SMSI 論文閱讀分析:很多 CPS threat modeling 真正缺的,不是更多控制清單,而是把系統模型一路推到控制建議
這篇論文最值得看的,不是它又自動推薦了一批 NIST 控制,而是它把 CPS threat modeling 最欠缺的那段補上:從系統模型出發,沿著漏洞證據與 ATT&CK 技術一路推到控制建議,讓安全分析不再只是看圖說故事,而是有結構地把證據串起來。
2026 年 4 月 29 日
Threat Modeling
2026
ASTRAL 論文閱讀分析:當資安風險評估真正卡住時,問題常常不是算不出分數,而是你根本不知道系統長什麼樣
ASTRAL 把多模態 LLM 放在一個比「會回答資安問題」更上游的位置:先從殘缺的架構圖、文件與文字描述中重建 CPS architecture,再把 threat modeling、attack path 與 quantified risk assessment 接回同一條鏈上。這篇真正提醒我們的,是很多風險評估失真,不是因為不會算,而是因為系統地圖從一開始就缺了一半。
2026 年 4 月 10 日
ThreatLinker 論文閱讀分析:當漏洞情報真正要拿來做防禦,光知道有 CVE 還不夠,還得知道它更像哪種攻擊模式
ThreatLinker 把 CVE 描述直接連到 CAPEC attack patterns,不再只靠 CVE→CWE→CAPEC 的鬆散欄位鏈,而是結合 semantic similarity 與資安術語 keyword evidence 做排序。它真正補上的,是漏洞情報從弱點條目走向攻擊模式語意的那一段。
2026 年 4 月 10 日