本週總計接獲13件公務機關與特定非公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。有機關於例行檢視郵件伺服器日誌時,發現異常佇列及國外 IP 登入後發信情形,且寄件紀錄遭刪除,研判可能因社交工程郵件導致帳號密碼外洩並遭濫用。
原僅供內部使用之系統一旦開放外部存取,其風險即隨之提高。機關於提供遠端使用便利性時,應審慎評估開放必要性與範圍,避免預設全面對外開放;如確有需求,建議限制存取來源(如評估是否開放國外 IP),並採取多重保護措施(如強化身分驗證及存取管控),以降低不必要之暴露風險。
本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示,本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法,占比13.5%,攻擊者通常會透過關閉或刪除指令紀錄,並利用合法的系統工具間接執行惡意命令,以達到規避監控的目的。因應此類威脅,建議導入端點防護措施,加強指令紀錄的稽核能力,限制高風險工具的濫用,並強化特權帳號的管理,以避免攻擊者繞過偵測並消除其行為痕跡。
「偵測刺探」事件本週占比為12.0%,為本週占比次高的階段,顯示攻擊者持續加強對目標環境的前期偵查與情報蒐集行動。觀察到的主要手法包括主動式掃描、IP 區段掃描、以及DNS 與被動式 DNS 情資蒐集。攻擊者除透過主動掃描大量網段以識別對外服務與開放埠外,亦利用被動式 DNS 資料分析目標組織之網域結構、子網域關聯與歷史解析紀錄,以建立更完整的攻擊面視圖。此類行為結合主動與被動技術,能有效降低被偵測風險,同時提升後續攻擊的精準度。建議強化對異常掃描流量的監控與阻擋機制,並定期盤點與管控公開資產與DNS資訊曝光情形,搭配威脅情資分析,以提前掌握潛在攻擊準備活動。
