資通安全網路月報(111年4月)
<近期政策重點>
- 一、因應近期嚴重特殊傳染性肺炎(COVID-19)疫情升溫,「資通安全專業課程訓練」及「資通安全專業證照課程」,得在開課單位與上課學員之合議下,改採遠距上課方式進行,其線上課程時數不受原每人每年6小時之認列限制。
- 二、A、B級公務機關及關鍵基礎設施提供者,依法遵於本(111)年8月23日前完成VANS介接導入,請機關檢視本作業辦理情形,並請注意資訊資產上傳頻率應每月至少1次(採系統化介接者,可增加上傳頻率),範圍以全機關之資訊資產為原則,且盤點標的應包含作業系統及應用程式等重點。
- 三、本年資通安全管理法納管之關鍵基礎設施提供者指定作業,將併同本院國土安全辦公室盤點辨識作業共同辦理,請各機關於本年7月底前以密件公文函報相關資料予本院。
<整體威脅趨勢>
事前聯防監控
本月蒐整政府機關之資安聯防情資共69,964件,統計近一年情資數量分布詳見圖1。經分析上述資安聯防情資,可明確辨識之威脅種類,第1名為掃描刺探類(62%),主要係外對內連線大量阻擋事件及外部主機執行掃描探測攻擊;其次為入侵攻擊類(16%),主要係網頁攻擊行為及國外IP攻擊行為;以及政策規則類(15%),主要係帳號持續登入失敗。
近期Java應用程式框架Spring Framework遭揭露存在遠端程式碼執行漏洞,發現近期若干外部IP嘗試探測政府機關Spring框架相關漏洞,傳送夾帶惡意字串之參數請求,以及使該框架處理資料綁定(Data Binding)時執行遠端程式碼,如新增網頁後門等。技服中心已透過聯防監控月報,提供相關防護建議予各機關參考。
圖1 資安聯防監控資安監控情資統計
事中通報應變
本月資安事件通報數量共62件,近一年資安事件通報統計詳見圖2。本月通報事件與去年同期無較大差異,惟較上月通報件數下降37.37%,主要係上個月有多個機關因受台電3月3日停電影響,導致其可用性受衝擊而有較多事件通報。
圖2 資安事件通報統計
事後資訊分享
本月發現某機關電子郵件帳號密碼外洩事件,經機關調查發現外洩帳號之密碼多採用鍵盤位置排序(如1qaz@WSX),雖符合長度及複雜度要求,仍易遭駭客暴力破解,後續已請使用者修改外洩帳號之密碼,並加強內部宣導避免採用鍵盤排序設定密碼或常見字符轉換之字母(如P@ssw0rd)。
足資借鏡:政府機關規定使用者密碼設定須符合複雜度原則,駭客常採用密碼暴力破解,機關應加強宣導避免採用鍵盤排序設定密碼或常見字符轉換之字母,以降低密碼遭破解之風險。
<國內外重點資安新聞>
- 一、上市櫃公司發起「臺灣資安主管聯盟」
4月28日國內14家企業代表宣布成立「臺灣資安主管聯盟」,首任會長為華碩集團資安長金慶柏擔任。
「臺灣資安主管聯盟」主要目標為資安主管核心能力養成、專業資安人才培訓整備、資安產業服務能量鏈結及資安治理合規制度建立。本年重點工作為舉辦資安實務交流活動方式,強化企業執行長對資安認知及支持,並培訓資安主管提升擬定資安策略及資源配置能力,據以彙整產業資安治理現況,以期招募更多資安主管會員。
- 二、美國國務院設立網路空間暨數位政策局
美國國務院於4月4日宣布設立網路空間暨數位政策局(Bureau of Cyberspace and Digital Policy,CDP),負責處理國內與國際間之網路空間政策。
該局任務為協調美國國務院在網路空間及數位外交之工作,協助制定保護網路基礎設施完整性及安全性政策。該局設立3個政策部門:國際網路空間安全、國際資訊與通訊政策、數位自由。局長係由外交體系人員擔任,目前由國務院高級外交官Jennifer Bachus暫代該局首席副助理局長,後續美國參議院將遴選巡迴大使(Ambassador-at-Large)擔任局長。
- 三、歐盟立法為加密資產市場交易新增安全檢查
歐盟經濟與貨幣事務委員會(ECON)與公民自由委員會(LIBE)之聯席會議已於3月31日通過立法草案,所有加密資產轉移,必須包括相關資產來源與其受益人資訊,資訊將提供予主管機關,另亦涵括私人持有之加密貨幣錢包交易,藉以防範洗錢不法,實現交易透明化。
洗錢不法、恐怖主義融資或不遵守歐盟法規之高風險族群將被特別註記,加密貨幣交易皆須檢查確認,以確保資產合法提供給接受方。惟須具備完整證據,以對所有交易進行審查,減少區塊鏈技術應用與投資者隱私衝擊。
(資料來源:歐洲議會、BleepingComputer)
<近期重要資安會議及活動>
111年度中央及地方政府資通安全長暨行政院國家資通安全會報第39次委員會議(擴大會議):原訂5月18日召開,因應近期嚴重特殊傳染性肺炎(COVID-19)疫情,爰延期召開,會議日期與地點容後通知。