线下 MeetUp.此次沙龙吸引了不少来自行业头部公司.机构的代表参与主题分享,现场更是有百余位业内的专家与开源技术爱好者.工程师 ...
最新文章
- 算法鼻祖高德纳,82 岁仍在写《计算机程序设计的艺术》
- 运筹学两阶段法编程c语言,运筹学上机实验 - 单纯形方法的两阶段法
- psycopg2 mysql_使用psycopg2操作PostgreSQL数据库之二
- 谈谈java的并发容器、Queue
- 如何利用CNKI句子检索功能提高研究效率
- 什么电脑的牌子好用_你觉得电脑好用还是手机好用?为什么?
- 10.27 sort
- 从CMDB动态获取服务器列表,按照Ansible的约定
- 前端学习(1666):前端系列实战课程之仿造qq发送消息思路
- python云端系统开发入门_Python云端系统开发入门
- linux无法关机 grub2,Ubuntu关机卡住无法关机如何解决?
- Python精通-Python字符串格式化操作
- 程序员:如何成为一个全栈的工程师? 1
- tp5完全开发手册_TP5.1解决跨域
- 台式计算机拆机步骤ppt,三相异步电动机拆装的方法和步骤.PPT
- MySQL 8.0 可以操作 JSON 了!!
- c语言订餐系统项目范例,C语言订餐系统.doc
- 算法:求10万以内的质数
- 双栈完全解决计算器问题
- 使用循环完成剪刀石头布游戏