資通安全網路月報(109年9月)
<近期政策重點>
本院資安處刻正積極研擬下一階段國家資通安全發展方案(110-113年),以擘劃我國資通安全整體發展藍圖;並精進檢討資通安全管理法,以完備我國資安環境之法制基礎,為廣納各界意見,爰規劃109年10月至12月間於北中南東舉辦「國家資通安全發展方案暨資通安全管理法研商座談會」,俟時間地點確認後,將正式函知各機關。
<整體威脅趨勢>
事前聯防監控
本月政府領域資安聯防監控回傳之資安監控情資共55,146件資安監控單,近一年資安監控情資統計詳見圖1。本月資安監控情資之威脅種類前3名分別為掃描刺探類(39%)、入侵攻擊類(20%)及政策規則類(16%)。
圖1 資安聯防監控資安監控情資統計
事中通報應變
本月資安事件通報數量共125件,近一年資安事件通報統計詳見圖2。本月通報數量較上月增加,主要係臺北市政府辦理紅隊演練,遭攻擊成功至通報應變網站進行通報作業,占通報數量的23.20%。
另,經統計分析上述資安事件通報及應處等逾時情形,事發機關通報逾時占總通報數量的23.2%、事發機關應變處置逾時占總通報數量的11.2%、事發機關結報均無逾時情形,審核機關審核逾時占總通報數量的0.8%,有各項逾時情形者合計33個機關,後續本院資安處將以電子郵件通知該機關據以檢討改善。
圖2 資安事件通報統計
事後資訊分享
某資安責任等級A級機關於資安實兵演練時,遭攻擊手發現其「線上教學平台」對外提供之教育訓練影片及講義中,所使用之範例帳號密碼未進行遮罩,攻擊手可利用該帳號密碼,並搭配Burp Suite工具刪除瀏覽器端之JavaScript過期檢核程式碼後登入該平台。
足資借鏡:
- 一、機關對外提供之文件,若涉及登入帳號密碼等敏感資訊,應適度遮蔽以避免遭不當利用。
- 二、使用者登入帳號密碼檢查,建議參照資通安全責任等級分級辦法「資通系統防護基準」說明,使用者輸入資料合法性檢查應置放於應用系統伺服器端。
<國內外重點資安新聞>
- 一、阿根廷移民署遭勒索軟體攻擊,並勒索400萬美元,其通關作業一度中斷
阿根廷移民署之出入境證件審查系統(SICaM),遭駭客植入NetWalker勒索軟體。為避免災情擴大,該國政府於第一時間切斷相關網路與系統,迫使其邊境通關審查作業癱瘓時間長達4小時,經搶修後,受影響之伺服器才恢復上線。
- 二、美國國土安全部公告,中國利用各大網路設備已知漏洞對美國政府單位發動攻擊
美國國土安全部之網路安全暨基礎設施安全局(CISA)於109年9月14日指出,過去12個月觀察到由中國國家安全部指揮之網路駭客,利用Citrix、微軟Exchange Server、F5及Pulse VPN等多項產品漏洞,策動對美國政府之網路攻擊行動。
(資料來源:美國CISA官方網站、CyberScoop、ZDNet)
- 三、澳洲政府遭網路釣魚攻擊,致18.6萬筆民眾資料外洩
澳洲新南威爾斯州服務處(NSW Service)於109年9月8日公告,該單位於5個月前遭網路釣魚攻擊,導致47名員工電子郵件信箱遭駭,駭客透過遭駭信箱取得380萬份文件,其中50萬筆文件中包含民眾個人資料,受害人數高達18.6萬名。
(資料來源:iThome)
<資安法專區>
為協助機關落實資安法所訂資訊資產盤點及風險評估作業,本院資安處已於109年8月中旬至9月上旬,針對資安責任等級列A級、B級公務機關及關鍵基礎設施(CI)提供者辦理VANS實作教育訓練,相關教材及申請表單已放置於技服中心網站VANS專區(https://vans.nat.gov.tw/)。
請已可產出CPE資產格式之機關先行申請介接測試,俾儘速完成導入,以掌握機關內資訊資產弱點情形。
<近期重大弱點>
109年9月上旬,Windows Netlogon 遠端協定(MS-NRPC)遭揭露存在安全漏洞(CVE-2020-1472),可讓未經授權的攻擊者取得AD管理者權限,並派送惡意程式至網域內所有裝置。本院國家資通安全會報技術服務中心於9月21日發布警訊,說明上述漏洞影響範圍,並建議各機關應套用微軟公司於8月11日發布之重要更新以修補該漏洞。
為掌握我國公務機關及特定非公務機關應處現況,本院資安處於同年10月6日函請各機關於10月8日前調查及回復彙整自身及所屬、轄內公務機關及所管特定非公務機關機關之更新情形,請各機關儘速完成調查並依限回復,俾落實資安風險管理。
<資通安全長及資訊主管異動情形>
- 一、資通安全長異動情形:
- (一)衛生福利部資安長自109年9月2日起,原由薛常務次長瑞元兼任,改派為石常務次長崇良兼任。
- (二)高雄市政府資安長自109年9月30日起,原由葉前副市長匡時兼任,改派為羅副市長達生兼任。
- 二、資訊主管異動情形:國家通訊傳播委員會基礎設施與資通安全處處長自本年9月23日起,原為陳處長崇樹,現由鄭處長明宗擔任。