本篇的責任是建立 threat-informed validation 路徑。讀者讀完後,能把攻擊行為模型轉成控制面驗證與偵測測試。

核心論點

Threat-informed validation 的核心概念是用威脅行為驗證防守能力。防守驗證從「控制是否存在」升級為「控制是否能在對手行為下持續生效」。

讀者入口

本篇適合銜接 7.1 攻擊者視角(紅隊)與攻擊面驗證7.B3 資安控制驗證MITRE ATT&CK Evaluations

驗證流程

步驟責任產出
Threat selection選擇要驗證的攻擊行為threat scenario
Control mapping對應控制面與偵測規則control map
Emulation design設計可重複測試流程exercise script
Signal check檢查告警、分級與交接signal evidence
Decision review審查 containment 與回應判讀response review
Write-back回寫規則、runbook、章節backlog updates

Threat 選型

Threat 選型的責任是聚焦高風險路徑。選型可優先對準 identity abuse、edge exposure、supply chain tampering 與 data exfiltration。

控制映射

控制映射的責任是把威脅行為接到服務控制面。每個威脅情境都需要標示 identity、entrypoint、data、supply chain、detection 與 governance 的責任邊界。

驗證證據

驗證證據的責任是讓測試結果可比較。常見證據包含規則命中率、triage 時間、誤報率、containment 完成時間與回寫完成率。

失配修正

失配修正的責任是讓驗證結果轉成改進行動。當控制面與行為模型失配時,修正可以落在規則調校、流程補強或控制新增,並同步更新 release gate 與 runbook。

判讀訊號與路由

判讀訊號代表需求下一步路由
控制存在但測試命中率低需要重整映射與規則7.B7 → 7.B5
測試命中後交接速度慢需要優化 triage loop7.B7 → 7.B6
測試結果只記錄成功與失敗需要補 evidence 指標7.B7 → 7.B3
高風險行為未納入演練需要擴充 scenario 庫7.B7 → 7.B9

必連章節

完稿判準

完稿時要讓讀者能把一個威脅路徑轉成驗證方案。輸出至少包含威脅選型、控制映射、測試設計、證據欄位、修正路由與回寫位置。