資安儀表板
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標

事件通報：
        近一週公務機關資安事件通報之類型與數量，同時包含民營機構依規定揭露重大資通安全訊息
無線網路設備亦可能遭惡意利用 衍生資安風險 
        本週總計接獲27件公務機關與特定非公務機關事件通報，公務機關非法⼊侵事件中以異常連線占多數，其中進一步查證，疑似為 Wi-Fi 無線分享器遭駭客入侵後，被植入惡意程式成為殭屍網路（Botnet）之一環。多數皆已針對該設備進行隔離處置與設定檢視，並持續加強相關連線行為之監控。
        建議將 Wi-Fi 無線分享器等網路基礎設備納入資訊資產盤點與資安管理範圍，定期檢視並更新韌體與安全設定，停用不必要之遠端管理功能並強化帳密管理，同時納入網路監控以偵測異常對外連線行為，並透過網路區隔降低設備遭入侵後之橫向影響風險，另建立設備建置與維運之資安檢核與查核機制，以確保相關防護措施持續落實。
防護建議：
除修補漏洞外，應：
以攻擊為出發評估潛在風險，如：
●無線分享器遭入侵成為殭屍網路節點
●異常連線導致橫向移動與資料外洩風險
針對潛在風險執行相應改善，如：
●將無線分享器納入資訊資產盤點與管理範圍
●定期更新韌體並停用不必要之遠端管理功能
●建置網路流量監控以即時偵測異常連線行為
●實施網路區隔與設備隔離降低橫向擴散風險
聯防監控：
        近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為，提醒公務機關留意攻擊趨勢變化，是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
防禦迴避居冠 攻擊整備與惡意執行雙雙攀升 
        本週資安聯防監控顯示，整體攻擊態勢呈現從初期偵測轉向更具威脅性階段的趨勢。與上週相比，「偵測刺探」階段從13.76%下降至11.42%，而「防禦迴避」則從15.35%上升至16.59%，成為，本週最主要的攻擊手法，顯示攻擊者正積極嘗試繞過既有防護機制。
        其次為「惡意執行」階段，從9.40%顯著提升至11.62%，反映攻擊者已成功植入惡意程式並開始執行破壞性操作。第三高為「攻擊整備」階段，從7.98%增加至11.18%，表示攻擊者正在為後續攻擊行動做準備。值得注意的是，「防禦迴避」階段攻擊者常採用關閉或清除指令紀錄、利用合法系統工具執行惡意命令等技術，企圖規避資安監控。
        此外，「維續存取」階段也從9.14%上升至10.26%，顯示攻擊者試圖在受害環境中建立長期據點。整體而言，本週監控數據顯示攻擊活動已從初期的偵測刺探階段，逐步進入到更具破壞性的執行與迴避階段，企業組織應提高警覺，強化縱深防禦能力。
防護建議：
建議機關採取下列防護措施：
強化防禦迴避偵測能力
●導入端點偵測與回應(EDR)解決方案，即時監控異常行為模式
●強化指令紀錄稽核機制，確保所有系統操作留有完整軌跡
●建立應用程式白名單政策，限制高風險工具的濫用
●落實特權帳號管理，定期檢視並限縮管理權限範圍
提升惡意執行防護
●部署進階威脅防護系統，攔截已知與未知惡意程式
●實施應用程式控制政策，防止未經授權的程式執行
●定期更新防毒軟體與威脅情資，確保防護機制與時俱進
強化防禦迴避偵測能力
●建立24小時資安監控中心(SOC) ，即時回應安全事件
●定期進行弱點掃描與滲透測試，主動發現潛在風險
●強化員工資安意識訓練，降低社交工程攻擊成功率
蜜罐誘捕：
        近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢
Citrix NetScaler ADC與Cisco IOS XE網通設備作業系統成攻擊熱點
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態，相較於上週「網頁應用」服務攻擊占比78.37%、「遠端控制」服務攻擊占比18.41%，本週各類服務之平均偵測攻擊比例無明顯變化，結果顯示「網頁應用」服務仍為攻擊主軸，占比高達78.81%。「遠端控制」服務亦有18.00% 的誘捕比例，反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
        網頁應用是最為常見之對外服務類型，若存在已知漏洞，將面臨高風險曝露情形，易成為攻擊者入侵與滲透重要管道，為優先防護之項目。本週網頁應用介面之誘捕狀況。本週通用型Web介面占比最高，此類別為攻擊者廣泛的進行HTTP掃描與探測，顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。
        另Web服務系統類別包含各類以網頁為基礎的服務與應用，例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等，由於此類服務多建置於企業應用環境，且直接面向外部提供功能與資料交換，為僅次於通用型介面的攻擊目標。而網通設備管理介面比例大幅上升主因為Palo Alto Networks PAN-OS 中存在權限提升漏洞的CVE-2024-9474，遭攻擊次數大幅上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面，以及智慧攝影機、NAS等物聯網設備管理介面，皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小，但若涉及關鍵業務系統，仍需留意潛在風險。
        進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形。近3年揭露之攻擊漏洞，前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑，本週漏洞類型多集中於越界讀取漏洞、特權提升、程式碼注入及遠端程式碼執行漏洞，攻擊目標涵蓋Citrix NetScaler ADC、Cisco IOS XE網通設備作業系統、GeoServer開放源碼伺服器、PHP及Atlassian Confluence Server，顯示此類系統已成為高風險熱點。

資料來源：國家資通安全研究院資安週報重點節錄