數位發展部發布【111 年度國家資通安全情勢報告】顯示,公務機關與特定非公務機關(公營事業、財團法人及關鍵基礎設施提供者)該年度通報之資安事件共 765 件,其中嚴重事件共37件。
統計去年(2022年),政府單位通報之資安事件,1級事件占 79.47% (608 件),2 級事件佔 15.69%(120 件),3 級事件佔 4.83%(37 件),無 4 級事件。3 級事件以上為較嚴重等級
,3 級事件以資料外洩事件居多,其中遭網路攻防演練成功攻擊 「認證及驗證機制失效」、「注入攻擊」、「無效的存取控管」及 「不安全的組態設定」等弱點,造成機密性衝擊為大宗;因可用性衝擊而通報 3 級事件則是以特定非公務機關為主,肇因多為設備異常或故障影響涉及關鍵基礎設施維運之資通系統或業務。
從事件通報原因來看,分析通報應變網站所接獲之政府資安事件通報肇因,以非法入侵為主(占47.84%)、設備問題(占22.75%)次之。
從類型來看,在全部事件中,以「設定異常/毀損」、「電力供應異常」、「弱密碼或密碼遭暴力破解」以及「網站設計不當」為主要類別。
相關文章: 報告:多數政府機關單位仍未落實盤點核心業務相關資通系統
五大建議
【111 年度國家資通安全情勢報告】對政府單位以及公家機關提出以下防護建議:
- 雲端服務應注意防範駭客利用掩護非法行為
政府機關相關事件案例發現攻擊者會使用雲端服務架設中繼站,藉此規避防護阻擋並隱匿行蹤。建議部署具備內容分析之資安偵測機制,協助察覺網路或應用程式試圖規避偵測之惡意行為,並定期檢視網路可疑連線。網站或系統主機應定期進行作業系統更新、啟用作業系統防火牆功能、安裝防毒軟體並定期更新病毒碼。另針對雲端服務之 存取行為建立控管機制,並訂定一致性之安全組態設定規則,如機敏資料放置雲端時,應採取加密機制,確保其機密性。
- 資料外洩仍為重要處理議題
針對持有全國性資料之彙整機關,應強化以下作為:
- 連結機關:盤點介接機關,要求資安作為(如比照 A、B 級機關)、 加強稽核、取消離線媒體交換(如光碟等)。
- 資料保護:資料加密儲存、查詢過程遮蔽及最少揭露、大量資料 查詢之審核預警機制、資料查詢日誌查核。
- 使用權限:個人資料蒐集,應以最小且必要為原則,限縮申請項目及內容、職務異動即時清除權限。
- 核心系統納入資安威脅偵測管理(SOC)、導入端點偵測及應變機制 30 (EDR),定期檢視存取日誌,以及早預警。
- 強化使用者資安及資料保護意識,若需上傳至公開網站,應確認機敏等級與保護措施,並訂定適當存取權限,定期清查系統帳號 權限及使用狀況。
- 政府服務的受攻擊面管理
報告中表示經過偵測,目前發現政府機關多個網路服務暴露於網際網路上。另外,也有 RDP、VNC 及 Telnet 等遠端管理通訊協定,以及機關架設之智慧設備管理系統,其資料庫管理系統 phpMyAdmin 介面直接暴露於公開網路中,如此一來,很有可能被駭客鎖定致遭受大量遠端服務暴力破解與弱點探測,進而可能入侵相關設備造成內部橫向感染擴散。
建議機關應於系統管理介面建立適當並符合資通系統防務基準之控制措施,例如限制使用者設定符合規範之密碼等,以降低被外部入侵之風險,同時應將相關設備納入資安監控範圍,監測網路活動日誌,並定期檢視存取權限與使用行為。
另機關應定期盤點 IT 與 OT 資產、防火牆規則,依循資安政策限制外部存取,檢討遠端服務連線之必要性,並納入風險評估,定期檢測系統漏洞、檢視防火牆規則更新情形,以降低不必要的風險產生。
- 強化供應商資安管理
政府機關通報之資安事件中,其中廠商維護環境或管理疏失占 3.53%,供應鏈安全落差亦應列為政府機關關注之議題。建議機關在委外辦理資通系統之建置、維運或資通服務之提供時,應依資通安全管理法要求,評估及選任適當之受託者,並依訂定之資訊安全服務水準協議,定期監督或稽核其包含組織、人員、實體及技術之資通安全維護情形。
另要求廠商依「資通系統籌獲各階段資安強化措施」,於需求、建置及維運階段落實相應資安防護措施。契約結束後,應監督廠商完成資料之返還、移交、刪除或銷毀。
當委外廠商因業務需求申請遠端連線或維護時,其遠端存取開放應採「原則禁止、例外允許」方式,期間則以短天期為原則。針對廠商連線至機關系統之設備進行安全性檢測,也應建立異常行為管理機制,及早發現應處。
- 釣魚網站仍是主要攻擊手法,應落實黑名單阻擋並加強資安意識
以長期觀測與統計來看,111 年度使用 IPFS 之釣魚郵件攻擊數量有明顯逐月上升趨勢。針對釣魚網站及惡意程式連結之資安防護,建議管理人員應建立 網路威脅情資機制,確實更新黑名單,阻擋已被通報之可疑釣魚網站或惡意程式連結。另一方面應強化使用者資安意識,提升訊息辨識及警覺心,於開啟郵件前先行檢視郵件正確性。