Threat Modeling and Attack Simulations of Connected Vehicles: Proof of Concept

abstract

This paper reviews research in the field, showing that not much work has been done in the combined area of connected vehicles and threat modeling with attack simulations. We have implemented and conducted attack simulations on two vehicle threat models using a tool called securiCAD. Our work serves as a proof of concept of the approach and indicates that the approach is useful. Especially if more research of vehicle-specific vulnerabilities, weaknesses, and countermeasures is done in order to provide more accurate analyses, and to include this in a more tailored vehicle metamodel.

abstract中指出：

• 文章回顾了本领域的研究，指出在网联汽车和威胁模型的交叉领域，使用攻击仿真的研究并不多
• 作者使用 securiCAD 在两个汽车威胁模型上进行了攻击仿真
• 文章验证并指出该方法（基于攻击仿真威胁建模）是有效的

威胁建模

文章在两款易受攻击的车型上进行了威胁建模，给出汽车的网络拓扑图和数据流图，如下：

安全设置

为每一个资产分配了一个安全设置(security settings)，其中包括攻击的后果，其值的范围是 0 - 10。使用具有安全设置和后果的系统模型，可以进行定量计算，如计算风险值：

Risk = Consequence X Probability

根据设备和文档对模型中的资产进行安全设置评分。

汽车攻击模拟

攻击模拟的结果包括风险矩阵，攻击路径和攻击时间图（Time to Compromise graph，TTC），TTC图表示基于某一特定攻击路径攻破特定设备的可能性分布。

攻击模拟结果显示，建模的车辆并不是完全安全的，根据风险矩阵，我们可以推测汽车的风险等级，我们也可以改变安全设置来查看该设置如何影响整体安全等级。根据攻击路径，我们可以发现可以实施哪些应对措施。最后的 TTC 图提供了从汽车适应力方面衡量汽车安全的方法，为比较汽车架构设计提供了一种定量的方法。