| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- 유니티
- gameplay effect
- unity
- widget
- os
- 언리얼엔진
- MAC
- local prediction
- linear regression
- stride
- CTF
- gas
- listen server
- animation
- gameplay ability system
- Multiplay
- 게임개발
- C++
- gameplay tag
- attribute
- 보안
- UI
- rpc
- Aegis
- 언리얼 엔진
- 게임 개발
- Replication
- photon fusion2
- ability task
- Unreal Engine
- Today
- Total
Replicated
TARA (Threat Analysis and Risk Assessment) 본문
TARA?
- 위협 식별, 분석 및 평가를 위한 총괄적인 프로세스
- 차량 라이프사이클 전반에 걸쳐서 수행될 수 있는 방법론
- 다양한 용어.. RA(Risk Assessment), SRA(Security Risk Assessment), TRA, HEAVENS(HEAling Vulnerablilities to ENhance Software Security and Safety)
ISO 21434는 총 15장 5개 그룹으로 구분
그 중 15장에 TARA 명시
최초 타라는 다 하고, 나중엔 필요한 모듈(TARA Method)만 사용
How는 없어서 산출물이 각기 다르게 나올 수 있음
TARA는 차량 라이프 사이클 각 단계(컨셉/제품개발/개발후)에서 활용됨
ISO 21434의 TARA는 특정 라이프 사이클에 종속되지 않으며, 사이버보안 엔지니어링을 위한 기반 제공
라이프 사이클의 어느 시점에서나 사용 가능
- 설계 단계(컨셉)
- 제품 개발 단계
- 개발 후 단계
TARA 프로세스
자신식별
- 영향 평가
- 위협 시나리오 식별
- 공격 경로 분석
- 공격 실현 가능성 평가
위험 값 계산
위험 처리 결정
자산 식별
자산의 정의
- 가치가 있다고 판단되는 모든 것
- 조직에게 가치가 있는 어떤 것
- 조직이 소유하거나 사용하는 가치가 있는 리소스
명시적 정의는 좀 다를 수 있는데 의미상으론
- 조직/이해관계자에게 가치가 있는 어떤 것
- 사이버보안 속성 손상 시 조직/이해관계자에게 피해를 줄 수 있는 어떤 것
자산 식별?
아이템 정의를 기반으로 자산, 사이버보안 속성, 피해 시나리오를 식별하기 위한 모듈
* 피해 시나리오: 자산의 사이버보안 속성의 손상으로 인해 초해되는 부정적인 결과
* 부정적인 결과는 아이템의 의도한 기능이 의도한대로 동작하지 않음으로써 발생할 수 있음
| 자산 | 사이버보안 속성 | 피해 시나리오 |
| CAN 프레임 (헤드램프 꺼짐) | 무결성 | 야간 주행 중 의도하지 않은 헤드램프 꺼짐 |
제조사마다 각기 다른 수준의 다산을 식별함
영향 평가
영향(Impact)
- 대미지 시나리오로 인한 피해 및 신체적 손상 규모의 추정치
- 피해: F(Financial), O(Operational), P(Privacy)
- 신체적 손상: S(Safety)
영향 평가
- 대미지 시나리오로 인해 발생할 수 있는 피해의 정도를 평가하는 모듈
- 심각한, 중대한, 적당한, 무시해도 될 만한 정성적 평가
- 정성적 평가니까 재검토 필요
영향 평가 카테고리
안전(Safety)
- 도로 사용자의 부상/생명 위험의 정도
ISO 26262-3:2018, 6.4.3 Classification of hazardous events로부터 도출
- 미국 자동차의학진흥협회(AAAM)의 약식손상정도(AIS) 기반으로 전문가에 의해 정성적 평가됨
재정(Financial)
- 직/간접적으로 발생할 수 있는 모든 금전적 손실의 정도
운영(Operational)
- 차량 기능 저하/상실의 정도
개인정보(Privacy)
- 도로 사용자의 개인 정보 유출의 정도
- 개인 식별 정보(PII, Personally Identifiable Information)와 개인 정보 주체(PII Principal)에 관한 내용은 개인정보 프레임워크 표준(ISO/IEC 29100)을 따름
- PII: 개인정보 주체와 직접/간접적으로 연결될 수 있는 정보
- PII Principal: PII에 연관된 자연인 (데이터 주체로도 불림)
위험 시나리오 식별
위협(Threat)
- 어떤 시스템이나 조직에 피해를 일으킬 수 있는 사건의 잠재적인 원인
위협 시나리오(Threat scenarios)
- 대미지 시나리오로 이어지는 잠재적인 부정적 해동에 대한 서술
위험 시나리오 식별
- 피해 시나리오를 야기시킬 수 있는 위협 시나리오를 식별하기 위한 모듈
- 방법: 체계적인 위협 모델링 프레임워크 활용(STRIDE, PASTA, TVRA), 전문가 집단에 의한 그룹 토론
STRIDE 위협 모델링 방법론
| 스푸핑 | 진본성 (인증) |
| 조작 | 무결성 |
| 부인 | 부인 방지 |
| 정보 유출 | 기밀성 |
| 서비스 거부 | 가용성 |
| 권한 상승 | 인가 |
| 피해 시나리오 | 위협 시나리오 |
| 야간 주행 중 의도하지 않은 헤드램프 꺼짐 | 헤드램프 스위치 오프 요청 CAN 메시지의 스푸핑으로 인해 [피해 시나리오] 발생 |
| Body Control Unit으로부터 송신된 CAN 프레임의 조작으로 인해 [피해 시나리오] 발생 |
공격 경로 분석
위협 시나리오를 달성할 수 있는 일련의 경로/행위 식별을 위한 모듈
- 위협 시나리오가 실현될 수 있는 방법을 추론하여 공격 트리 또는 공격 그래프 작성
노드 구분
- 루트 노드: 공격자의 최종 목표, ISO/SAE 21434에서는 위협 시나리오가 루트 노드
- 중간 노드: 루트 노드와 중간 노드를 이어주는 노드, 존재하지 않거나 필요에 따라 하위 리프 노트를 모두 아우루는 내용으로 구성
- 리프 노드: 공격 트리의 말단 노드, 상위 노드를 달성하기 위한 노드로 구성
공격 트리 노드 간 관계
- AND 관계: 하위 노드가 모두 필수 조건. 하위 노드가 모두 충족해야 하며, 절차의 의미. 노드 사이에 ˄ 아이콘 표시
- OR 관계: 하위 노드 중 하나의 노드만 충족해도 상위 노드가 충족. 아무런 표시 안함
레벨(Depth)
- 공격 트리의 레벨은 위협 시나리오 및 공격 트리 작성자에 따라 달라짐
- 5단계 이상 -> 재구성 또는 분리 검토
공격 경로
- 공격 트리에는 위협 시나리오를 실현하기 위한 모든 행위가 포함되어 있음. 노드 간 관계에 따라 다양한 공격 경로 식별 가능
공격 실현 가능성 평가
식별된 공격 경로에 대한 실현 가능성의 정도를 평가하는 모듈
Attack potential 기반 접근법
- ISO/IEC 18045에 정의되어 있는 평가법
- 평가 항목: 경과 시간, 전문 지식, 아이템에 대한 지식, 접근 기회, 장비
- 유일하게 표준이고 대부분 사용
CVSS 기반 방법론
- 평가항목: 공격 벡터, 공격 복잡성, 권한 필요 여부, 사용자 상호 작용을 포함하는 기본 메트릭 그룹
Attack Vector 기반 접근법
- CVSS 공격 벡터와 동일. 제품 세부 정보가 충분하지 않은 단계에서 사용 가능한 평가법
- 평가 항목: 공격자의 공격 수행 위치 (원격, 근접, 로컬, 물리적)
Attack potential 기반 접근법
- 경과 시간 (Elapsed Time)
- 전문 지식 (Specialist Expertise)
- 아이템/컴포넌트에 대한 지식 (Knowledge of the item or component)
- 공격 대상에 대한 접근 난이도 (Window of Opportunity)
- 장비 (Equipment)
평가 요소(5개) 점수의 합으로 최종 공격 실현 가능성 평가 등급 산정
공격이 어려울 수록 점수가 높게 평가, Very Low쪽에 가깝게 됨 (Very Low, Low, Medium, High)
* 하위 노드가 OR일 경우 작은 값이 상위 노드에 반영
위험 값 계산
위협 시나리오 별 위험 값을 계산하는 단계
위험 값
- 영향 평가 결과 + 공격 실현 가능성 평가 결과를 기반으로 계산
- 위험 값은 5단계로 구성, 위험도가 낮을수록 숫자가 낮음
- x축은 피해 정도, y축은 가능성
위험 처리 결정
위협 시나리오 별 위험 처리 옵션을 결정 및 근거 작성을 위한 모듈
위험 완화
- 위험을 감소시키기 위해 적절한 보안 대책 적용
위험 수용
- 현재 위험을 그대로 수용(잠재적 손실 비용을 감수)
위험 공유
- 위험을 제 3자에 공유
위험 근원 제거
- 위험을 야기시키는 요인(아이템의 기능, 특정 인터페이스)을 제거함으로써 위험 제거
TARA Method들은 ISO/SAE 21434의 요구사항에 매핑됨
정리
TARA: 위협을 식별, 분석 및 평가를 위한 총괄적인 프로세스
자신식별
- 영향 평가
- 위협 시나리오 식별
- 공격 경로 분석
- 공격 실현 가능성 평가
위험 값 계산
위험 처리 결정
타라는 주기적으로 반복성 활동
'학부 > 스마트카 소프트웨어 보안' 카테고리의 다른 글
| ISO/SAE 21434 (0) | 2025.06.07 |
|---|---|
| UNR No.155 - Annex 5 / 보안 솔루션 (0) | 2025.06.07 |
| UN Regulation No.155, ISO/SAE 21434 / CSMS, VTA (0) | 2025.06.07 |
| 스마트카 Infotainment 시스템 해킹 (0) | 2025.06.07 |
| CAN 버스 리버스 엔지니어링 (0) | 2025.04.13 |