Integração de padrões de ataque, fraquezas e modelagem de ameaças para suporte à análise de segurança no domínio automotivo

Marques, Eduardo Santos de Oliveira

Please use this identifier to cite or link to this item: https://repositorio.ufjf.br/jspui/handle/ufjf/19403

Files in This Item:

File	Description	Size	Format
eduardosantosdeoliveiramarques.pdf	PDF/A	4.13 MB	Adobe PDF	View/Open

Type:	Dissertação
Title:	Integração de padrões de ataque, fraquezas e modelagem de ameaças para suporte à análise de segurança no domínio automotivo
Author:	Marques, Eduardo Santos de Oliveira
First Advisor:	Rocha, Bernardo Martins
Co-Advisor:	Oliveira, André Luiz de
Referee Member:	Vieira, Alex Borges
Referee Member:	Branco, Kalinka Regina Lucas Jaquie Castelo
Resumo:	A crescente interconectividade entre sistemas computacionais, dispositivos embarcados e redes de comunicação tem intensificado a preocupação com a segurança cibernética, especialmente em sistemas críticos, como os veículos autônomos. Nesse contexto, a norma ISO/SAE 21434 foi desenvolvida com o propósito de estabelecer diretrizes para a análise de ameaças e avaliação de riscos cibernéticos (Threat Analysis and Risk Assessment - TARA) ao longo do ciclo de vida dos sistemas automotivos. Para apoiar esse processo, técnicas como o modelo STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege) e a análise de árvores de ataque têm sido amplamente utilizadas para apoiar o modelo da ISO. De forma complementar, bases estruturadas como o CAPEC (Common Attack Pattern Enumeration and Classification) e CWE (Common Weakness Enumeration) oferecem catálogos robustos de padrões de ataque e fraquezas, com potencial para enriquecer as atividades de análise de ameaças e definição de requisitos de segurança. No entanto, a ausência de uma integração sistemática entre essas bases e os modelos normativos representa uma lacuna significativa na literatura, limitando sua aplicação em contextos práticos. Diante deste cenário, o trabalho apresentado propõe uma abordagem metodológica para apoiar a análise de riscos em sistemas automotivos autônomos, em conformidade com a norma ISO/SAE 21434. A proposta visa integrar de forma estruturada o modelo de ameaças STRIDE, o catálogo de ataques CAPEC e a base de fraquezas CWE, com o objetivo de apoiar as etapas de identificação, avaliação e tratamento de risco no processo TARA. Para isso, foi desenvolvido um modelo de dados capaz de representar os principais atributos e relacionamentos entre essas bases, bem como um banco de dados em MongoDB orientado a documentos, possibilitando consultas eficientes e contextualizadas. A viabilidade e o impacto dos ataques são inferidos com base nos atributos qualitativos do CAPEC, enquanto o tratamento de risco é expandido por meio das estratégias de mitigação extraídas da CWE, complementando aspectos operacionais não previstos na norma. A metodologia proposta foi avaliada por meio de um estudo de caso que simula ataques ao sistema de farol de um veículo por meio da interface Bluetooth, demonstrando sua aplicabilidade prática e capacidade de oferecer maior rastreabilidade, fundamentação técnica e consistência ao processo de análise de riscos cibernéticos.
Abstract:	The growing interconnectivity among computing systems, embedded devices, and communication networks has intensified concerns regarding cybersecurity, particularly in critical domains such as autonomous vehicles. In this context, the ISO/SAE 21434 standard was developed to provide guidelines for Threat Analysis and Risk Assessment (TARA) throughout the automotive system lifecycle. To support this process, techniques such as the STRIDE model (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege) and attack tree analysis have been widely adopted to support the standard’s methodology. Complementarily, structured databases such as CAPEC (Common Attack Pattern Enumeration and Classification) and CWE (Common Weakness Enumeration) offer comprehensive catalogs of attack patterns and weaknesses, with the potential to enrich threat identification and security requirement definition. However, the lack of a systematic integration between these databases and normative models remains a gap in the literature, hindering their practical application. To address this issue, this work proposes a methodological approach to support cybersecurity risk analysis in autonomous automotive systems, in accordance with ISO/SAE 21434. The proposal aims to structurally integrate the STRIDE threat model, the CAPEC attack pattern catalog, and the CWE weakness database, supporting the identification, evaluation, and treatment stages of the TARA process. For this purpose, a data model was developed to represent the main attributes and relationships among these bases, along with a document-oriented database implemented in MongoDB, enabling efficient and contextaware queries. Attack feasibility and impact rating are inferred from CAPEC’s qualitative attributes, while the risk treatment is enhanced through mitigation strategies extracted from CWE, complementing operational aspects not explicitly addressed by the standard. The proposed methodology was evaluated through a case study simulating attacks on a vehicle’s headlight system via Bluetooth, demonstrating its practical applicability and its ability to provide traceability, technical foundation, and consistency to the cybersecurity risk analysis process.
Keywords:	Segurança cibernética Modelo de ameaças Bases de segurança ISO/SAE 21434 Sistemas automotivos autônomos Cybersecurity Threat model Security databases Autonomous automotive systems
CNPq:	CNPQ::CIENCIAS EXATAS E DA TERRA
Language:	por
Country:	Brasil
Publisher:	Universidade Federal de Juiz de Fora (UFJF)
Institution Initials:	UFJF
Department:	ICE – Instituto de Ciências Exatas
Program:	Programa de Pós-graduação em Modelagem Computacional
Access Type:	Acesso Aberto Attribution 3.0 Brazil
Creative Commons License:	http://creativecommons.org/licenses/by/3.0/br/
URI:	https://repositorio.ufjf.br/jspui/handle/ufjf/19403
Issue Date:	4-Jul-2025
Appears in Collections:	Mestrado em Modelagem Computacional (Dissertações)

Show full item record Recommend this item

This item is licensed under a Creative Commons License