資通安全網路月報(109年12月)
<近期政策重點>
- 一、為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,本院於109年12月18日通函重申各公務機關使用資通訊產品(含軟體、硬體及服務)相關原則,重點摘陳如下:
- (一)公務用之資通設備不得使用中國大陸廠牌,且不得安裝非公務用軟體。
- (二)個人資通設備不得處理公務事務,亦不得與公務環境介接。
- (三)各機關應就已使用或採購之中國大陸廠牌資通訊設備列冊管理,且不得與公務環境介接,並儘速汰換。
- 二、其中,針對上述個人資通設備部分,機關應落實要求大陸廠牌資通訊產品一律禁止處理公務事務或介接公務環境;另,考量機關內部業務實務運作,目前多有透過個人資通訊產品處理公務事務之需求,如收發電子郵件或使用即時通訊軟體等,爰建議如下:
- (一)各機關應掌握同仁使用情形並適度管控,如採報備制方式了解同仁使用狀況。
- (二)應強化設備安全性設定、落實定期更新及提升人員資安意識。
- 三、為利與各機關資通安全長(以下簡稱資安長)溝通本案,本院於109年12月25日召開國家資通安全會報第36次委員會議(擴大會議),責請各機關配合落實辦理下列事項:
- (一)擴大盤點:請各公務機關擴大盤點機關內部、委外廠商及分包廠商所使用之大陸廠牌資通訊產品。
- (二)限期汰換:請所有公務機關於110年底前完成汰換大陸廠牌資通訊產品,且汰換前不得與公務環境介接。
- (三)後續本院資通安全處將協調工程會、工業局及國發會等機關(單位)研議以共同供應契約(以下簡稱共契)作為白名單機制之可行性及相關配套作法,並要求公務機關原則僅能採購共契之品項。
<整體威脅趨勢>
事前聯防監控
本月政府領域資安聯防監控回傳之資安監控情資共99,293件資安監控單,近一年資安監控情資統計詳見圖1。本月資安監控情資之威脅種類前3名,分別為尚需調查類(40%)、入侵攻擊類(23%)及掃描刺探類(18%)。
圖1 資安聯防監控資安監控情資統計
事中通報應變
本月資安事件通報數量共52件,近一年資安事件通報統計詳見圖2。本月通報事件多為技服中心偵測發現駭客攻擊活動,其中包含下載惡意程式執行檔、DNS Tunnel連線及遭植入挖礦程式,占總通報數量53.84%。
圖2 資安事件通報統計
事後資訊分享
某資安責任等級A級機關於109年12月發生DNS Tunnel連線行為,經查,駭客疑似利用SQL Injection漏洞針對機關之公共場所租借平台進行攻擊,並取得系統管理者權限,後續已將受駭設備下線保存,同時委請資安廠商進行鑑識。
足資借鏡:駭客將機關非核心業務系統做為攻擊目標,應定期針對機關所有資通系統進行資安弱點檢測與修補,以降低駭客入侵之風險
<國內外重點資安新聞>
- 一、美國商務部將77個中國企業納入實體清單,包含大疆(DJI)及中芯國際(SMIC)
美國商務部於109年12月18日發布聲明,其以侵犯人權行為、支持南海軍事化及竊取該國商業機密為由,將77個中國企業納入實體清單,其中包含深圳大疆創新科技有限公司(DJI)及中芯國際積體電路製造有限公司(SMIC),未來美國企業必須先行取得該國商務部之出口許可後始得出售產品予實體清單中的企業。
(資料來源:美國商務部新聞稿、iThome)
- 二、美國國土安全部呼籲美國企業應避免購買中國業者之數據資料服務與設備
美國國土安全部於109年12月22日針對美國企業發布商業諮詢報告(Business Advisory),建議避免使用中國業者之數據資料服務與相關設備,以降低數據資料遭竊取之風險;該報告指出,主要風險來源為中國國家情報法,該法要求所有中國業者必須支持、協助及配合中國情報機關,提供於中國境內及境外所蒐集之資料,另,中國預計於2021年生效之數據安全法亦為風險來源,該法賦予中國政府更多監控權力,可要求中國境內之外國企業提供中國情報機關所需之資料。
(資料來源:美國DHS官方網站、CyberScoop、ZDNet)
- 三、多家資安組織共組勒索軟體任務小組,建立共同技術標準框架
鑒於勒索軟體攻擊行動日益猖獗,微軟、McAfee及Citrix等19家軟硬體公司共同組成勒索軟體任務小組(Ransomware Task Force,RTF),其目的為透過合作建立緩解勒索軟體攻擊行動之標準框架,以對抗新興網路威脅;依該小組發展目標,未來將檢視不同勒索軟體所構成之威脅,並建立共同技術標準框架及訂定明確發展目標藍圖,藉此改善現行針對勒索軟體威脅防護尚未周全之處,另,該小組亦將委託專家進行相關研究,整合不同產業及領域之技術合作。
(資料來源:ZDNet、Forbes、Security and Technology)
<近期重要資安會議及活動>
行政院國家資通安全會報第36次委員會議(擴大會議):
本院於109年12月25日召開旨揭會議,會中由沈副院長榮津主持,並擴增邀集總統府、國安會、四院(以上均含所屬二級機關)、本院各部會行總處署、各直轄市政府及各縣市政府之資通安全長與會,會中聽取「資安即國安2.0戰略規劃」及「公務機關使用或採購具資安疑慮產品之後續應處方式」等議題報告,並重申公務機關使用資通訊產品(含軟體、硬體及服務)相關原則,同時亦請各機關於110年底前完成汰換所有大陸廠牌資通訊產品,且汰換前不得與公務環境介接。
<資通安全長及資訊主管異動情形>
資訊主管異動情形:桃園市政府資訊科技局局長自109年12月23日起,原為陳局長崗熒,現由余局長宛如擔任。