資安儀表板
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標

事件通報：
        近一週公務機關資安事件通報之類型與數量，同時包含民營機構依規定揭露重大資通安全訊息

開發套件所造成之供應鏈事件應持續監控憑證與異常存取 防範權限濫用
       本週總計接獲15件公務機關與特定非公務機關事件通報，公務機關非法⼊侵事件中以異常連線占多數。本週有機關偵測發現異常網域查詢行為，經研判與近期 Axios NPM 供應鏈攻擊事件相關。該事件係駭客於官方套件中植入惡意相依套件，當開發或系統環境執行套件安裝時，惡意程式即於背景自動執行，對外連線至特定網域進行報到，並依不同作業系統下載對應之惡意程式，建立持續性存取管道。整體攻擊過程快速且具隱蔽性，甚至會於執行後自動清除痕跡，使受害主機難以察覺異常。
       鑑於此類攻擊可能蒐集開發環境中之憑證、API 金鑰或環境變數，一旦外洩，恐導致雲端服務或內部系統遭未授權存取，風險由單一主機擴大至整體環境。技術面上，除應即時隔離受害主機並阻斷異常連線外，應全面檢視並更換相關憑證與金鑰，盤點其使用範圍與權限，並加強存取紀錄與異常行為監控，以防止後續濫用。管理面上，應強化開發人員對敏感資訊保護之認知，避免將憑證或金鑰明文存放於程式碼或環境中，並建立安全的憑證管理與存取機制(如集中控管、定期輪替與最小權限設定)，同時提升對開源套件風險與異常行為之辨識能力，以降低供應鏈攻擊所帶來之影響。
防護建議：

除修補漏洞外，應：
以攻擊為出發評估潛在風險
‧惡意套件植入後門竊取憑證並持續存取
‧供應鏈攻擊橫向擴散影響多系統環境

針對潛在風險執行相應改善
‧建立套件來源驗證機制，避免使用未經審核或異常開源套件
‧強化憑證與金鑰管理機制，落實集中控管與定期輪替措施
‧導入異常連線監控機制，即時偵測對外可疑網域通訊行為
‧建立開發環境安全控管機制，避免敏感資訊明文存放於系統中

聯防監控：
       近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為，提醒公務機關留意攻擊趨勢變化，是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
防禦迴避高居首位 初始入侵仍具威脅
       本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示，本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法，占比15.9%，攻擊者通常會透過關閉或刪除指令紀錄，並利用合法的系統工具間接執行惡意命令，以達到規避監控的目的。因應此類威脅，建議導入端點防護措施，加強指令紀錄的稽核能力，限制高風險工具的濫用，並強化特權帳號的管理，以避免攻擊者繞過偵測並消除其行為痕跡。
      「偵測刺探」事件本週占比為13.7%，為本週占比次高的攻擊階段，顯示攻擊者在攻擊前期持續加大對目標環境的偵查與資訊蒐集力度。觀察到的主要手法包括主動式掃描、IP 區段掃描、以及DNS 與被動式 DNS 情資蒐集。攻擊者透過自動化工具對大範圍網段進行探測，以識別可存取服務與開放埠，並結合被動式 DNS 分析，掌握目標組織之網域架構、子網域關聯與歷史解析紀錄，進一步描繪完整攻擊面。此類行為結合主動與被動偵查手法，具備低互動、高隱蔽的特性，且能有效提升後續攻擊的成功率。建議強化對異常掃描流量的監控與阻擋機制，定期盤點與控管對外資產與DNS資訊曝光情形，並結合威脅情資分析，以提前辨識潛在攻擊準備活動。

防護建議：
建議機關採取下列防護措施：
防禦迴避（Defense Evasion）
‧強強化端點防護（EDR / XDR），監控系統工具濫用（如 PowerShell、cmd）
‧啟用並集中化指令紀錄（Command Logging）與稽核機制
‧限制與控管高風險工具使用（如 LOLBins）
‧建立特權帳號管理機制（PAM），降低權限濫用
‧偵測異常⾏為

偵測刺探（Reconnaissance）
‧部署網路層防護
‧建立流量基準（Baseline），識別異常大量探測行為
‧定期盤點對外資產（External Attack Surface Management）
‧控管 DNS 資訊暴露
‧導入威脅情資（Threat Intelligence）

資料來源：國家資通安全研究院資安週報重點節錄