DREAD 風險評分模型

DREAD 是一種質化的風險評估模型，由微軟公司開發，旨在為資訊安全威脅進行系統性的優先級排序。其名稱為五個評估維度的縮寫：損害潛力（Damage Potential）、重現性（Reproducibility）、可利用性（Exploitability）、受影響使用者（Affected Users）與可發現性（Discoverability）。在風險管理體系中，DREAD 通常在威脅識別（例如使用 STRIDE 模型）之後介入，作為風險分析與評估的工具。它與 STRIDE 的區別在於，STRIDE 專注於「識別」威脅的類型，而 DREAD 則專注於「評估」已識別威脅的嚴重程度。雖然 DREAD 本身並非獨立的 ISO 標準，但其概念與應用被廣泛納入安全開發生命週期（SDL）實踐中，並在美國國家標準暨技術研究院（NIST）的特別出版物 SP 800-154《資料中心系統威脅模型指南》中被提及，作為一種有效的風險評分方法，特別適用於需要快速對大量威脅進行分類排序的場景。

企業應用 DREAD 模型通常遵循以下步驟來量化與管理風險。第一步是「威脅識別與場景建立」，通常結合 STRIDE 模型，針對特定系統（如車載資訊娛樂系統或充電樁通訊協定）識別出潛在威脅。第二步是「DREAD 維度評分」，由跨職能團隊（包含開發、資安、法務人員）為每個威脅的五個維度（損害、重現性等）進行評分，通常採用 1-10 或 1-3 的量表。例如，一個能遠端控制車輛煞車的漏洞，其「損害潛力」將獲得最高分。第三步是「風險計算與優先級排序」，將五個維度的分數相加或取平均，得出每個威脅的總風險分數。分數最高的威脅將被列為最高優先級，優先投入資源進行修復。一家國際汽車製造商在導入 ISO/SAE 21434 網路安全管理系統時，便採用 DREAD 模型評估其車輛控制單元（ECU）的風險，成功將開發階段發現的高風險漏洞在量產前降低了 70%，大幅提升了產品安全性與法規遵循性。

台灣企業導入 DREAD 模型時，主要面臨三大挑戰。首先是「評分標準的主觀性」，不同專家對同一威脅的評分可能存在巨大差異，導致結果不一致。對策是企業應預先建立明確的、量化的評分指南，例如，定義「高損害」為超過新台幣 100 萬元的財務損失或違反個資法，並成立評審委員會以達成共識。其次是「專業人才與資源不足」，特別是中小企業可能缺乏具備威脅模型分析能力的資安專家。解決方案是從單一關鍵產品或系統開始試行，並尋求外部專業顧問（如積穗科研）提供初期建置輔導與教育訓練，建立內部能量。第三是「難以融入敏捷開發流程」，快速的開發節奏可能排擠掉耗時的風險評估環節。克服方法是將威脅模型分析「左移」，在設計階段即納入為必要活動，並指派開發團隊中的「安全鬥士」（Security Champion）負責推動，確保風險評估與開發同步進行。優先行動項目應為建立評分指南，預計時程約一個月。

積穗科研股份有限公司專注台灣企業DREAD相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact