威胁分析与风险评估

威胁分析与风险评估（Threat Analysis and Risk Assessment）简称TARA，是识别、评估及管理威胁及风险的工具。此方法可以用来管理IT相关威胁的风险，在汽车网路安全标准ISO/SAE 21434的第15章^[1]，也有定义相同名称的方法，用在汽车网路安全上。TARA让组织可以识别潜在的危害及风险，提出适当的对策，以提升其系统、网路及资料的安全性^[2]。

流程[编辑]

依照MITRA（英语：MITRA）所述，IT应用的TARA流程是由以下几个步骤所组成^[3]。

1. 系统及资讯建模：识别要保护的系统、网路及资料，并以简图呈现其关系。
2. 威胁识别：识别系统、网路及资料中潜在的威胁及弱点。
3. 风险评估：用识别到威胁及弱点的可行性，以及其影响的程度评估其风险。
4. 风险处置：选择适合的措施，来减少或消除识别到的风险。
5. 监控及审查：定期的监控所实施的措施，确认是否有效，若有需要，也可以再进行调整。

依照ISO/SAE 21434，汽车网路安全的TARA可以分为以下的步骤：

1. 资产识别：找到网路安全资产，以及其拥有的网路安全属性（机密性、完整性及可用性）。
2. 威胁场景识别：找到资产的网路安全属性可能会受到威胁的场景，并加以说明。
3. 影响评级：针对资产的网路安全属性被破坏，用安全、财产、运作及隐私四个层面来评估影响。
4. 攻击路径分析：利用攻击树分析，找到可以造成威胁场景的攻击路径。
5. 攻击可行性等级：根据攻击路径的内容评估其攻击可行性
6. 风险确认：针对每一个威胁场景，用攻击可行性以及安全、财产、运作及隐私四个层面的影响评级，评估这四个层面的风险，风险值以1-5表示。
7. 风险处理确认：依风险大小决定要如何处理风险。

应用场合[编辑]

IT应用中的TARA可以用在许多的场合中，例如：

• IT安全：识别使用资讯科技时，会出现的威胁和风险，并加以处理。
• 风险管理：在商业流程、专案及决策时，评估及处理风险。
• 合规：确认有符合安全标准、法律规范以及最佳实务。

汽车网路安全的TARA可以用在以下的场合：

• 在产品概念定义时，确认风险大小、安全目标，及要如何处理风险。
• 在需求分析及架构设计时，确认是否有未考虑到的风险。
• 在测试验证时，确认TARA是否完整，是否有未考虑到的风险。
• 在持续网路监控时，也是运用TARA新发现漏洞的风险及影响。

优点[编辑]

组织进行TARA有以下的优点：

• 系统化的识别会影响系统、网路及资料安全性的威胁和风险，并且加以评估。
• 可以协助选择措施，并且依照特定威胁及风险调整，然后实施。
• 透过对实务措施的持续监控及改善，可以提升IT安全及风险管理。
• 有助于符合安全标准、法规需求以及最佳实务。

缺点和挑战[编辑]

TARA方法有其优点，但也有其缺点。

TARA方法的品质会依进行此流程的知识和经验有很大的变化。若相关知识不足，有可能无法完整识别威胁和风险，或是识别错误。TARA方法需要有持续监控并且评审的流程，确保所实施的措施是有效的。对于小的组织来说，这很花时间，也需要许多的资源。TARA方法有时也可能高估了风险，造成组织过度的安全措施，并且产生不必要的支出。

相关方法及标准[编辑]

• ISO/IEC 27005（英语：ISO/IEC 27005）：ISO有关资讯风险管理（英语：IT risk management）的标准
• NIST SP 800-30：美国NIST风险评估的指南
• OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）：CERT协调中心提出的方法
• 资讯风险因素分析（英语：Factor analysis of information risk），简称FAIR

参考资料[编辑]

1. ^ International Organization for Standardization. ISO/SAE 21434, Anhang H. [2023-04-26]. （原始内容存档于2021-04-08）. 
2. ^ Cybersecurity als Herausforderung im Produktlebenszyklus von Autos. [2023-04-27]. （原始内容存档于2023-05-01） （德语）. 
3. ^ Threat Assessment and Remediation Analysis (TARA) Overview (PDF). Mitre Corporation. [2023-04-27]. （原始内容存档 (PDF)于2023-05-31）. 

文献[编辑]

• Andreas Puder, Jacqueline Sax, Eric Henle. Threat Assessment and Risk Analysis (TARA) for Interoperable Medical Devices in the Operating Room Inspired by the Automotive Industry 28. MPDI. 2023. doi:10.5445/IR/1000157846 （英语）. 
• Georg Macher, Eric Armengaud, Eugen Brenner, and Christian Kreiner. A Review of Threat Analysis and Risk Assessment Methods in the Automotive Contex 28. 2016. doi:10.1007/978-3-319-45477-1_11 （英语）. 

网页[编辑]

• NIST Cybersecurity Framework （页面存档备份，存于互联网档案馆）
• ISO/IEC 27005: Informationssicherheits-Risikomanagement （页面存档备份，存于互联网档案馆）
• security-analyst.org: Knowledge Base Risk Assessment （页面存档备份，存于互联网档案馆）