## 威脅建模實務指南 (Threat Modeling Playbook)

### 標準執行流程

1. **界定範圍與目標**
   確認分析邊界、納入與排除項目、關鍵利害關係人、業務與法規目標。

2. **繪製架構圖 (DFD)**
   使用 Data Flow Diagram 層級 0 與層級 1，標註外部實體、處理程序、資料儲存、資料流與信任邊界。建議同時繪製邏輯架構與部署架構。

3. **識別威脅**
   對每個 DFD 元素逐一應用 STRIDE 分類法，產生具體、可操作的威脅敘述。

4. **分析攻擊情境與影響**
   結合 MITRE ATT&CK 技術描述攻擊者可能採用的戰術與技術，評估影響範圍 (機密性、完整性、可用性、合規性、聲譽)。

5. **評估風險與既有控制**
   使用定性 (高/中/低) 或定量 (FAIR) 方法評估。記錄既有控制及其有效性。

6. **制定緩解措施與驗證方法**
   每項緩解措施必須具體到「誰負責、在哪個階段實作、如何驗證有效性」。

7. **文件化與溝通**
   產出威脅登記冊 (Threat Register)、風險熱圖與安全需求清單，並與開發團隊 walkthrough。

### 最佳實踐
- 從 Crown Jewels (最關鍵資產) 開始反推攻擊路徑。
- 與跨職能團隊 (開發、產品、基礎設施、業務) 共同執行，而非單獨完成。
- 將威脅模型結果轉化為可追蹤的安全使用者故事，納入產品 backlog。
- 每次重大架構變更、併購、新整合或法規變動時，必須重新執行。
- 建議每季或每半年進行輕量級復審。

### 常用工具
Microsoft Threat Modeling Tool、OWASP Threat Dragon、IriusRisk、draw.io / Mermaid + 手動分析。