如何解決 ISO/SAE 21434 資安整合難題？建議導入 ATHENA 車載系統攻擊知識庫

‍

2023 年 12 月，臺灣資安公司奧義智慧科技 (CyCraft Technology) 資深資安威脅研究員林殿智 (Tien-Chih Lin) 在 2023 歐洲黑帽安全大會工具展示空間 (Black Hat Europe 2023 Arsenal) 上，發表了奧義智慧針對車載資安的研究成果：「ATHENA：車載系統攻擊知識庫」 (ATHENA: Advanced THreat knowlEdge-base for Networked Automotive)。

奧義智慧研究團隊發現在汽車產業 ISO/SAE 21434 資安標準生命周期中，不易整合各種資安解決方案的問題，並建議使用奧義智慧開發的 ATHENA 車載系統攻擊知識庫因應相關挑戰。我們以實際案例示範了 ATHENA 在生命周期各階段的應用情境與方法，再次強調「資訊傳遞一致性」在實作資安標準時的重要性。

‍

閱讀本文，你可以知道：

1. 汽車產業 ISO/SAE 21434 資安標準的應用難題。
2. 奧義智慧 ATHENA 車載系統攻擊知識庫的應用方式與重要性。

‍

UNECE WP.29 R155 與 ISO/SAE 21434

近年來，資安研究人員在車載系統中持續發現漏洞和攻擊情境，聯合國歐洲經濟研究會 (UNECE) 所屬的世界車輛法規協調論壇 (WP.29) 為因應車載系統的資安挑戰，於 2020 年 6 月頒布 R155 法規，要求建立網路安全管理系統 (Cyber Security Management System，CSMS)。為了符合法規的強制要求，國際標準化組織 (ISO) 和國際汽車工程師學會 (SAE) 於 2021 年 8 月發布了《道路車輛－網路安全工程》(Road vehicles — Cybersecurity engineering，ISO/SAE 21434) ，為全球汽車製造商提供一個可遵循的車載資安框架，以有效增強汽車資安措施。

ISO/SAE 21434 生命周期的核心遵循 V 模型（如圖1），從左上經過底部後終止於右上。此模型起始於：概念 (Concept) 和設計 (Design) 階段，從這兩類廣泛的高層次概念收斂成更具體的實作 (Implementation) 階段，訂定實作細節和規範。在驗證 (Verification) 階段檢驗實作細節，確保符合設計階段時確立的規格。最後，在認證 (Validation) 階段則會確認是否與概念階段設定的原始資安目標 (Cybersecurity Goal) 一致。

‍

‍

ISO/SAE 21434 的系統性問題

奧義智慧研究團隊之所以發現 ISO/SAE 21434 的系統性問題，來自於尋求我們顧問輔導的一位客戶，該客戶正準備進入 ISO/SAE 21434 實作。客戶用以實作的目標網路架構核心為 CAN Bus，並透過 Gateway 將網路切割為三個不同的使用情境，其中可對外連網的是 T-Box；Body Control ECU 則是一個將電子訊號轉換為物理控制的系統（圖2）。

‍

‍

對應 ISO/SAE 21434 生命周期 V 模型，客戶自評的整體概況為（圖3）：

1. 概念階段：

• Body Control ECU 為最大隱憂，必須採取保護措施防範網路攻擊。

2. 設計與實施階段：

• 引入 ECU Protection 解決方案。

3. 驗證階段：

• 尋求第三方團隊進行全車滲透測試 (Full Vehicle Penetration Testing)。

針對客戶的自評方案，我們認為因 Body Control ECU 位於 CAN Bus 上、難以驗證訊號發送者的身份，即便引入了 ECU Protection 也只能防止程式執行流程不被篡改，但無法防範更容易遭遇的欺騙攻擊 (Spoofing Attack)。當驗證階段發現實作階段的方案無法解決風險時，客戶固然可以進入第二輪的 V 模型，重新開始下一輪的概念初評；然而，客戶尋求的第三方全車滲透測試可能是從外部連網設備開始驗證，無法檢測到內部的 Body Control ECU，也無法發現解決方案的無效。

‍

‍

在輔導過程中，我們提出了客戶自評方案的以下問題：

1. 概念階段：

• 缺乏攻擊技巧的全局視野，難以全面盤點所有風險。
• 不清楚攻擊原理，難以制定有效的偵測和緩解措施。

2. 設計與實施階段：

• 誤解偵測和緩解措施的有效範圍，導入無效的解決方案，甚至誤以為威脅已成功緩解。

3. 驗證與認證階段：

• 缺乏全面性的驗證計畫，無法確實驗證解決方案。

為什麼在實作 ISO/SAE 21434 時會產生上述問題呢？奧義智慧團隊在深入分析後，發現一個根本上的系統性問題：不同階段間的訊息落差（圖4）。概念階段的訊息不足－例如威脅分析與風險評估 (Threat Analysis and Risk Assessment，TARA) 的結果無法具現化成可執行的策略－會使設計和實施階段難以執行，繼而使驗證和認證階段產生混亂。雪上加霜的是，V 模型是一個連續且迭代的流程，訊息不一致將導致盲點持續產生，造成模型中的各階段問題被隱藏且難以解決。

‍

‍

ATHENA 車載系統攻擊知識庫作為解法

ATHENA（Advanced THreat knowlEdge-base for Networked Automotive）是一個由奧義智慧開發、全面且全球通用的車載系統攻擊知識庫。我們依據 MITRE ATT&CK® 框架，統整了針對車載安全的 TTPs，為汽車產業資安威脅和解決方法提供了關鍵的知識模型。在首次釋出中，我們主要盤點攻擊戰術 (Attack Techniques)，未來釋出的版本將進一步補充攻擊技術的內容，包括相應的緩解和檢測方法等。

‍

‍

ATHENA 車載系統攻擊知識庫能與 ISO/SAE 21434 的 V 模型良好整合（圖6）：在概念階段，ATHENA 可以補足並統一 TARA 的結果，產生可執行的偵測和緩解策略供下一階段使用；在設計與實作階段，透過 ATHENA 可以有效量化各解決方案適用的偵測和緩解範圍，協助使用者根據這些資訊規劃防禦策略；在驗證與認證階段，ATHENA 將比對概念階段的高風險攻擊路徑資訊，以及設計與實作階段之解決方案宣稱可緩解的威脅資訊，協助汽車資安團隊制定完整且一致的驗證計畫。

‍

ATHENA 車載系統攻擊知識庫應用：案例分析

在先前的客戶輔導案例中，我們發現了潛藏在 ISO/SAE 21434 的 V 模型裡的系統性問題。接著，我們將導入 ATHENA 車載系統攻擊知識庫，以解決該模型的資訊不一致狀態。

‍

1. 概念階段

概念階段的主要任務是威脅分析與風險評估，因此我們先依照各裝置的屬性，利用 ATHENA 過濾掉不相關的攻擊手法，盤點出該裝置所有的潛在攻擊矩陣 (Potential Attack Matrix) 。透過矩陣我們觀察到： T-Box 因為有較多的對外連線功能，所以有較多的 Initial Access 攻擊面。相反地，IC 與 Gateway 並未直接連接到外網，因此缺少 Initial Access 攻擊面（圖7）。

‍

‍

潛在攻擊矩陣盤點完成後，我們接續根據攻擊技術與裝置連線狀況，建立兩者的關聯圖。加上依照不同裝置之重要性預先定義好的權重，我們可以得到一個加權圖（圖8）。

‍

我們利用現有的圖論演算法進行路徑搜索，列舉出所有潛在的攻擊路徑，再搭配權重分析，即可將攻擊路徑依據風險高低排序，進而鎖定最高風險的攻擊路徑。在高風險攻擊路徑中，我們還能清楚拆解攻擊路徑的不同階段：以圖 9 此路徑為例，攻擊者可先透過四種 Initial Access 攻擊技術取得 T-Box 權限，以 Lateral Movement 移動到 Gateway。最後，再次利用 Lateral Movement 技巧控制 Body Control ECU，造就五種不同的攻擊衝擊。

‍

‍

在描繪出由攻擊技術組成的攻擊路徑後，我們可以列出相對應的偵測和緩解方法清單，開展下一階段的設計與實作。

‍

2. 設計與實作階段

在設計與實作階段，首先需要根據概念階段評估出的風險，設計實作需求，並實際導入因應的解決方案。有了 ATHENA 分析後的加權圖與高風險攻擊路徑，尚需迅速了解風險分布範圍和數量，於是我們引入 Sounil Yu 提出的 Cyber Defense Matrix 矩陣，以識別風險針對的資產以及該風險可以在哪個階段處理

由於每一條攻擊路徑皆涵蓋多個攻擊手法、各攻擊手法也對應到多個偵測緩解方法，不同高風險攻擊路徑所對應的偵測緩解方法一定有所重複。將偵測和緩解方法清單投影到 CDM 矩陣後，我們即可獲得一個帶有計數器的 CDM 矩陣，此計數器可統計各偵測緩解方法重複的次數，重複越多次代表此偵測緩解方法可以緩解多個攻擊手法。

帶有計數器的 CDM 矩陣真的能有效評估緩解方法嗎？透過 ATHENA 和 CDM 矩陣的疊加（圖 10），可發現相對於其他層級來說，網路層 (Networks) 高於 30 分的項目明顯較多，意味著需要對網路層採取更多的偵測和緩解措施。一如奧義智慧研究團隊對客戶自評結果的判斷：由於客戶使用的主幹網路 CAN Bus 是一種多用於汽車和工業內部控制、未考慮資安風險的網路協定，雖然低成本、高即時但易受攻擊，因此在網路層級上，的確對偵測和緩解方法有更高的需求。由上可知，ATHENA 投影至 CDM 矩陣上所得的資訊與資安專家判斷一致，可提供具專業度且可執行的評估結果。

‍

‍

3. 驗證與認證階段

在驗證與認證階段，除了要確定高風險威脅是否已被緩解，也要確認應優先保護的資產是否安全，因此滲透測試是一個非常廣泛被應用的手法。然而，相較於以往用滲透測試企圖發掘新漏洞的做法，奧義智慧團隊認為「驗證偵測和緩解方案是否有效」是此階段更重要的目標。

在引入 ATHENA 後，概念階段有可視化的高風險攻擊路徑圖，能讓驗證階段優先驗證、設計與實作階段有相對應的偵測及緩解方法，也能讓驗證階段設計相關情境驗證其有效性。例如圖 11 便是透過概念階段評估結果規劃的 T-Box 滲透測試計畫，示範了紅隊如何利用評估的結果，一路從外圍入侵到內部，並成功碰觸到 CAN Bus。由此可見，唯有透過 ATHENA 將各階段互相串聯，我們才能獲得一個更全面且不脫鉤的驗證方式。

‍

‍

總結

汽車產業 ISO/SAE 21434 資安標準雖已訂定3年了，在實作上仍面臨諸多挑戰，特別是資訊不一致將導致致命盲點反覆出現。奧義智慧研究團隊主張：引入 ATHENA 車載系統攻擊知識庫不僅使風險評估更全面、風險緩解更有效，同時也使 ISO/SAE 21434 生命周期 V 模型的訊息傳遞更加流暢，有利內部溝通與對外的情報交換。透過 ATHENA 賦予的共通語言，我們期待改變有如巴別塔般失語混亂的現狀，提升ISO/SAE 21434 資安標準的適用性與重要性。

延伸閱讀

1. Tien-Chih Lin. (2023). “ATHENA: Advanced THreat knowlEdge-base for Networked Automotive.” Black Hat Europe 2023.
2. 林殿智（2023），<翻開 ISO/SAE 21434 中覆蓋的陷阱卡：利用攻擊知識庫打造車載環境的資安韌性>，CYBERSEC 2023。‍
3. 奧義智慧聯手菱鏡 TrapaSecurity 團隊，共建車聯網資安生態系