By Ling Cheng (Senior Product Marketing Manager)
當今產品安全的範疇中,威脅分析與風險評估(TARA)不僅只是設計階段中的一個勾選項目—它更是能否領先資安風險與威脅的關鍵因素。
根據《VicOne 2025 汽車網路安全報告》,2024 年共揭露了530個與汽車相關的漏洞,再次創下成長紀錄。這也幾乎是 2019 年通報總數的兩倍。這個穩定上升的趨勢預示了一場悄無聲息卻又緊迫的競賽:企業必須及早發現漏洞、預測其可能被利用的方式,並在攻擊者行動之前採取行動,防範威脅成真。企業的任何動作延遲都將使天平傾向對手,把資安防線的控制權雙手奉交到攻擊者手中。
風險所在:為什麼靜態 TARA 已經不夠
傳統的 TARA 通常在設計階段就結束,且保持靜態—很少更新,且高度依賴人工評估。為什麼?因為它對新的漏洞或是新型攻擊手法視而不見,缺乏自動觸發分析的機制。關鍵資訊分散在不同部門,受限於不相容的格式與互不相連的系統,使得這些資料無法順暢交換。有效的風險評估也需要產品安全事件應變團隊(PSIRT)與產品團隊之間的協作,雙方的專業知識必須協調一致,才能準確評估衝擊與攻擊可行性。
圖一:PSIRT 與產品團隊之間的斷聯,阻礙了 TARA 的有效性,專業知識不一致和資料孤立減慢了風險評估速度。
當新的漏洞出現時,PSIRT 團隊經常面臨以下挑戰:
- 系統資料過時:架構與威脅情境已無法反映目前實況。
- 手動風險通知:新的漏洞情報無法倒入 TARA 流程中,以致切斷了偵測和回應之間的連結。
- 人力執行風險分析:衝擊與攻擊可能性必須手動分析評估,導致決策速度遲緩。
多數企業都缺乏一個「閉環(closed-loop)」的工作流程,無法將漏洞/威脅情報直接回饋到 TARA 更新中,以即時調整風險評估與緩解措施。他們依賴人工流程,當有新的 CVE(常見漏洞與暴露)發佈時,沒有任何機制能啟動 TARA 更新。
結果是什麼?回應延遲—攻擊者可趁機藉此時間差發動攻擊。等到風險被完整評估時,損害可能已經造成。
轉型關鍵:從靜態清單到動態風險管理引擎
若要稱得上真正動態的風險管理流程,必須要能跟上新興威脅的腳步。這時候「動態 TARA」應運而生—它將靜態風險評估轉化為一個持續演化的防禦引擎,實現早期威脅偵測、縮短反應時間、並將攻擊者的可乘之機降至最低。
透過在產品生命週期中跨越 V 模型的鴻溝,以VicOne與 SystemWeaver 的合作來看,他們為企業實現了一個閉環的工作流程—從威脅情報、到 TARA 自動觸發、再到風險評估更新與PSIRT行動。SystemWeaver的SDV平台與 VicOne的xZETA產品安全平台之間的資料無縫交換,是這項整合的動力來源。關鍵輸入內容,如威脅情境、攻擊路徑與可行性評級,都會自動導入到 TARA 流程中。整個流程透過配置管理和全面可追溯性,能確保持續符合法規要求。成果就是:減少人工投入、回應速度加快,從被動救火轉為主動、掌控全局的風險管理。
圖二:漏洞分析與 TARA 的自動化及動態整合,縮減了 PSIRT 與產品團隊之間的資訊落差,使車輛風險管理更具適應性與動態性。
優勢所在:將 TARA 轉化成企業的網路安全優勢
動態 TARA 不僅是產品安全的基礎,更是一個風險管理引擎,賦能組織能夠應對快速演變的威脅。動態 TARA 的真正價值,不僅僅在於自動化,更在於賦予組織能力去匹敵、甚至超越對手的敏捷性。這種思維上的轉變,讓風險管理成為產品安全的核心支柱。
重新思考你對漏洞管理與 TARA 的策略。彌合差距、形成閉環,並早一步應對網路風險與威脅。
