攻擊樹分析法

攻擊樹分析法（Attack Tree Method）是一種用於威脅建模與網路安全風險分析的結構化方法。此方法將一個整體的攻擊目標（如「竊取車輛控制權」）作為樹狀結構的「根節點」，然後逐層向下分解為達成該目標所需的多個子步驟或條件，這些子步驟即為「分支節點」與「葉節點」。節點之間透過「或」（OR）邏輯（表示多種攻擊路徑擇一即可）與「且」（AND）邏輯（表示需同時滿足多個條件）連結。此方法在汽車網路安全標準 ISO/SAE 21434:2021 的威脅分析與風險評估（TARA）流程中被廣泛應用，特別是用於評估「攻擊可行性等級」（Attack Feasibility Level）。它與FMEA（失效模式與影響分析）不同，FMEA關注系統內部隨機故障，而攻擊樹則專注於分析來自外部智慧攻擊者的惡意行為與攻擊路徑。

企業應用攻擊樹分析法通常遵循以下步驟： 1. **定義攻擊目標與範疇**：首先，與產品開發、資安及法務團隊共同識別並定義最高層級的威脅目標（根節點），例如針對車載資訊娛樂系統（IVI）的「未經授權存取個人資料」。 2. **建構攻擊樹**：系統性地將根節點目標分解為可能的攻擊路徑。例如，存取個資可透過「利用作業系統漏洞」（OR）或「破解通訊協定」。前者又可分解為「透過USB介面植入惡意軟體」（AND）「利用已知CVE漏洞」。此過程需持續分解至最基礎、無法再拆分的攻擊動作（葉節點）。 3. **評估可行性並確定優先級**：依據 ISO/SAE 21434 附錄H的指引，對每個葉節點的攻擊可行性進行評分（如：所需時間、專業知識、設備成本等）。接著，從葉節點向上匯總計算出每條攻擊路徑的總可行性分數。一家歐洲汽車一階供應商透過此方法，將TARA分析時間縮短30%，並成功使其ECU產品通過UN R155的型式認證審查，因為它能清晰地向審核員展示已識別並緩解了最關鍵的攻擊路徑。

台灣企業導入攻擊樹分析法主要面臨三大挑戰： 1. **跨領域知識整合困難**：攻擊樹分析需結合系統工程、軟體開發與網路安全專業，但台灣許多車用電子供應鏈廠商過去專注於硬體製造，缺乏整合性資安人才。對策是建立由研發、IT、品保組成的跨職能資安小組，並在初期（前6個月）聘請外部專家顧問進行培訓與專案指導。 2. **分析複雜度與工具成本**：現代車輛電子電氣架構複雜，導致攻擊樹極為龐大，手動分析耗時且易出錯。中小企業難以負擔昂貴的專業分析軟體。對策是採用模組化分析，優先針對T-Box、Gateway等高風險組件進行分析，並導入支援ISO/SAE 21434標準的開源或成本較低的TARA工具，以提升效率。 3. **攻擊可行性量化不易**：準確評估葉節點攻擊的所需時間、成本等參數，需要大量實證數據，對多數企業是個高門檻。對策是參考公開威脅情資，如MITRE ATT&CK框架與CVE漏洞資料庫作為評分基準，初期可採「高、中、低」定性評級，再逐步結合滲透測試結果，將其精煉為定量數據。

積穗科研股份有限公司專注台灣企業攻擊樹分析法相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact