您的瀏覽器不支援JavaScript功能,若部份網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
友善列印 :
請利用鍵盤按住Ctrl + P開啟列印功能
字級設定 :
IE6請利用鍵盤按住ALT鍵 + V → X → (G)最大(L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小,
而IE7或Firefox瀏覽器則可利用鍵盤 Ctrl + (+)放大 (-)縮小來改變字型大小。
跳到主要內容區塊

資安月報

:::
資通安全網路月報(110年9月)

日期:110-10-15
資料來源:資通安全處

<近期政策重點>

一、為強化我國關鍵基礎設施及公營事業之資安防護能量,請各中央目的事業主管機關協助督導關鍵基礎設施提供者及公營事業設置資安長及資安專職人力,可依關鍵基礎設施提供者或公營事業之規模及其重要性,規劃逐步推動完成設置作業,以維機關(構)資安;如受限於人力或經費資源限制而難以達成者,建議採資通系統向上集中方式,由上級機關(構)資安專責單位協助資安相關業務之推動。
二、為確保重要資通系統整體安全性,機關委外或自行開發資通系統時,除現行相關規定及採用最新採購契約範本外,亦請機關參考下列各項強化措施:
(一)採購階段
1.系統應經風險評估以鑑識資安防護等級,並須經機關資安長確認,以配置合理之資安經費,且重要之資通系統應為高資安防護等級。
2.資安作業納入評選項目,應採用不訂底價之最有利標決選原則,將資安作業納入評選,並於評選時要求說明履約之資安作為及資安經費之配置。
(二)建置階段
1.機關之資訊/資安人員應共同參與,協助落實安全軟體開發生命週期(SSDLC),並參與確認專案重點里程碑。
2.資安防護等級高之系統,可邀請具資安專業之評選委員轉任為機關之資安顧問,協助檢視相關資安管理作為。
3.資安防護等級高之系統應評估導入獨立驗證與認證機制,協助機關於開發過程中進行功能與安全驗證,確保軟體品質,評估結果應經上級機關確認。
(三)維運階段
1.機關應配置資安專職人員,檢視並確認重要資通系統之維運作業確實依照機關資安管理措施落實辦理,例如登入維護、資料備份、效能調校、主機環境及系統版本更新、異常檢視、應變處理及個人資料保護等。
2.廠商應配置資安專職人員,確認各項作業符合雙方之資安管理規範。
3.廠商應自行辦理包含受委託範圍之資安稽核作業;機關應定期辦理對廠商之外部稽核作業,確認落實資安要求。
三、重申各公務機關使用之資通訊產品,不得使用中國大陸廠牌,資通訊產品包括軟體(含原始碼)、硬體及服務。

<整體威脅趨勢>

事前聯防監控

   

      本月蒐整政府機關之資安聯防情資共49,743件,統計近一年情資數量分布詳見圖1。經分析上述資安聯防情資,可明確辨識之威脅種類,第1名為入侵攻擊類(42%),主要係跨目錄存取攻擊及國外IP攻擊行為;其次為掃描刺探類(27%),主要係外部主機執行掃描探測攻擊;以及政策規則類(18%),主要係單一帳號持續登入失敗及排程工作刪除或停用確認。

    其中,依聯防情資彙整資訊進一步分析,發現近期多個政府機關電子郵件帳號遭駭客利用,寄送大量社交工程釣魚郵件與惡意程式垃圾郵件。經深入分析,發現駭客使用駭侵工具暴力破解多組機關人員郵件帳密,並透過受駭電子郵件帳號將取得之帳密回傳至駭客信箱,技服中心已透過聯防監控月報提供相關防護建議予各機關參考。

圖1 資安聯防監控資安監控情資統計

事中通報應變

   本月資安事件通報數量共85件,近一年資安事件通報統計詳見圖2。本月較去年同期通報案件減少31.45%,主要因去年同期某機關執行紅隊演練,其所屬多個機關因紅隊入侵成功而進行事件通報。

圖2 資安事件通報統計

事後資訊分享

   

    某機關郵件伺服器遭使用駭客工具進而產生對外異常連線行為,調查後發現本案係因管理人員未留意微軟郵件伺服器軟體漏洞修正檔更新失敗,導致駭客利用漏洞成功植入惡意程式。

足資借鏡:資通系統漏洞為駭客主要攻擊入侵管道之一,機關如接獲資訊服務廠商釋出漏洞修補通知,應儘速完成系統更新作業,同時注意更新結果,若無法即時完成更新,亦應依廠商建議採取對應之緩解措施,避免駭客利用漏洞入侵成功。

<國內外重點資安新聞>

一、印尼防疫資料庫未妥善進行防護,導致130萬人資料外洩

    印尼防疫追蹤APP使用之資料庫未妥善進行防護,導致約130萬人之COVID-19檢測資訊、醫療紀錄及個資等機敏資訊外洩。

    研究機構vpnMentor發現,印尼防疫追蹤APP eHAC (eHealth Alert Card)使用之Elasticsearch資料庫配置錯誤,導致數據資料外洩事件,該資料庫儲存之數據資料容量為2GB,影響範圍涉及約130萬人。eHAC為印尼政府開發之防疫追蹤APP,要求所有入境印尼與搭乘國內班機之國內外旅客登錄資料,內容包括個人姓名、身分證號碼、COVID-19病毒篩檢結果、住處及其他個人醫療相關資訊等。

    vpnMentor於7月15日發現曝光之資料庫,並於7月下旬分別通知印尼衛生部、國家CERT及代管服務提供者Google,歷經1個月後才得到印尼政府回應,說明自7月起不再使用eHAC,現行使用之防疫追蹤APP為Peduli Lindungi,未整合入先前eHAC APP資料,且相關資料由政府管理,確保資料安全性。

(資料來源:路透社彭博電視)

二、美國公布零信任架構聯邦戰略草案

    美國行政管理和預算局(OMB)於9月7日發布零信任聯邦戰略草案,旨在將美國政府推向零信任架構。國土安全部網路安全暨基礎安全局(CISA)同時發布雲安全技術參考架構和零信任成熟度模型,指導與協助政府機關(構)實施規劃。

    零信任策略的關鍵措施包括整合機構身份系統、通過多重身份驗證打擊網路釣魚、將內部網路視為不受信任並加密流量、加強應用程序安全性等。美國聯邦政府將相關資訊公告於網站並徵求民眾意見,以進一步改善實施方案。

(資料來源:美國白宮官方網站聯邦新聞網路電台)

三、針對澳大利亞關鍵基礎設施的攻擊事件逐年上升

    澳大利亞網路安全中心(ACSC)最新報告顯示,過去一年內官方接收到的網路攻擊事件中,有四分之一是針對關鍵基礎設施和基本服務,包括教育、健康、通信、電力、供水和運輸等。其中勒索軟體攻擊增加約15%,衛生部門所報告之勒索軟體事件排名第二。

    助理國防部長安德魯·哈斯提(Andrew Hastie)指出有一件法案尚在議會審議中,該法案將要求運行關鍵基礎設施資產的組織有報告網路攻擊事件的義務。雖然業界對此監管措施有所疑慮,但哈斯提認為該立法將有助於關鍵基礎設施受到大規模攻擊時,執法機構可為受害者提供更有效的支持。

(資料來源:衛報台北時報)

<資通安全長及資訊主管異動情形>

     勞動部資通安全長自110年9月1日起,原由林三貴次長兼任,改派為陳明仁次長兼任。

:::
通訊地址:100009臺北市中正區忠孝東路1段1號  | 總機電話:(02)3356-6500  通過A無障礙網頁檢測 更新日期:107-09-20
回到置頂 回到置頂_圖片