您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
進入內容區塊

內政部警政署保安警察第一總隊全球資訊網

::: 回首頁 / 網站導覽 / English / 常見問答 / 雙語詞彙
小 中 大
進階搜尋
:::
:::

資安訊息

發布日期:115-02-23

發布單位:保安警察第一總隊

資安週報-第 32 期(115/2/13 - 115/2/19)
資安儀表板
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標
事件通報:
       近半年非法入侵事件發生原因統計與分析,同時市場產業別公告次數統計
當攻擊建立於被允許的行為上 傳統以漏洞為核心的防護將難以及時介入
       透過近半年非法入侵事件發生原因統計,可發現「使用/下載來源不明之應用程式或套件、弱密碼/密碼遭暴力破解、社交工程」等可歸因於使用者行為之因素,合計占比約70.5%。此一結果顯示,多數事件並非源自重大系統漏洞或高深攻擊技術,而是發生於「看似正常」的日常操作情境,異常狀況多半直到端點出現對外異常連線後,才被監控機制所偵測與揭露。
       此類事件並非單純的偶發性人為疏失,而是攻擊者刻意將初始存取(Initial Access)隱藏於日常工作流程中,使合理且被允許的操作轉化為可被穩定利用的入侵路徑,進而形成可在機關內部持續複製、反覆發生的結構性風險。然而,部分事件於後續處置時,僅止於受駭設備的重建或隔離,未同步檢視帳號、憑證與權限是否可能外洩,致使攻擊者仍可能利用既有身分再次進入系統。
       面對此一趨勢,資安治理重點應由事後應變前移至風險成形前的管理。除系統防護與權限管控外,更應將下載、附件、外部網站、可攜式媒體與遠端存取等高風險使用情境納入控管,使日常必要行為在被允許的同時,維持可控與可追溯;並將防護視角由對外連線偵測前移至端點行為觀測,掌握程序執行與檔案行為脈絡,於異常連線發生前即介入處置。對已偵測的異常連線,亦應預設具有身分與存取風險,切斷再次入侵能力納入結案條件,以避免風險反覆發生。 
       依市場產業別公告次數統計,近半年資安事件重訊通報以通信網路業及生技醫療業占比最高(各16.1%),為主要受影響對象。整體而言,資安風險不再集中於特定產業,建議各產業持續強化端點防護、帳號存取管理及供應鏈與委外控管,以降低事件發生與擴散風險。
聯防監控:
       近?週以MITRE ATT&CK Matrix 分析攻擊者?為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進?影響層?更?竊取資料與破壞資通系統
政府聯防監控顯示攻擊行為持續聚焦入侵後控制 防禦迴避占比居各階段之首
       本期(2025年7月至2026年1月)政府資安聯防監控事件依 MITRE ATT&CK 戰術架構統計,整體趨勢顯示攻擊行為明顯集中於入侵後之控制與隱匿階段,各階段分布詳見圖3;其中防禦迴避為占比最高之攻擊階段,約占整體事件的15.8%,顯示攻擊者在取得初步存取後,持續透過削弱或規避稽核機制、清除命令歷程及採用間接執行方式,以降低被偵測風險並延長在受害環境中的存續時間;其次為偵測刺探(11.7%)與惡意執行(11.2%),反映攻擊活動同時涵蓋入侵前之系統性偵蒐行為與入侵後之實際操作行為,前者多見於網段掃描及 DNS相關情資蒐集,顯示對外部資產曝露面的持續探測,後者則大量濫用Visual Basic、PowerShell 與 Python 等腳本語言,作為執行指令與操控系統的主要手段。初始入侵階段占比約為9.5%,仍以對外服務弱點利用、預設帳號及供應鏈相關風險為主要途徑,而攻擊整備階段亦占9.1%,顯示攻擊者在實際入侵前,已具備可規模化之攻擊資源與基礎設施。
       整體而言,惡意執行、維續存取、權限提升、防禦迴避與憑證竊取等入侵後相關階段合計占比已接近整體事件的一半,顯示威脅型態已由單純突破防線,轉為著重於隱匿性、持續性與橫向操作能力,建議防禦策略除持續強化對外服務、帳號與弱點治理外,應進一步提升命令與腳本執行行為之可視性與稽核完整性,並針對防禦迴避、間接執行及憑證濫用等高風險行為建立具關聯性的偵測與應處機制,以強化對入侵後活動的整體掌握能力。
蜜罐誘捕:
       近半年誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利?的弱點趨勢
Citrix NetScaler ADC與Cisco IOS XE網通設備作業系統成這半年內的攻擊熱點
於2025/07/07至2026/01/25之半年內透過部署於國內外之蜜罐系統觀測攻擊行為動態,各類服務之平均偵測攻擊比例結果顯示「網頁應用」服務為攻擊主軸,占比高達83.25%。「遠端控制」服務亦有14.39%的誘捕比例,反映攻擊者積極針對公開遠端連線介面進行入侵行動。
防護建議:
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。
近期重?弱點提醒
利用之「漏洞利用預測評分系統」(Exploit Prediction Scoring System, EPSS)為FIRST組織提出之項目,利用機器學習模型評估漏洞被利用之可能性,EPSS分數可視為漏洞被利用的機率(範圍為0至100%),表示未來30天內可能會被利用的機率,因此根據評估時間不同,分數亦可能有所改變。
外部曝險分析:
經由近半年外部曝險檢測結果,分析公部門與關鍵基礎設施業者現況,及早發現曝露於外部之風險,並提出改善方向與防護建議
半年期回顧:整體風險總量下降 惟憑證、加密與元件漏洞仍為長期主軸
綜整114年7月至115年1月之EASM(外部攻擊面管理)檢測結果,涵蓋公部門與關鍵基礎設施(CI)兩類受測對象。整體數據顯示,兩類對象在曝險量級上存在明顯差距:如表3所示,CI單位的平均風險項目數為2,042項,約為公部門405項的5倍,且最高曾出現單期3,283項之紀錄。此一差異反映 CI 因系統架構規模較大、對外服務範圍較廣,其外部攻擊面亦相對更為複雜,爰宜建立規模化之管理機制,並依標準作業流程推動風險管控與改善措施。 

資料來源:國家資通安全研究院資安週報重點節錄