威胁分析与风险评估
时间:2022-04-18 00:15:01 | 来源:行业动态
时间:2022-04-18 00:15:01 来源:行业动态
2021年还有一个很重要的行业法规发布ISO/SAE 21434《道路车辆-网路安全工程》(Road vehicles Cybersecurity engineering)。ISO/SAE 21434为车辆产品的全生命周期,定义了一个网络安全流程要求以及网络安全风险管理的框架。
直到ISO/SAE 21434的正式发布版本,才使用了威胁分析与风险评估 (TARA, Threat Analysis and Risk Assessment)这个名词来替换之前版本中所使用的比较普适的风险评估(risk assessment),并将其作为一个单独章节来规定TARA活动的工作交付物及相关需求。这在一定程度上反映了整个车辆行业对于TARA活动的重视。
BSIMM安全框架在情报这个领域中强调了攻击模型这个实践。攻击模型实践特指从攻击者的角度思考安全问题,并收集相关的信息,包括威胁建模输入、滥用案例、数据分类和特定于技术的攻击模式等。在最新的BSIMM12的报告中,攻击模型这个实践下有阐述了11项被观察到的具有典型意义的安全活动,它们可以作为参考帮助安全团队补齐在这方面的不足。