您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
進入內容區塊

內政部警政署保安警察第一總隊全球資訊網

::: 回首頁 / 網站導覽 / English
小 中 大
進階搜尋
:::
:::

資安訊息

發布日期:115-05-15

發布單位:保安警察第一總隊

資安週報-第 40 期(115/4/06 - 115/4/12)
資安儀表板
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標

事件通報:
       近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息

建議持續強化資安管理能力 逐步由預設信任轉向最小權限與行為可追溯之機制
       本週總計接獲4件公務機關與特定非公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。本週通報案件均涉及個人電腦遭惡意程式感染,包含安裝來源不明之軟體,或透過 USB 裝置進行惡意程式傳播,並由共用設備(如會議室電腦)擴散至其他個人電腦。相關事件多非利用系統漏洞,而係透過使用行為與設備使用情境形成入侵機會,且因來源不明與設備共用等因素,常導致事件來源難以追溯,增加釐清與應變之困難。
       針對此類風險,關鍵在於補強終端設備之信任邊界與可視性,避免透過不明軟體或USB裝置帶入未經控管之程式或內容,造成防護機制失效。治理上應由「預設信任」轉向「最小權限與可追溯性」,並透過技術與管理並行強化控管,包括限制非授權軟體安裝(應用程式白名單)、加強USB使用控管、納管共用設備並落實使用限制;同時導入端點偵測(EDR)與集中式日誌機制,以提升行為監控與事件追溯能力,降低非漏洞型入侵風險。

防護建議:
除修補漏洞外,應:
以攻擊為出發評估潛在風險
‧惡意程式透過USB裝置擴散感染多台電腦
‧安裝不明軟體導致後門程式長期潛伏

針對潛在風險執行相應改善
‧建立應用程式白名單機制,限制未授權軟體安裝與執行行為
‧強化USB裝置使用控管機制,避免未經授權設備連接主機
‧導入端點偵測與回應機制,即時掌握異常行為與感染狀況
‧納管共用設備使用規範,落實帳號控管與操作行為紀錄機制

聯防監控:
       近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統

防禦迴避高居首位 偵測刺探仍具威脅 
      「偵測刺探」事件本週占比為12.9%,為本週占比次高的攻擊階段,顯示攻擊者持續強化對目標環境的前期偵查與情報蒐集行動。觀察到的主要手法包括主動式掃描、IP 區段掃描、以及DNS與被動式 DNS 情資蒐集。攻擊者透過自動化工具大規模掃描外部網段,以識別可存取服務與潛在攻擊入口,並結合被動式 DNS 資料分析,掌握目標組織之網域架構、子網域分佈及歷史解析關聯,進一步描繪完整攻擊面。此類行為融合主動與被動偵查技術,具低互動性與高隱蔽特性,能有效提升後續攻擊的精準度與成功率。建議加強對異常掃描流量的即時監控與阻擋機制,定期盤點對外資產與DNS資訊曝光情形,並結合威脅情資進行來源分析,以提前識別潛在攻擊準備活動。

防護建議:
建議機關採取下列防護措施:
防禦迴避(Defense Evasion
‧強化端點防護(EDR / XDR),監控異常指令與行為鏈
‧啟用並集中管理指令紀錄(如 PowerShell、CMD、Shell logging)
‧防止日誌被刪除或竄改(啟用防竄改機制、集中式 SIEM)
‧限制高風險系統工具使用(如 PowerShell、WMI、PsExec)
‧實施最小權限原則(Least Privilege),降低濫用風險
‧強化特權帳號管理(PAM、MFA、帳號行為監控)

偵測刺探(Reconnaissance)
‧建立異常掃描流量偵測與阻擋機制(IPS / WAF / Firewall)
‧對外服務加上存取控制(IP allowlist / rate limiting)
‧定期盤點與縮減外部攻擊面(開放服務、Port、API)
‧管理與清查 DNS 暴露資訊(子網域、歷史解析紀錄)
‧導入被動 DNS 與威脅情資比對來源可疑性

蜜罐誘捕:
近一週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利用的弱點趨勢

通用型Web介面攻擊增加
       本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比74.88%、「遠端控制」服務攻擊占比21.53%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達73.64%。「遠端控制」服務亦有23.06% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
       網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。

資料來源:國家資通安全研究院資安週報重點節錄