資通安全網路月報 (113年7月)
資通安全網路月報(113年7月)
<近期資安宣導>
有關軟體版更或漏洞修補,機關應依「資通安全責任等級分級辦法資通系統防護基準」規定,系統發展生命週期部署與維運階段,執行版本控制與變更管理。建議在封閉的環境下先行測試(confined test environment)或先進行小範圍測試,以兼顧系統安全與可用性。
一、變更前取得授權,考量所有(業務、系統、流程等)相依性,規劃並評估變更之可能衝擊。
二、制定部署計畫,包含變更之測試及測試之驗收、變更之實作、緊急應變作為(例如fall-back計畫)等,並應留存有事項之變更紀錄。
三、將漏洞修復納入機關組態管理流程,落實檢討評估機制。適度調整相關操作文件、使用者程序、持續計畫、回應及復原程序。
與供應商契約增訂SLA條款及罰則,包含雲端服務,針對更新版本程式前應有良好完善測試,並設定檢核條件。
<整體威脅趨勢>
事前聯防監控
本月蒐整政府機關資安聯防情資共7萬6,572件(較上月增加5,931件),分析可辨識的威脅種類,第1名為資訊蒐集類(43%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵攻擊類(22%),大多是系統遭未經授權存取或取得系統/使用者權限;以及入侵嘗試類(19%),主要係嘗試入侵未經授權的主機。統計近1年情資數量分布,詳見圖1。
經進一步彙整分析聯防情資資訊,發現近期駭客以「薪資評估通知」郵件主旨搭配加薪訊息內容,寄送社交工程電子郵件攻擊政府機關。經檢視,駭客利用「美國航空航天學會」網站重新導向之漏洞,嵌入釣魚網址,企圖誘騙收件人點擊連結與提供敏感資訊。相關情資已提供各機關聯防監控防護建議。
圖1 資安聯防監控資安監控情資統計
事中通報應變
本月資安事件通報數量共276件(較上月增加124件),較去年同期增加1.37倍,主要係本月實兵演練攻擊成功案件較多,以無效的存取控制、危險或過舊之元件及加密機制失效為主,占本月通報件數61.59%。近1年資安事件通報統計,詳見圖2。
圖2 資安事件通報統計
事後資訊分享
本月某機關官方網站接獲使用者通知,網站提供之申請書無法正常下載。經機關調查,發現網站維護廠商於修補網站弱點後,僅進行單機測試即逕行更新網站,未執行網站回歸測試(Regression Testing)作業,以致未發現該修補程式影響既有網站功能,造成檔案下載功能異常。後續網站維護廠商已進行調修,將落實各項網站功能測試後,再進行上版作業。
足資借鏡:
依「資通安全責任等級分級辦法」附表規定,機關應執行安全性檢測作業,包括弱點掃描與滲透測試,以便及時發現和改善網站弱點。建議各項修補與改善作業,宜事前擬定測試計畫及緊急應變作為,並於測試結束後保留測試紀錄,以利後續追查或稽核參考。若為運行中之系統,應注重回歸測試,以確保既有功能不受到影響。
一、行政院修「資安法」,納管特定非公務機關,資安事件拒調查可罰100萬
7月4日行政院院會通過數位發展部「資通安全管理法」修正草案,卓院長表示,本修正草案將進一步強化國家整體資通安全法律規範,促進政府跨機關合作及區域聯防,有效落實納管機關及關鍵基礎建設資安管理及防護,並推動資安人員培力機制。
本次修法包含四大方向:第一,明定本法主管機關及各機關權責。第二,強化納管機關資通安全管理,包含擴大稽核範圍,增訂資安署得定期或不定期稽核納管機關之資通安全維護計畫實施情形,並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用之相關規範。第三,增訂特定非公務機關應符合資通安全責任等級之要求設置資通安全專職人員,並強化及提升公務機關資通安全人員之專業知能及重大資通安全事件之調度支援等規定。第四,增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限。
(資料來源:ETtoday新聞雲、聯合新聞網、自由時報)
全球資安方案供商Sophos發布最新行業調查報告「2024 年關鍵基礎設施的勒索軟體現況」,數據主要是來自能源、石油和天然氣以及公用事業組織的受訪者與全球跨行業者,前揭公用事業組織屬於美國國土安全部(CISA)定義的16個關鍵基礎設施行業中的能源業和水利業。
該報告顯示2024年這兩個行業中有67%的組織回報遇到勒索軟體攻擊,其中49%是源自於漏洞利用;而全球跨行業的平均比例則為59%。另外,這2個行業在2024年的贖金支付中位數上升到超過250萬美元,比全球跨行業的中位數高出50萬美元。復原成本部分,兩個行業的中位數復原成本暴增4倍,達到300萬美元,是全球跨行業中位數的4倍。
這些公用事業必須體認到它們已成攻擊目標,並應採取積極行動,監控存在於遠端存取和網路設備的漏洞,以及確保擁有全天候的監控和回應能力,以減少故障和縮短復原時間,並定期進行演練。
(資料來源:資安人)
<近期重要資安會議及活動>
一、113年7月12日辦理中央及地方政府資通安全長暨行政院國家資通安全會報第43次委員會議,宣達資安推動策略及重要工作、分享資安威脅情勢及資安防護經驗,專題報告包含打詐相關作業及網際新興科技犯罪等,計有全國二級部會以上及各縣市政府資安長及資訊主管200餘人與會。
二、為提升政府資安防護能量,113年7月17日辦理「黑名單自動化部署服務申請」線上說明會,針對資通安全責任等級A級、B級公務機關,介紹系統架構、申請步驟及操作方式,本服務提供機關定時自動化更新IP、DN黑名單,減輕機關資安人員手動部署及提升防護即時性,本次說明會共計206個機關、320名人員參與;113年8月1日正式開放機關申請。
<資通安全長及資訊主管異動情形>
苗栗縣政府資通安全長於113年7月1日起,原由鄧副縣長桂菊兼任,改由邱副縣長俐俐兼任。