威脅情境 (Threat Scenario)

#iso-21434 #concept-note #tara #threat-scenario

兩個關鍵概念

Damage Scenario（損害情境）

Quote

adverse consequence involving a vehicle or vehicle function and affecting a road user.

特徵：

站在 road user 角度
描述「不希望發生的結果」
不描述「如何達成」

範例：

「車輛在高速公路失控撞擊」
「車主隱私資料被外洩」
「車輛被遠端鎖死無法啟動」

Threat Scenario（威脅情境）

Quote

potential cause of compromise of cybersecurity properties of one or more assets in order to realize a damage scenario.

特徵：

描述「手段 + 對象」
連結 Asset + Property + Damage

範例：

「攻擊者透過 OBD 注入偽造煞車 CAN 訊息，導致車輛在高速行駛失控」
「攻擊者破解雲端帳號取得車主位置資料」
「攻擊者向 TCU 注入惡意 OTA 韌體導致 TCU 不可用」

兩者關係

                ┌──────────────────────┐
                │ Damage Scenario       │ ← Road User 視角
                │ "車輛失控撞擊"         │   後果
                └──────────┬───────────┘
                           │ 由以下手段達成
                           ↓
                ┌──────────────────────┐
                │ Threat Scenario       │ ← 攻擊者視角
                │ "OBD 注入偽煞車訊號"   │   過程
                └──────────────────────┘
                           ↑
                ┌──────────────────────┐
                │   Affected Asset      │
                │  "Brake CAN message"  │
                └──────────────────────┘
                           ↑
                ┌──────────────────────┐
                │   Compromised Property │
                │   "Authenticity"      │
                └──────────────────────┘

易混淆

Damage ≠ Threat。
命題單位最愛測這個（參考 00-Dashboard/Exam-Traps#Trap 12）。

Threat Scenario 結構

Threat Scenario = Threat × Asset × Property
                = (攻擊行為) × (被攻擊對象) × (被破壞屬性)

範例：
  Threat：注入訊息
  Asset：CAN 煞車訊號
  Property：真實性 (Authenticity)
  → "攻擊者注入偽造煞車訊息（破壞 CAN 煞車訊號的真實性）"

識別 Threat Scenario 的方法

方法 1：STRIDE

縮寫	中文	對應屬性	範例
Spoofing	假冒	Authenticity	假冒 OEM 後端伺服器
Tampering	竄改	Integrity	修改韌體
Repudiation	否認	Non-repudiation	否認自己發過某訊息
Information Disclosure	資訊洩漏	Confidentiality	萃取金鑰
Denial of Service	阻斷服務	Availability	癱瘓 CAN
Elevation of Privilege	提權	Authorization	bypass Security Access

Tip

STRIDE 是業界最常用的方法，每個 asset/property 對照六類，可系統化發現威脅。

方法 2：UN R155 Annex 5 威脅清單

七大類 + 69 條具體威脅。對照清單檢視是否適用於自己系統。

方法 3：Attack Tree

從攻擊目標倒推，建構樹狀分解。

方法 4：Historical Threat Intel

從 CVE / Auto-ISAC / 過去事件學習。

方法 5：Brainstorming + Devil's Advocate

跨團隊腦力激盪 + 「攻擊者思維」演練。

Important

多方法併用 + 跨團隊參與，可降低遺漏。

Threat Scenario 範本

threat_scenario:
  id: TS-TCU-007
  name: "Remote firmware tampering via compromised OTA channel"

  damage_scenario_ref: DS-007
  damage_description: >
    Vehicle behavior unpredictably modified, potentially causing
    crash or denial of service.

  affected_assets:
    - id: A-001 (TCU Firmware)
    - id: A-005 (OTA delivery channel)

  compromised_properties:
    - "Integrity (firmware tampered)"
    - "Authenticity (source not verified)"

  stride_category: "Tampering + Spoofing"

  high_level_attack:
    - "Compromise OTA server credentials"
    - "Replace firmware in package"
    - "Re-sign with stolen key or bypass signature check"
    - "Push to fleet"

  preconditions:
    - "OTA server has internet exposure"
    - "Vehicle accepts updates from OTA server"

  attacker_motivation: "Mass disruption / extortion / sabotage"

  related_un_r155_threats:
    - "T2: Communication channel threats"
    - "T3: Update procedure threats"

  damage_categories:
    - safety: Severe (worst case crash)
    - financial: Major (recall + compensation)
    - operational: Severe (fleet-wide impact)
    - privacy: Major (also exposes data)

Damage Scenario 範本

damage_scenario:
  id: DS-007
  name: "Multiple vehicles affected by malicious firmware update"

  road_user_perspective: >
    Drivers experience uncommanded acceleration / braking,
    potentially causing crashes. Some vehicles bricked.

  affected_user_groups:
    - "Drivers of affected vehicles"
    - "Passengers"
    - "Other road users (collision risk)"
    - "Vehicle owners (asset value loss)"

  worst_case_scenario: "Fatal crash"

  reasonable_scenario: "Service disruption, panic, minor accidents"

  scope:
    geographical: "Region or country-wide if cloud campaign"
    fleet_size_affected: "Up to total fleet"
    duration: "Until OTA recovery deployed"

Threat Scenario 與 Damage Scenario 的多對多關係

              Damage Scenarios
               ↑    ↑    ↑
               │    │    │
            ┌──┴────┴────┴──┐
            │ Threat        │
            │ Scenarios     │
            └───────────────┘

一個 Threat 可能對應多個 Damage：
  "OTA 攻擊" → 可能造成「失控」、「數據洩漏」、「服務中斷」

一個 Damage 可能來自多個 Threat：
  "失控" 可能來自 OTA、CAN 注入、診斷濫用等

Damage Scenario 與 ISO 26262 Hazard 的關係

ISO 26262：Hazard
   └── 從車輛安全角度

ISO 21434：Damage Scenario
   └── 廣義 road user 後果（含 Safety + Financial + Operational + Privacy）

兩者可能重疊（如「失控撞擊」是 Hazard 也是 Damage），但 Damage Scenario 範圍更廣。

證照考點

高頻考點

Damage Scenario ≠ Threat Scenario
Damage 從 road user 角度
Threat 包含 攻擊手段 + 受影響資產 + 受破壞屬性
STRIDE 是業界標準識別方法
UN R155 Annex 5 提供 69 條威脅參考
多對多關係（一 Threat 多 Damage、一 Damage 多 Threat）
識別需多方法併用

Practice

12-TARA-Methods/Practice-TARA

兩個關鍵概念

Damage Scenario（損害情境）

Threat Scenario（威脅情境）

兩者關係

Threat Scenario 結構

識別 Threat Scenario 的方法

方法 1：STRIDE

方法 2：UN R155 Annex 5 威脅清單

方法 3：Attack Tree

方法 4：Historical Threat Intel

方法 5：Brainstorming + Devil's Advocate

Threat Scenario 範本

Damage Scenario 範本

Threat Scenario 與 Damage Scenario 的多對多關係

Damage Scenario 與 ISO 26262 Hazard 的關係

證照考點

Related Notes

Practice