威脅分析

威脅分析（Threat Analysis）是一套結構化的方法，旨在系統性地識別可能危害系統資產的潛在威脅。在車用網路安全領域，此過程是「威脅分析與風險評鑑」（TARA, Threat Analysis and Risk Assessment）的核心起點，其方法論與要求明確規範於 **ISO/SAE 21434:2021** 標準中。分析過程首先需定義評估目標（Target of Evaluation, ToE），例如一個車載ECU或整套OTA更新系統，接著識別其關鍵資產（如韌體、金鑰、個人資料）與潛在的攻擊面（如藍牙、CAN匯流排）。分析師會利用如 **STRIDE**（偽冒、竄改、否認、資訊洩漏、阻斷服務、權限提升）等威脅模型，腦力激盪出各種威脅情境。威脅分析與「弱點掃描」不同，後者專注於尋找已知的軟體漏洞，而威脅分析則更宏觀，從攻擊者的動機與能力出發，預測可能發生的攻擊手法，即使系統當下並無已知弱點。

在車用領域，威脅分析是開發流程中不可或缺的一環，旨在早期發現並緩解設計階段的網路安全風險。具體導入步驟如下： 1. **系統定義與資產識別**：首先，必須明確界定分析範圍，例如「OTA後端伺服器至車載ECU的更新流程」。接著，繪製詳細的資料流圖（Data Flow Diagram），並列出所有關鍵資產，如更新檔案的完整性、加密金鑰的機密性等。 2. **威脅情境識別**：運用 **STRIDE** 或 **Attack Tree**（攻擊樹）等方法，針對每個資料流、處理程序與資料儲存點，系統性地識別潛在威脅。例如，在OTA更新包下載階段，可能存在「中間人攻擊」竄改更新包的威脅情境。 3. **攻擊路徑分析與可行性評估**：分析駭客達成威脅情境所需經過的步驟，即攻擊路徑。根據 **ISO/SAE 21434** 附錄H的指引，評估每個步驟的可行性，考量因素包含所需時間、專業知識、攻擊機會與設備。例如，攔截透過蜂巢式網路傳輸的封包，其可行性就比需要物理接觸車輛的攻擊更高。 一家國際Tier 1供應商在開發其TCU（車載資通訊控制器）時，透過此流程，成功在設計初期識別出超過50個高風險威脅情境，使其產品在交付給車廠前，網路安全合規率提升了近40%，並順利通過 **UN R155** 的稽核要求。

台灣汽車供應鏈在導入威脅分析時，普遍面臨三大挑戰： 1. **供應鏈協作斷層**：車輛由數百個供應商的零組件構成，但各廠家的安全成熟度不一，難以對整車進行一致且全面的威脅分析。許多中小型供應商缺乏資源與專業知識，導致安全責任邊界模糊。 2. **缺乏整合性人才**：威脅分析需要同時具備汽車電子架構、軟體開發與網路安全攻防知識的跨領域人才，此類專家在台灣市場相對稀缺。 3. **從功能安全到網路安全的思維轉換**：台灣廠商長於硬體製造與功能安全（ISO 26262），但網路安全要求從「預防隨機故障」轉向「對抗惡意攻擊」，思維模式需要根本性轉變，這往往導致對安全投入的猶豫。 **對策**： * **克服協作斷層**：由中心車廠或Tier 1主導，建立統一的網路安全開發協議（Cybersecurity Interface Agreement），明確要求供應商需交付TARA報告。優先行動為舉辦供應商教育訓練，預期6個月內完成主要供應商的初步對焦。 * **彌補人才缺口**：短期內與像積穗科研這樣的專業顧問公司合作，導入成熟方法論並培養內部種子人員；長期則與學術機構合作開設學程。優先行動為針對現有研發團隊進行ISO/SAE 21434證照培訓。 * **加速思維轉變**：高階管理層需將網路安全視為進入國際市場的必要條件（如UN R155法規），而非僅是成本。可從單一關鍵產品線開始試點導入，以成功案例證明其商業價值。

積穗科研股份有限公司專注台灣企業威脅分析相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact