攻擊樹模型

攻擊樹模型是一種系統化的威脅建模與風險評估方法，由資安專家 Bruce Schneier 於1990年代提出。此模型使用樹狀結構圖，將攻擊者的最終目標（如『竊取車輛控制權』）作為根節點，並逐層向下分解為達成該目標所需的子目標或具體行動（葉節點），節點之間以『與』（AND）或『或』（OR）邏輯連結。在汽車網路安全領域，ISO/SAE 21434 標準於第8.5條『威脅情境識別』及附錄H中，明確將攻擊樹列為推薦的威脅分析方法之一。它屬於威脅分析與風險評估（TARA）流程的核心工具，與專注於系統內部故障的『故障樹分析』（Fault Tree Analysis）不同，攻擊樹完全從惡意攻擊者的視角出發，專注於識別外部威脅路徑與系統脆弱性，從而進行更具針對性的防禦規劃。

企業應用攻擊樹模型進行風險管理，通常遵循以下步驟：第一，**定義攻擊目標**，識別對關鍵資產的最高層級威脅，例如『未經授權存取車輛CAN匯流排』，並將其設為樹的根節點。第二，**分解攻擊路徑**，系統性地將根目標分解為達成該目標所需的多個子目標，並使用『與/或』邏輯連接，直到最底層的具體攻擊行動（葉節點），例如『利用藍牙漏洞』或『物理接觸OBD-II埠』。第三，**量化評估與對策擬定**，為每個葉節點分配成本、技術難度或成功率等數值，計算出最可行（成本最低、成功率最高）的攻擊路徑，並優先針對該路徑設計防禦對策。例如，一家國際汽車零組件供應商利用此模型分析其車載通訊單元（TCU），成功識別出一個高風險的遠端攻擊路徑，並透過強化認證機制將該路徑的攻擊可行性評分降低了40%，確保了產品符合ISO/SAE 21434要求並通過客戶審核。

台灣企業導入攻擊樹模型主要面臨三大挑戰：第一，**缺乏攻擊者思維**，傳統研發團隊習慣於功能導向開發，難以模擬駭客的惡意意圖。第二，**跨部門協作障礙**，有效的攻擊樹分析需整合軟體、硬體、通訊等多領域知識，但部門牆常導致資訊孤島。第三，**專業人才與資源有限**，特別是中小企業，可能缺乏具備深度資安知識的專家來主導分析。為克服這些挑戰，建議對策如下：首先，應定期舉辦由外部專家引導的**威脅建模工作坊**，培養團隊的攻擊者思維。其次，成立由高階主管支持的**跨部門網路安全小組**，打破溝通壁壘，確保分析的全面性。最後，採取**階段性導入策略**，從核心產品著手，並善用開源工具（如OWASP Threat Dragon）降低初期成本。優先行動為在三個月內完成對關鍵人員的ISO/SAE 21434與攻擊樹方法論培訓。

積穗科研股份有限公司專注台灣企業Attack Tree Model相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact