STRIDE威脅模型

STRIDE模型是由微軟開發的一種威脅建模方法論，為六種安全威脅類別的縮寫：偽冒（Spoofing）、竄改（Tampering）、否認（Repudiation）、資訊洩漏（Information Disclosure）、阻斷服務（Denial of Service）及權限提升（Elevation of Privilege）。它提供一個系統性框架，協助安全分析師在系統設計初期識別潛在的安全漏洞。在風險管理體系中，STRIDE模型主要應用於風險識別階段。根據車用網宇安全標準ISO/SAE 21434:2021第8條「持續的網宇安全活動」的要求，企業必須執行威脅分析與風險評估（TARA），而STRIDE正是執行TARA最常用且有效的方法之一。它能幫助團隊針對系統的每個元件、資料流與信任邊界，全面地盤點可能面臨的攻擊手法，為後續的風險分析與控制措施設計奠定堅實基礎，這與NIST Cybersecurity Framework中的「識別（Identify）」功能緊密相關。

在企業中應用STRIDE模型通常遵循以下步驟：第一步為「系統分解」，利用資料流程圖（Data Flow Diagram, DFD）將車輛電子電氣架構拆解為外部實體、處理程序、資料儲存與資料流等元素，並劃定信任邊界。例如，將車載資訊娛樂系統（IVI）與車載通訊控制器（TCU）之間的通訊定義為一個資料流。第二步為「威脅識別」，針對DFD中的每個元素，逐一應用STRIDE的六個類別進行威脅腦力激盪。例如，對於前述的IVI與TCU通訊，可能存在資訊洩漏（竊聽CAN匯流排數據）或竄改（注入惡意指令）的威脅。第三步為「風險評估與緩解」，對識別出的威脅進行風險等級評估（如使用DREAD模型），並設計對應的控制措施，例如導入加密機制防止資訊洩漏，或使用訊息鑑別碼（MAC）防止竄改。導入此模型能帶來可量化的效益，例如，協助企業通過ISO/SAE 21434稽核，將首次稽核通過率提升至95%以上，並透過早期發現設計缺陷，將開發後期高風險漏洞數量減少約30%。

台灣企業導入STRIDE模型主要面臨三大挑戰：第一，「跨領域知識斷層」，車輛工程師普遍缺乏資安專業，而資安專家不熟悉CAN、LIN等車用通訊協定，導致威脅識別不夠深入。第二，「供應鏈協作困難」，汽車由數百個供應商的元件組成，威脅可能存在於不同供應商元件的介面，但要取得完整的設計文件以進行整合性威脅分析極為困難。第三，「資源與工具限制」，特別是中小規模的供應商，可能缺乏導入威脅建模所需的人力、預算以及如Microsoft Threat Modeling Tool等專業軟體。為克服這些挑戰，建議的對策如下：針對知識斷層，應成立由車輛、軟體、資安專家組成的跨職能團隊，並提供ISO/SAE 21434等主題的整合式培訓。針對供應鏈問題，應在供應商合約中明確要求提供標準化的TARA報告作為交付項目，並建立「網宇安全介面協議」。對於資源限制，可從關鍵系統（如動力或ADAS系統）開始，採用手動繪製DFD的方式進行，待成熟後再導入工具。優先行動項目為建立跨職能團隊，預計3個月內完成培訓與試點專案。

積穗科研股份有限公司專注台灣企業STRIDE model相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact