攻擊樹威脅模型

Attack-Tree Threat Models是一種以樹狀結構表示攻擊路徑的威脅建模方法，根節點代表攻擊者的最終目標，子節點代表達成該目標所需的子任務或條件。此模型起源於1980年代的網路安全研究，隨後被廣泛應用於汽車資安領域。在ISO/SAE 21434的威脅分析與風險評估（TARA）流程中，攻擊樹能將抽象的威脅轉化為可操作的攻擊路徑，使工程師能系統性地追蹤從攻擊面（Attack Surface）到資產（Asset）的完整路徑。相較於傳統STRIDE等方法，攻擊樹的優勢在於能處理多重條件組合的攻擊情境，並支持概率計算，使風險評估從定性描述提升至半定量的精確度。這對符合UN R155法規的車廠而言，是證明其已進行系統性威脅建模的關鍵技術文件。

實務應用通常遵循四個核心步驟：第一步，資產識別與保護等級定義，依ISO/SAE 21434第15章要求，列出所有與網路安全相關的資產及其保護等級（如ACCAS、AGP等）；第二步，攻擊樹構建，從攻擊者視角向下分解攻擊路徑，每個分支代表一種可能的攻擊向量，如遠端遠端控制、物理介面入侵等；第三步，攻擊路徑評估，計算每條路徑的攻擊可行性（Attack Feasibility）與衝擊（Impact），通常結合CVSS分數或ISO/SAE 21434附錄中的評分機制；第四步，風險對策設計，針對高風險路徑設計對應的技術控制措施。以臺灣Tier 1供應商為例，導入此模型後，車輛網路安全合規率平均可提升35%，並在TISAX稽覈中獲得更佳評級。

臺灣汽車資安領域企業主要面臨三項挑戰。首先是技術人才缺口，攻擊樹建模需要同時具備資安攻防思維與汽車電子架構知識，企業可透過與學術機構合作或委託專業顧問進行技術移轉來解決。其次是工具鏈缺失，許多中小企業仍依賴手動繪製攻擊樹，建議導入支援ISO/SAE 21434標準的自動化建模工具，提升效率與一致性。第三是供應鏈協作難度，攻擊樹往往跨越多個供應商，建議建立統一的威脅建模語言與資料交換格式。建議企業在導入初期先以單一ECU或特定功能域（如ADAS、Infotainment）為試點，90天內建立完整流程後再推廣至全車系，以確保資源配置最優化。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Attack-Tree Threat Models相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家臺灣企業。申請免費機制診斷：https://winners.com.tw/contact