根據資安院在2025年9月份發布的第9至12期《資安週報》資料顯示,防禦迴避攻擊手法持續高居首位且占比逐週攀升,關鍵基礎設施外部曝險雖整體下降但憑證問題反而惡化,而帳號密碼管理疏失更成為企業反覆遭受入侵的主要破口。
防禦迴避手法占比攀升,端點防護能力亟需強化
9月份聯防監控數據顯示,「防禦迴避」攻擊手法占比從第9期的14.6%逐步攀升至第12期的17.1%,穩居攻擊戰術框架首位。攻擊者慣用手法包括關閉或刪除指令紀錄、利用合法系統工具間接執行惡意命令等,目的是規避監控並消除行為痕跡。
這種攻擊手法的持續升溫,凸顯企業在端點防護與指令稽核能力上存在明顯不足。資安院在報告中建議,企業應導入端點偵測與回應(EDR)系統、加強指令紀錄的稽核能力、限制高風險工具的濫用,並強化特權帳號的管理,以避免攻擊者繞過偵測。
此外,「資料滲出」攻擊雖占比相對較低(約2.2%至3.6%),但其危害不容忽視。攻擊者在成功建立C2連線後,會直接利用該通道傳送竊取的敏感資料或系統資訊,並透過HTTP/HTTPS、DNS隧道或加密通訊夾帶於正常流量中。資安院建議企業強化對C2通訊流量的深度封包檢測與行為異常分析,並導入資料外洩防護機制。
網頁應用服務成攻擊核心,特定漏洞反覆被利用
蜜罐誘捕數據顯示,網頁應用服務持續是攻擊者的主要目標,攻擊占比維持在80%以上(第9期87.92%、第11期86.15%、第12期80.77%)。在網頁應用服務中,Web服務系統(如網頁框架、應用程式伺服器、檔案傳輸與資料管理平台)因建置於企業應用環境且直接對外提供服務,成為僅次於通用型Web介面的攻擊目標。
值得注意的是,
特定漏洞如Cisco IOS XE(CVE-2023-20198)、GeoServer開放源碼伺服器(CVE-2024-36401)、Atlassian Confluence(CVE-2023-22515)、JetBrains TeamCity(CVE-2023-42793)等,在四週內反覆出現於前五大攻擊使用漏洞排行,顯示企業在Web服務漏洞修補上存在明顯時間差。
這些漏洞類型多集中於遠端程式碼執行、身分驗證繞過、特權提升等高風險類別,一旦被成功利用,攻擊者可能取得系統完整控制權。資安院強調,存在漏洞的設備應更新至最新版本軟體或韌體,若原廠已無法提供更新支援,應考慮汰換存在漏洞的設備或軟體套件。
關鍵基礎設施曝險改善,但憑證管理仍是最大弱點
從外部曝險分析來看,關鍵基礎設施(CI)單位的整體風險項目從第10期的3,082項降至第12期的2,190項,其中「元件高風險漏洞」大幅下降69%(從1,401項降至439項),顯示部分單位持續推動修補作業已逐步發揮成效。
然而,
「TLS憑證不受信任」問題反而從1,063項上升至1,141項,成為本期檢測的首要風險類別。資安院指出,憑證問題多因使用過時或不受信任的網站憑證,導致網站身分驗證失效,使用者在連線過程中恐暴露於中間人攻擊,敏感資料傳輸可能遭竊取或竄改。
與公部門EASM檢測結果相比,CI檢出風險數量約為公部門(225項)的9倍,反映其系統與服務規模更大、曝險面積更廣。公部門曝險類型相對平均,主要分布於TLS憑證不受信任、過時或弱加密協定、CSP設定不當;而CI單位則更集中於憑證、漏洞與加密協定,顯示不同組織在曝險特徵上具有明顯差異。
帳密管理疏失成反覆入侵破口,修補後續處理常被忽略
9月份事件通報中,帳號密碼管理疏失成為企業反覆遭受入侵的主要原因。第10期發現有機關使用具規則性的弱密碼(如鍵盤順序、常見詞彙的字符轉換如「p@ssw0rd」)遭破解帳號密碼;第12期更發現機關在實兵演練複測時再次遭攻擊成功,原因為先前已遭入侵取得的使用者帳號密碼未及時變更。
資安院在第12期特別提醒,概念上大家已逐漸認知「有漏洞就要修補」,但實務上常僅止於修補漏洞本身,卻忽略該攻擊結果可能已造成的相關風險需進行評估與補救,因而留下潛在可被再利用的破口。
建議在修補漏洞之外,應以攻擊手法與結果為出發點,評估攻擊過程當中可能帶來的潛在風險(如帳號密碼外洩、後門殘留、橫向移動及資料外洩等),並針對這些風險執行相應改善(如帳號密碼變更、清除惡意殘留、限制權限存取及資料保護等)。
此外,第12期焦點文章引用TWCERT/CC接獲的「自身受駭事件」統計,勒索攻擊占32%、入侵事件占28%、資料外洩占12%,顯示企業面臨的威脅日益嚴峻。具體案例包括企業因產品存在未及時修補的漏洞遭入侵並橫向攻擊,最終部署加密程式;以及維護商在多家客戶的VPN系統中使用相同密碼,導致攻擊者取得其中一家企業的帳密後順利滲透其他客戶。
實務建議:從防禦到復原的完整資安防護
面對上述威脅態勢,資安院提出以下實務建議:
在技術防護層面,企業應定期更新站台憑證、全面啟用TLS 1.2以上加密協定、儘速修補已知被利用之漏洞並淘汰已停止維護的軟體版本、部署WAF並導入CSP等安全標頭、關閉不必要對外服務,並將管理服務改採加密通道(如SSH)。
在帳號管理層面,建議加強弱密碼偵測(將常見密碼設定模式納入黑名單)、導入多因素認證(MFA)、強化異常登入監控(偵測大量嘗試或異地登入時自動鎖定或要求額外驗證),並加強員工教育,讓使用者了解鍵盤順序或簡單替換仍屬弱密碼。
在事件處理層面,企業應建立「攻擊後果評估」的完整修補流程,以攻擊手法與結果為出發點評估潛在風險,並針對風險執行相應改善,確保修補不只是修漏洞,而是封堵整體可被再利用的破口。
在備援復原層面,針對勒索攻擊占比達32%的威脅,企業除強化漏洞修補與供應鏈控管外,更應建立完善的資料備份機制,確保在遭受攻擊時能迅速恢復運作,並定期進行備份測試與復原演練。
9月份資安週報揭示的趨勢顯示,台灣企業與政府機關在資安防護上仍有明顯改善空間,特別是在憑證管理、帳密防護與攻擊後續處理等面向。唯有落實多層防護與日常安全維護,才能有效降低風險,保障企業營運與資料安全。