弱點分析 (Vulnerability Analysis)
是什麼?
對 Event Assessment 分流為「Vulnerability」的項目進行深度分析:
1. 弱點細節(CWE 分類、根因)
2. 攻擊路徑(如何被利用)
3. 攻擊可行性(門檻、條件)
4. 衝擊(SFOP)
5. 對現有 TARA 的影響
6. 是否需更新 CS Case
Weakness vs Vulnerability(再次強調)
| 術語 | 定義 | 範例 |
|---|---|---|
| Weakness | 缺陷/瑕疵/前置條件 | 程式碼有 buffer overflow(但無攻擊路徑可達) |
| Vulnerability | 可被利用的 weakness | buffer overflow + 攻擊者可送 input 觸發 = vulnerability |
Important
所有 Vulnerability 都是 Weakness,但反之不必然。
Vulnerability Analysis 通常考慮:「這個 weakness 在我們的系統中是否真的可被利用?」
分析維度
弱點 = 缺陷 + 可被觸發的條件 + 攻擊者能力
┌─────────────────────────────────┐
│ 弱點本質 │
│ • CWE 分類 │
│ • 影響範圍(哪一段程式碼/設定) │
├─────────────────────────────────┤
│ 攻擊路徑 │
│ • 攻擊者位置(網路、本地、實體) │
│ • 必要先決條件 │
│ • 攻擊步驟序列 │
├─────────────────────────────────┤
│ 攻擊可行性 │
│ • 流逝時間 │
│ • 專家能力 │
│ • 標的知識 │
│ • 機會窗口 │
│ • 設備 │
├─────────────────────────────────┤
│ 衝擊 │
│ • Safety │
│ • Financial │
│ • Operational │
│ • Privacy │
└─────────────────────────────────┘
分析輸入
- Monitoring 紀錄
- Event Assessment 紀錄
- 現有 TARA Report
- 現有 CS Case
- 系統架構文件
- SBOM
- 歷史相關事件
分析輸出
vulnerability_analysis:
id: VA-2026-088
related_event: EVT-2026-0501
vulnerability:
cve_id: "CVE-2026-XXXX"
cwe_id: "CWE-122 (Heap-based Buffer Overflow)"
affected_component: "OpenSSL 3.0.12 in TCU"
cvss_score: 9.8
exploitability_in_our_system:
attack_vector: "Network (cellular interface)"
pre_conditions:
- "TCU connected to cellular network"
- "Specific TLS handshake malformation"
feasibility_rating: "High"
public_poc: true
impact_in_our_system:
safety: Major # Remote control of TCU → CAN message injection
financial: Major # Fleet-wide impact if exploited
operational: Severe # Complete TCU compromise
privacy: Major # Access to telemetry
tara_impact:
threat_scenarios_affected: ["TS-TCU-007", "TS-TCU-012"]
new_threat_scenario: false
cs_goals_affected:
["CG-001 Firmware integrity", "CG-005 Cellular link confidentiality"]
conclusion:
is_vulnerability: true # 是真實 vulnerability
needs_treatment: true
priority: P1 (Critical)
route_to: "Vulnerability Management (8.6)"
是否觸發 TARA 更新?
觸發 TARA 更新的條件:
✓ 新攻擊路徑出現(既有 TARA 未涵蓋)
✓ 攻擊可行性大幅改變(如公開 PoC、自動化工具出現)
✓ 影響先前評估為「Low」的元件升級為「High」
✓ 變更影響跨多個元件或 Item
不觸發完整 TARA 更新但需記錄:
○ 已涵蓋於現有 TARA 但攻擊可行性微幅變化
○ 已有對應 risk treatment 已生效
CWE 與 ISO 21434 的關係
CWE (Common Weakness Enumeration) 是業界弱點分類標準。
ISO 21434 不指定 CWE 但業界廣泛使用:
| 常見 CWE | 範例 | 對應 TARA 概念 |
|---|---|---|
| CWE-79 XSS | Web Dashboard 攻擊 | Tampering of UI |
| CWE-89 SQL Injection | OTA Backend 攻擊 | Data Tampering |
| CWE-119 Buffer Overflow | RCE on ECU | Spoofing / Tampering |
| CWE-287 Improper Auth | Bypass diagnostic security | Authentication compromise |
| CWE-310 Crypto Issues | Weak signature scheme | Integrity compromise |
| CWE-732 Permissions | Privilege escalation | Authorization compromise |
證照考點
高頻考點
- Weakness ⊃ Vulnerability(不是所有 weakness 都可被利用)
- Vulnerability Analysis 必須評估在自己系統中是否可被利用
- 分析維度:弱點本質 + 攻擊路徑 + 可行性 + 衝擊
- 重大發現可能觸發 TARA 更新
- CWE 雖非強制但業界廣泛使用
- 分析結果轉入 Vulnerability Management (8.6)
Related Notes
- 05-Continual-Cybersecurity/01-Cybersecurity-Monitoring
- 05-Continual-Cybersecurity/02-Event-Assessment
- 05-Continual-Cybersecurity/04-Vulnerability-Management
- 12-TARA-Methods/06-Attack-Feasibility-Rating