事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息
本週總計接獲16件公務機關與特定⾮公務機關事件通報,詳⾒圖1,公務機關⾮法⼊侵事件中以異常連線占多數,詳⾒圖2。機關設備對外連線惡意 IP,除主要設備遭植入惡意程式外,異地備援主機亦因每日資料同步機制,將受感染內容一併抄寫至備援環境,導致備援主機同時受害。
當設備遭惡意程式入侵時,若備份或備援機制採自動同步方式,受感染資料可能隨同步流程寫入備份環境,進而影響備份檔案之安全性。建議於資料同步或備份前進行掃描,以避免受感染資料寫入備援環境;同時強化備援主機之惡意程式防護與監控,採用具版本控管或不可變特性之備份機制,並透過權限控管與網路區隔降低橫向擴散風險,另定期驗證備份還原可用性,以確保於資安事件發生時仍能有效復原。
除修補漏洞外,應:
以攻擊為出發評估潛在風險,如:
針對潛在風險執行相應改善,如:
本週2家民間企業發布重大訊息,產業類別分為光電業與電腦及週邊設備業。
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
本週資安聯防監控顯示,詳見圖3,整體攻擊態勢呈現從初期偵測階段逐步轉向深層滲透的趨勢。相較於上週,「偵測刺探」階段佔比由15.54%下降至13.76%,「攻擊整備」亦從10.68%降至7.98%,顯示攻擊者已完成前期準備工作。
值得關注的是,「防禦迴避」持續位居首位,本週佔比達15.35%,攻擊者常透過關閉或清除指令紀錄、利用合法系統工具執行惡意命令等手法,企圖規避資安監控機制。其次為「偵測刺探」13.76%,攻擊者持續進行目標環境的資訊蒐集。第三高為「初始入侵」9.75% ,較上週8.92%上升,顯示攻擊者正積極嘗試突破防線。
同時,「維續存取」從6.83%提升至9.14%,「資訊蒐整」從1.36%增至2.50%,「資料滲出」從1.46%增至2.39%,顯示部分攻擊已進入後期階段。此趨勢提醒企業應密切留意攻擊是否由初期偵測刺探進入更具破壞性的資料竊取與系統破壞階段,及時採取應變措施。
建議機關採取下列防護措施:
強化防禦迴避偵測能力
加強初始入侵防護
建立縱深防禦體系
近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比75.16%、「遠端控制」服務攻擊占比21.41%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達78.37%。「遠端控制」服務亦有18.41% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。
另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。而網通設備管理介面比例大幅上升主因為Cisco IOS XE網通設備作業系統特權提升漏洞的CVE-2023-20198,遭攻擊次數大幅上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形,詳見表1。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、特權提升、程式碼注入及遠端程式碼執行漏洞,攻擊目標涵蓋Citrix NetScaler ADC、Cisco IOS XE網通設備作業系統、GeoServer開放源碼伺服器、PHP及Apache Solr企業搜尋平台,顯示此類系統已成為高風險熱點。
防護建議:
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。
|
排名 |
漏洞編號 |
受影響產品 |
CVSS 3.x Base Score |
|---|---|---|---|
|
1 - |
Citrix NetScaler ADC |
7.5 |
|
|
2 ↑1 |
Cisco IOS XE網通設備作業系統 |
10 |
|
|
3 ↓1 |
GeoServer開放源碼伺服器 |
9.8 |
|
|
4 - |
PHP |
9.8 |
|
|
5 ↑New |
Apache Solr企業搜尋平台 |
8.8 |
近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:
Cisco已發布安全性更新,修補Secure Email Gateway(SEG)與Secure Email and Web Manager(SEWM)所使用之AsyncOS作業系統中高風險安全漏洞(CVE-2025-20393),類型為不當輸入驗證(Improper Input Validation),該漏洞允許未經身分鑑別之遠端攻擊者可利用此漏洞以root權限於受影響設備底層作業系統執行任意指令。
Cisco整合通訊多項產品存在高風險安全漏洞(CVE-2026-20045),類型為程式碼注入(Code Injection),未經身分鑑別之遠端攻擊者可透過傳送特製HTTP請求至受影響設備以執行任意指令,進而提升至root權限。
經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險
本期針對43個公部門單位進行EASM資安曝險檢測,共計發現310項重大與高風險弱點,詳見圖5,其中包含12項重大風險與298項高風險弱點。結果顯示,整體外部曝險情勢較上期(344項)有所改善,風險總數下降約10%。從風險類別分布觀察,本期仍以「TLS憑證不受信任(101項)」、「過時或弱加密協定(83項)」、「CSP設定不當(54項)」及「元件高風險漏洞(36項)」為主要類別,四類合計占比約88%,此一分布反映多數單位在憑證管理、漏洞修補及網站安全設定上仍存在普遍性風險,亦為現階段資安防護的主要挑戰。
進一步比較兩期差異,「元件高風險漏洞」由68項降至36項,降幅達47%,為本期改善最明顯項目;「TLS憑證不受信任」由97項增至101項,呈現小幅上升趨勢;「過時或弱加密協定」由85項降至83項,顯示加密協定改善有所進展;「CSP設定不當」由54項維持持平;另「未部署 WAF」則由20項降至19項,反映部分單位對網站應用程式防護重視程度略有提升。
防護建議:
建議機關或關鍵基礎設施採取下列防護措施:
建議機關或關鍵基礎設施採取下列管理措施:
追蹤詐騙訊息與⼿法演變,掌握政府機關實施之打詐政策與機制,是否達成其控制⽬標
年初話題降溫 整體趨勢較前週回落 仍請留意假促銷、假客服與假投資
整體觀察「全部高風險」總量趨勢,本期監測數據較前一週回落,詳見圖6,顯示先前因年初交易、金流與投資話題帶動的活躍度,本週已有所降溫。不過,趨勢回落不代表詐騙消失;詐騙內容常隨題材更換而改變包裝,仍請民眾持續落實「先查證、再行動」原則,避免因一時鬆懈而受害。
從詐騙類型來看,「產品服務」仍為主要風險來源,但本期整體較前週減少。此類詐騙常搭配年初促銷、福袋、限量商品、二手交易與票券轉售等情境,透過假賣家、偽造付款或物流通知、催促付款,或引導點擊不明連結等手法進行。提醒民眾,交易資訊請以官方 App 或官網查詢為準,避免被引導改走私訊下單、站外付款或不明連結流程。
「身分冒充」本期亦較前週回落,但仍持續可見「假冒親友」、「假冒公部門」、「假冒企業客服或金流客服」等手法。常見話術多以「退款、取消交易」、「帳戶異常」、「需立即驗證」等情境製造壓力,進一步要求提供驗證碼、配合操作或下載工具。提醒民眾遇到自稱官方來電或私訊時,先中止互動,再改以官方電話或官方客服管道查證。
「金融投資」本期降溫最為明顯,顯示先前投資題材造成的活躍度已暫緩。然而,此類詐騙常以「投資理財」、「虛擬貨幣」、「老師帶單」、「高報酬穩賺」等話術包裝,並透過社群群組、私訊邀請、獲利截圖或名人背書引導入金;一旦受害,損失金額往往較高,仍請民眾保持高度警覺,切勿因短期回落而降低查證強度。
綜整而言,本期高風險整體趨勢較前一週回落,三大類型同步減少;其中「產品服務」仍是最主要風險來源;「身分冒充」仍以假客服、假公部門情境誘導操作;「金融投資」雖降溫但屬高損失風險類型,後續仍需持續宣導與防範。
提升多平台風險警覺
強化身分驗證與求證習慣
善用官方資訊與檢舉機制
本週代表性詐騙關鍵字Top 10 以「優惠」、「推薦」、「設計」、「免費」為主軸,詳見圖7,顯示詐騙話術仍常以「折扣與贈送」包裝成看似正當的促銷或服務資訊,再透過「推薦背書、客製設計」等措辭建立信任,引導民眾採取下一步行動。常見情境包含「限時優惠、買贈活動、免費提供/免費體驗」等,藉此降低戒心,進而導向點擊連結、填寫資料或移轉至站外頁面,進行後續的蒐集個資、誘導下單、要求匯款或綁定付款方式等操作。
本週亦可見「必備」、「限量」、「神器」等字眼頻繁出現,常被用於團購、清潔用品、家電/小物等「看似實用、價格誘人」的宣傳,並以倒數、名額、限量組數等方式催促民眾立即點擊連結下單。此類貼文多導向陌生購物頁、短網址或多層跳轉頁面,風險包含釣魚頁面、假網站、盜刷,或以「加購、升級、保留名額」名義引導追加付款。呼籲民眾切勿在不明網站輸入信用卡、網銀、身分證件等敏感資訊,並應優先查核賣家資訊、退換貨規則、客服聯繫方式與付款安全機制。
另就「推薦」與「設計」之用語觀察,除商品行銷外,也常出現在加盟創業、課程顧問、量身規劃等服務型內容,透過「專業推薦、客製設計、完整方案」營造可信形象,實際卻可能將費用、合約條款、退費規則等關鍵資訊隱藏於私下說明或站外頁面,並要求先繳交訂金、入會費、教材費或其他名目費用。提醒民眾,凡涉及合約或付款事項,務必要求提供完整書面資料並審閱條款;若對方以「名額有限、立即決定」催促付款,請提高警覺並先行查證。
此外,本週亦出現以「台灣」或「日本」等在地/海外元素作為包裝之情形,例如宣稱「官網首賣」、「海外技術」、「日本最新」等,用以提高可信度並吸引點擊。此類內容可能用於商品銷售、保健宣稱、或各式資訊型貼文引流;若後續導向陌生連結、要求填寫資料、或引導至非官方客服窗口,即應視為高風險。建議民眾以品牌官方網站、公開客服與正式通路進行比對查核,避免僅憑貼文宣稱或截圖即進行交易。
綜合本週觀察,常見手法多為先以「優惠/免費」作為入口,搭配「推薦/設計」建立信任,再以「限量/必備/神器」等話術加速決策,並透過連結導流將民眾帶往較不透明的站外環境,進一步推動付款、匯款或提供敏感資料。提醒民眾:凡遇要求先點不明連結、先登記才能取得資訊、或要求先付款/提供帳戶與身分資料者,請立即停止操作並先行查證;建議優先透過官方網站與公開客服管道確認真偽,以降低受騙風險。
政府機關導入零信任架構參考指引—信任推斷草案重點
我國政府零信任架構參考NIST SP 800-207文件,採行身分鑑別、設備鑑別及信任推斷三階段循序推動。所有使用者與設備在存取資訊資源(如資通系統)前,皆須通過存取閘道進行驗證,數位發展部資通安全署偕同國家資通安全研究院(簡稱資安院)已於113年頒布身分與設備鑑別之參考指引。
資安院於114年完成了政府機關導入零信任架構參考指引—信任推斷草案,本文說明指引重點,信任推斷機制在政府零信任架構中扮演重要的角色,其定位是作為決策引擎的最後一道防線,負責整合並分析所有相關資料,以產生最終的存取決策。信任推斷的流程設計在實現動態、持續的信任評估,確保所有存取請求都能基於蒐集資訊做出判斷,如圖8所示。
信任推斷核心組件
信任推斷伺服器
信任推斷伺服器收集信任推斷所需的來源資料,包含身分鑑別結果、設備鑑別結果、設備健康狀態等,並運用預設的信任演算法執行信任推斷,信任推斷的結果須通過預設的信任門檻或條件,才能允許資源存取。
信任推斷機制
系統必須能夠基於所接收到的各類信任推斷資料來源,如身分鑑別結果、設備鑑別結果、設備健康狀態、來源IP與位置、時間資訊等,進行信任推斷,並最終依照資通系統的風險承受度來進行存取決策控制,為實現此目標,信任推斷可採用以下任一種或混合模式來完成:
規則形式為基礎
信任推斷依據預先定義的資通系統風險承受度設定一系列規則,所有存取請求必須滿足所設定的所有必要規則才能被允許存取。
信任推斷必要功能
核心組件(3個要求): 部署信任推斷伺服器、設備健康伺服器、備健康代理程式。
通訊安全(2個要求):各組件之間採加密通訊、代理程式與伺服器之通訊資料須經鑑別與加密。
管理介面(4個要求):管理介面具備可視性、日誌、支援信任推斷演算法設定。
整合介面(1個要求):提供信任推斷伺服器整合介面。
資安檢測(1個要求):相關組件的弱點掃描與源碼掃描報告,不應存在中級以上風險議題。
結語
政府機關導入零信任架構參考指引—信任推斷草案,近日將公告徵求意見,此參考指引提供了具體的導入程序與驗證方法,有助於機關理解零信任架構與相關技術實作細節,系統化地規劃、執行、檢查並持續優化信任推斷系統,以利提升資安防護能量。
相關資源連結
資安院零信任架構專區:
https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/ZTA/
關鍵字:零信任架構、參考指引、信任推斷
更正啟事
本刊第 28 期第 8 頁〈近期重大弱點提醒〉一文中,將「Google 近期發布 Chrome 144 版安全性更新」誤植為「Google 近期發布 Chrome 114 版安全性更新」,特此更正;網站與第 28 期電子版內容已同步修正。