威脅模型

威脅模型（Threat Models）是一種結構化的風險評估方法，旨在系統生命週期的早期階段（如設計、開發）主動識別、分析並應對潛在的安全威脅。此概念由微軟推廣，其核心是回答四個關鍵問題：我們正在建構什麼？可能出現什麼問題？我們該如何應對？我們做得好嗎？國際標準如 ISO/IEC 27005 的風險評估精神與此相符，而美國國家標準暨技術研究院（NIST）的 AI 風險管理框架（AI RMF）更明確指出，需對 AI 模型進行威脅建模，以應對如提示注入（Prompt Injection）等新型攻擊。相較於事後進行的滲透測試，威脅模型是一種「事前預防」的資安活動，能從根本上降低系統的攻擊面與未來修復成本。

企業可透過以下步驟導入威脅模型：第一，定義範疇，繪製系統的資料流程圖（DFD），標示出信任邊界與關鍵資產。第二，識別威脅，採用如微軟 STRIDE 框架（偽冒、竄改、否認、資訊洩漏、阻斷服務、權限提升）對每個流程與元件進行威脅腦力激盪。第三，評估與應對，利用 DREAD 模型等方式評估風險等級，並設計具體的緩解控制措施。例如，一家台灣金融科技公司在開發支付 App 時，透過威脅模型發現交易過程中存在中間人攻擊風險，因此導入了憑證綁定（Certificate Pinning）技術。此舉不僅使其順利通過支付卡產業資料安全標準（PCI DSS）稽核，更將上線後因架構缺陷導致的重大漏洞數量降低了超過 40%，有效保障了營運持續性。

台灣企業導入威脅模型主要面臨三大挑戰：一、人才斷層，缺乏能串連開發與資安的專業人才；二、流程衝突，認為傳統的詳盡分析與敏捷開發的快速迭代文化相悖；三、資源限制，中小企業視其為額外成本，難以評估投資報酬率。為克服這些挑戰，建議採取以下對策：針對人才問題，可尋求外部顧問協助，並舉辦內部工作坊，建立可重複使用的威脅模型範本。為融入敏捷流程，應採納「威脅模型即程式碼」（Threat Modeling as Code）等自動化工具，將其整合至 CI/CD 管線中。對於資源考量，建議從單一高風險專案開始試點，量化其降低的後期修補成本與合規罰款風險，以數據證明其價值。優先行動項目是成立跨職能安全小組，預計 3 個月內完成首次試點，建立成功案例。

積穗科研股份有限公司專注台灣企業threat models相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact