DREAD 風險評估模型

DREAD 是一個由微軟（Microsoft）開發的定性風險評估模型，旨在為資訊安全威脅提供一個快速、一致的優先級排序方法。其名稱為五個評估維度的縮寫：損害（Damage）、重現性（Reproducibility）、可利用性（Exploitability）、受影響用戶（Affected users）與可發現性（Discoverability）。分析人員會對每個維度進行評分（通常為1-10分），再計算平均值以得出最終風險分數。雖然DREAD本身並非一項獨立的國際標準，但它是一種實踐性的工具，用以實現ISO/SAE 21434《道路車輛－網路安全工程》中所要求的威脅分析與風險評估（TARA）流程。在風險管理體系中，DREAD通常與STRIDE等威脅識別模型結合使用，STRIDE負責找出「有哪些威脅」，而DREAD則回答「哪個威脅最嚴重」，從而為後續的風險處理決策提供量化依據。

在車用領域，DREAD模型的應用步驟清晰明確。第一步，針對特定電子控制單元（ECU）或系統（如充電樁OCPP通訊協定），利用STRIDE等方法識別潛在威脅。第二步，由跨領域專家（如軟體、硬體、安全工程師）組成評審小組，為每項威脅的五個DREAD維度進行評分。例如，針對「偽冒充電樁發送停止充電指令」的威脅，其「損害」可能評為8分（導致用戶無法使用），「重現性」為9分（易於透過軟體重複攻擊），「可利用性」為7分（需特定技術但可行）。第三步，計算風險分數，公式為 (D+R+E+A+D)/5。第四步，根據預設的風險閾值（如分數高於7.0即為高風險）對威脅進行排序，並優先處理高風險項目。導入此方法，車廠或供應商能將有限的資安資源聚焦在刀口上，有效降低產品上市後的安全事件發生率達15-20%，並顯著提升通過ISO/SAE 21434等法規審計的成功率。

台灣企業導入DREAD時，主要面臨三大挑戰。首先是「評分主觀性」，不同工程師對同一威脅的認知差異可能導致評分不一致。對策是企業應制定一份詳細的評分指南，明確定義各分數級距的客觀條件（例如，「受影響用戶」10分定義為影響所有出廠車輛），並定期舉辦校準會議以凝聚共識。其次是「模型過度簡化」，DREAD未直接納入攻擊「可能性（Likelihood）」，可能低估某些高難度但高衝擊的威脅。對策是將DREAD作為初步篩選工具，對於高分威脅，可再結合CVSS（通用漏洞評分系統）或ISO/SAE 21434的攻擊可行性評級，進行更深入的分析。最後是「工具整合不足」，若僅依賴試算表管理，難以應對複雜車輛系統的成千上百個威脅。解決方案是導入專業的威脅建模工具（如IriusRisk），將DREAD評分流程自動化，並與開發流程（ALM/PLM）整合，確保風險評估的即時性與可追溯性。

積穗科研股份有限公司專注台灣企業DREAD相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact