資安儀表板
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標

事件通報：
       近一週公務機關資安事件通報之類型與數量，同時包含民營機構依規定揭露重大資通安全訊息

建立完善帳號控管與監測 提升整體資安防護能力
        本週總計接獲14件公務機關與特定⾮公務機關事件通報，公務機關非法入侵事件中以異常連線占多數。本週有機關SOC偵測發現主機存在異常行為程式，經查係維護廠商於維運作業中使用之 Python 程式，使單一帳號可同時遠端存取多個系統，後續已依機關政策調整。
        單一帳號具備多重操作權限(如多重連線、主機操作及遠端控制)，將大幅放大帳號遭濫用時之影響範圍，且相關行為不易與正常維運區隔，提高異常行為偵測困難。建議機關依防護基準落實最小權限原則，僅授予執行業務所需之必要權限，避免權限過度集中；並強化遠端存取管理機制，落實事前授權、使用限制及來源控管，以降低帳號遭濫用及系統被橫向擴散利用之風險。

防護建議：
除修補漏洞外，應：
以攻擊為出發評估潛在風險
．攻擊者濫用高權限帳號橫向移動控制多系統
．利用維運工具隱匿惡意行為規避監控機制
針對潛在風險執行相應改善
．落實最小權限原則，限制帳號僅具備執行業務所需最低權限範圍
．建立遠端存取控管機制，強化來源限制與連線行為審核機制
．導入特權帳號管理制度，強化操作紀錄留存與即時監控機制
．強化端點與主機行為監控機制，即時偵測異常程式執行行為

聯防監控：
        近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為，提醒公務機關留意攻擊趨勢變化，是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統

防禦迴避高居首位 初始入侵仍具威脅
       本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示，本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法，占比13.7%，攻擊者通常會透過關閉或刪除指令紀錄，並利用合法的系統工具間接執行惡意命令，以達到規避監控的目的。因應此類威脅，建議導入端點防護措施，加強指令紀錄的稽核能力，限制高風險工具的濫用，並強化特權帳號的管理，以避免攻擊者繞過偵測並消除其行為痕跡。
      「初始入侵」事件本週占比為13.4%，為本週占比次高的攻擊階段，顯示攻擊者持續強化對目標環境的入侵行動。此階段代表攻擊者首次取得系統或網路的存取權限，為後續攻擊活動的起點。本週主要觀察到的手法包括利用對外應用程式漏洞、預設帳號濫用、以及本機帳號存取。攻擊者多半透過未修補的公開服務漏洞直接入侵系統，或利用預設帳號與弱密碼組合存取管理不當的服務；另有部分行為顯示攻擊者利用既有本機帳號進行登入，以繞過邊界防護機制。此類手法不依賴使用者互動，主要聚焦於系統弱點與帳號管理缺失，具高度成功率與隱蔽性。建議定期執行外部資產弱點掃描與修補、強化帳號管理與驗證機制，並導入異常登入行為監控，以降低攻擊者透過既有存取管道入侵的風險。

防護建議：
建議機關採取下列防護措施：
防禦迴避防護建議
．強化指令與日誌稽核
．限制系統工具濫用
．導入端點防護（EDR/XDR）
．加強特權帳號管理
．防⽌日誌刪除與關閉
初始入侵防護建議
．定期弱點掃描與修補
．強化帳號與驗證機制
．管控本機帳號使用
．建立異常登入監控
．降低對外攻擊面
整體強化
．導入零信任架構
．建立MITRE對應與監控
．強化持續監控與應變能力

資料來源：國家資通安全研究院資安週報重點節錄