根據資安院在2025年10月份發布的各週《資安週報》資料顯示,防禦迴避攻擊手法持續占據主導地位,初始入侵威脅升溫,同時IoT設備安全防護不足與外部曝險問題持續困擾企業與公部門。本期分析涵蓋第13至16期週報,呈現出攻擊者手法日趨隱蔽,以及企業在基礎資安防護上仍存在顯著缺口的現況。
防禦迴避成為最主流攻擊手法
10月份最顯著的威脅趨勢是防禦迴避攻擊持續高居首位,四週期間占比始終維持在15.5%至16.3%之間。攻擊者慣用的手法包括關閉或刪除指令紀錄、利用合法系統工具(如PowerShell、WMI)間接執行惡意命令,以達到規避監控目的。
這類攻擊手法之所以難以防範,在於攻擊者濫用系統內建的合法工具,使其行為難以與正常系統管理活動區分。更棘手的是,攻擊者會主動清除操作痕跡,導致事後調查困難重重。此類攻擊的高成功率與隱蔽性,使其成為攻擊者的首選策略。
初始入侵與憑證竊取事件攀升
另一個值得關注的趨勢是初始入侵事件持續升溫。數據顯示,初始入侵占比從第13期的9.3%上升至第14期的11.4%,攻擊者主要透過外部服務弱點、預設帳號或弱密碼組合,存取未妥善管理的系統服務。
與此同時,第15期憑證竊取事件也上升至6.9%,顯示攻擊者持續針對帳號防護薄弱處進行攻擊。這反映出許多機關仍未落實基本的身分驗證安全措施,包括停用預設帳號、強制複雜密碼政策,以及部署多因素驗證機制。
特定漏洞遭大規模持續利用
10月份的攻擊活動也呈現出明顯的漏洞利用集中化趨勢。CVE-2023-50386(Apache Solr企業搜尋平台,CVSS 8.8)在所有四週均位居前5大攻擊漏洞榜首;
CVE-2025-5777(Citrix NetScaler ADC,CVSS 7.5)連續四週出現在前5名。
此外,網頁應用服務始終是主要攻擊目標,占比持續維持在74%至84%之間。這些數據顯示攻擊者持續針對企業級應用系統發動攻擊,特別是那些已公開漏洞資訊但尚未修補的系統。其他持續出現的高風險漏洞還包括Atlassian Confluence(CVE-2023-22515、CVE-2024-21683)以及Check Point VPN Gateway(CVE-2024-24919)。
IoT設備成為新興攻擊破口
10月份出現一個值得警惕的新興趨勢:IoT設備與網通設備成為攻擊者的新目標。第14期發現多數受害設備為監視器,遭透過隨身碟散布惡意程式;第15、16期連續發現原供內部使用的無線AP遭外部不明設備連線。
網通設備管理介面的攻擊占比從第13期的1.70%大幅上升至第15期的15.44%,增幅驚人。這反映出企業對IoT設備與無線網路的安全意識不足,許多設備使用預設密碼、未限制存取來源,或是缺乏完整的資產盤點與存取控管機制。
外部曝險問題持續集中於三大面向
從外部曝險分析來看,風險持續集中於憑證管理、元件漏洞及加密協定三大面向。TLS憑證不受信任始終是最大宗風險,公部門有103至104項、關鍵基礎設施(CI)單位則高達1,144至1,148項。
元件高風險漏洞問題持續存在且有上升趨勢,CI單位從452項增至461項。過時或弱加密協定問題同樣嚴重,公部門有94至95項、CI單位303至319項。這三大類型合計占整體曝險約86%至88%,反映憑證管理、系統元件漏洞修補及加密設定仍為主要風險來源。
建議行動方針
面對上述威脅趨勢,建議企業與機關採取以下優先措施:
首先,強化初始入侵防護刻不容緩。應執行定期外部服務弱點掃描與修補、停用或強化預設帳號驗證機制、部署多因素驗證、實施異常登入行為偵測,並定期檢查外洩憑證是否與現行帳號重複。
其次,針對持續被利用的關鍵漏洞,特別是Apache Solr與Citrix系統,應立即更新至最新版本或採取對應的緩解措施。
第三,加強IoT設備與無線網路安全管理。建議關閉AutoRun功能、限制外接式儲存媒體存取、限制已註冊MAC位址連線、關閉SSID廣播,並導入帳號或憑證驗證機制取代共用密碼。
最後,提升端點防護與行為監控能力至關重要。建議導入EDR/XDR解決方案、加強指令紀錄的稽核能力、限制高風險工具濫用、強化特權帳號管理,以及實施異常行為偵測機制。
結語
10月份的資安態勢顯示,攻擊者手法日趨成熟且具針對性,防禦迴避技術與初始入侵管道的濫用已成常態。企業不應僅依賴傳統防護設備,而需建立縱深防禦體系,從存取控管、漏洞管理、端點防護到行為監控全面強化。唯有持續投入資源並落實基本資安防護措施,才能有效降低遭受攻擊的風險。
延伸閱讀:【資安院25年9月份資安週報解析】防禦迴避攻擊占比攀升至17%,憑證管理與帳密防護成企業兩大弱點