威胁分析与风险评估

威胁分析与风险评估（Threat Analysis and Risk Assessment）简称TARA，是识别、评估及管理威胁及风险的工具。此方法可以用来管理IT相关威胁的风险，在汽车网路安全标准ISO/SAE 21434的第15章^[1]，也有定义相同名称的方法，用在汽车网路安全上。TARA让组织可以识别潜在的危害及风险，提出适当的对策，以提升其系统、网路及资料的安全性^[2]。

流程

依照MITRA（英语：MITRA）所述，IT应用的TARA流程是由以下几个步骤所组成^[3]。

1. 系统及资讯建模：识别要保护的系统、网路及资料，并以简图呈现其关系。
2. 威胁识别：识别系统、网路及资料中潜在的威胁及弱点。
3. 风险评估：用识别到威胁及弱点的可行性，以及其影响的程度评估其风险。
4. 风险处置：选择适合的措施，来减少或消除识别到的风险。
5. 监控及审查：定期的监控所实施的措施，确认是否有效，若有需要，也可以再进行调整。

依照ISO/SAE 21434，汽车网路安全的TARA可以分为以下的步骤：

1. 资产识别：找到网路安全资产，以及其拥有的网路安全属性（机密性、完整性及可用性）。
2. 威胁场景识别：找到资产的网路安全属性可能会受到威胁的场景，并加以说明。
3. 影响评级：针对资产的网路安全属性被破坏，用安全、财产、运作及隐私四个层面来评估影响。
4. 攻击路径分析：利用攻击树分析，找到可以造成威胁场景的攻击路径。
5. 攻击可行性等级：根据攻击路径的内容评估其攻击可行性
6. 风险确认：针对每一个威胁场景，用攻击可行性以及安全、财产、运作及隐私四个层面的影响评级，评估这四个层面的风险，风险值以1-5表示。
7. 风险处理确认：依风险大小决定要如何处理风险。

应用场合

IT应用中的TARA可以用在许多的场合中，例如：

• IT安全：识别使用资讯科技时，会出现的威胁和风险，并加以处理。
• 风险管理：在商业流程、专案及决策时，评估及处理风险。
• 合规：确认有符合安全标准、法律规范以及最佳实务。

汽车网路安全的TARA可以用在以下的场合：

• 在产品概念定义时，确认风险大小、安全目标，及要如何处理风险。
• 在需求分析及架构设计时，确认是否有未考虑到的风险。
• 在测试验证时，确认TARA是否完整，是否有未考虑到的风险。
• 在持续网路监控时，也是运用TARA新发现漏洞的风险及影响。

优点

组织进行TARA有以下的优点：

• 系统化的识别会影响系统、网路及资料安全性的威胁和风险，并且加以评估。
• 可以协助选择措施，并且依照特定威胁及风险调整，然后实施。
• 透过对实务措施的持续监控及改善，可以提升IT安全及风险管理。
• 有助于符合安全标准、法规需求以及最佳实务。

缺点和挑战

TARA方法有其优点，但也有其缺点。

TARA方法的品质会依进行此流程的知识和经验有很大的变化。若相关知识不足，有可能无法完整识别威胁和风险，或是识别错误。TARA方法需要有持续监控并且评审的流程，确保所实施的措施是有效的。对于小的组织来说，这很花时间，也需要许多的资源。TARA方法有时也可能高估了风险，造成组织过度的安全措施，并且产生不必要的支出。

相关方法及标准

• ISO/IEC 27005（英语：ISO/IEC 27005）：ISO有关资讯风险管理（英语：IT risk management）的标准
• NIST SP 800-30：美国NIST风险评估的指南
• OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）：CERT协调中心提出的方法
• 资讯风险因素分析（英语：Factor analysis of information risk），简称FAIR