您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
進入內容區塊

內政部警政署保安警察第一總隊全球資訊網

:::

資安訊息

發布日期:115-06-10

發布單位:保安警察第一總隊

政府機關與關鍵基礎設施單位外網曝險統計與研析
一、多期數據呈現收斂,主動監測具體掌握曝險變化
自3月起至本期之EASM檢測結果,公務機關與CI之外網曝險總量整體呈現收斂趨勢,顯示主動監測機制已能持續掌握外部攻擊面變化,並協助定位高風險項目與改善重點。

二、基礎連線風險持續下降 
各受測單位在「過時或弱加密協定」及「TLS憑證不受信任」等基礎連線安全項目已有明顯改善。以公務機關為例,第35期「TLS憑證不受信任」為1,853項,至第41期已未檢出。

三、元件漏洞仍為主要曝險來源
「元件高風險漏洞」仍長期位居公務機關與CI單位風險排行榜首,為目前最主要之外網曝險來源,須持續列為警訊通知與改善追蹤重點。如舊版Apache HTTP Server。

四、網站應用層風險浮現,後續仍須強化防護縱深
隨著基礎連線安全與憑證問題逐步降低,網站應用層安全設定不足問題逐漸浮現。如CSP設定不當、未部署WAF等。

五、後續防護建議
外網曝險治理將持續運用週期性監測與警訊通知機制,推動受測單位落實弱點修補、元件版本管理及網站應用層防護等,建議機關可採取下列安全措施:
(一)落實軟體資產盤點與元件版本管理
(二)強化網站應用層防護能力
(三)持續降低不必要之外部攻擊面

資料來源:國家資通安全研究院資安週報重點節錄