38. 在風險管理上,使用威脅評估模 型進行供應鏈資安風險評估。請問下何者敘述錯誤?
(A) DREAD 是威脅建模的一種模式
(B) STRIDE 是威脅建模的一種模式
(C) VAST 是威脅建模的一種模式
(D) NIST 是國際標準的威脅建模

答案:登入後查看
統計: A(28), B(42), C(61), D(231), E(0) #3415913

詳解 (共 2 筆)

#6353297
正確答案是 (D) NIST 是國際標準...
(共 1099 字,隱藏中)
前往觀看
11
1
#6415387

總結

DREAD、STRIDE 與 VAST 均為業界公認的「威脅建模(Threat Modeling)」模式或框架,用以協助系統性地識別、分類與評估安全威脅;然而,NIST 雖發佈了多份「威脅建模指南」(如 SP 800-154),卻以「NIST」為名的威脅建模模式,因此選項 (D) 錯誤。

各選項解析

(A) DREAD 是威脅建模的一種模式

  • 正確。DREAD 最初由 Microsoft 提出,作為一套「風險評分模型」,以 Damage、Reproducibility、Exploitability、Affected users、Discoverability 五項維度對威脅進行量化評估。(維基百科)

(B) STRIDE 是威脅建模的一種模式

  • 正確。STRIDE 由 Praerit Garg 與 Loren Kohnfelder 在 Microsoft 開發,提供 Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege 六類威脅分類,廣泛用於威脅識別。(維基百科)

(C) VAST 是威脅建模的一種模式

  • 正確。VAST(Visual, Agile, and Simple Threat)由 ThreatModeler 平台提出,強調可視化、敏捷與簡易的企業級威脅建模流程,適合大規模協作與 DevSecOps。(ThreatModeler)

(D) NIST 是國際標準的威脅建模

  • 錯誤。NIST 確實發佈了數份關於威脅建模的指引(例如 SP 800-154《Data-Centric System Threat Modeling》),但它並非一個命名的「威脅建模模式」;NIST 指南屬於方法論與最佳實踐,而非像 DREAD、STRIDE、VAST 那樣的具體模式。(csrc.nist.gov)

答案: (D) NIST。

0
0