資通安全網路月報（111年5月）

<近期政策重點>

為協助公務機關及特定非公務機關於資通安全管理法（簡稱資安法）適用範圍內委外辦理資通系統之建置、維運或資通服務之提供，本院訂定「資通系統籌獲各階段資安強化措施」，補充說明資安法施行細則第4條選任或監督受託者之相關行政流程及應注意事項，並自111年5月26日起試行1年。

<整體威脅趨勢>

事前聯防監控

本月蒐整政府機關之資安聯防情資共82,279件，統計近一年情資數量分布詳見圖1。經分析上述資安聯防情資，可明確辨識之威脅種類，第1名為掃描刺探類（46%），主要係外對內連線大量阻擋事件及外部主機執行掃描探測攻擊；其次為入侵攻擊類（24%），主要係網頁攻擊行為；以及政策規則類（14%），主要係單一帳號持續登入失敗。技服中心已透過聯防監控月報提供相關防護建議予各機關參考。

 

圖1 資安聯防監控資安監控情資統計

事中通報應變

本月資安事件通報數量共98件，近一年資安事件通報統計詳見圖2。本月通報事件較去年同期通報件數減少24.03%，主要係去年同期接獲多個機關通報興達電廠跳電影響業務運作及部分機關通報監視器設備遭入侵，故通報數量較高。

圖2 資安事件通報統計

事後資訊分享

本月發現某機關資訊設備對外產生異常連線，經調查連線設備為網通設備負載平衡器，進行事件分析後，發現該機關未即時更新原廠於本月釋出之修復檔，致遭駭客利用漏洞入侵成功，後續已將該設備重置並更新至最新版本，經資安健診檢測內部資訊設備，未發現有其他受駭情事。

足資借鏡：網通設備（如負載平衡器、防火牆及物聯網設備等）常因軟體或韌體未即時更新而存在資安風險，機關應隨時注意設備廠商公告之漏洞修補更新資訊，以即時完成修復，降低漏洞被利用的風險。

<國內外重點資安新聞>

• 一、美國將除罪化白帽駭客行為
  美國司法部宣布將調整政策，使白帽駭客行為從美國電腦犯罪法令中除罪化。安全研究人員或白帽駭客透過向有關單位揭露未修補的軟體漏洞，並通報相關業者解決，可有效提升軟體用戶安全性；惟一直以來均面臨著作權法，或與存取、擾亂電腦系統有關的控訴威脅，政策調整可降低白帽駭客的法律風險，亦將避免對善意之揭露行為引起寒蟬效應。
  美國司法部於5月19日宣布，調整有關指控電腦詐欺與濫用法案之政策，明確指出不應對出於善意測試、調查或糾正安全漏洞目的所進行之安全研究進行指控。但強調並非對外聲稱從事安全研究行為即可除罪，若研究人員在挖掘系統漏洞同時做出威脅行為，則不能被視為合理範圍，後續電腦詐欺與濫用法案起訴案件將遵守此一政策。

  (資料來源：美國司法部、zdNet)

• 二、歐洲推出第二版網路暨資訊系統安全指令，擴大適用範圍
  歐洲議會與歐盟會員國於5月13日，正式對於2020年歐盟委員會（EC）提出的網路暨資訊系統安全（Security of Network and Information Systems）修訂指令「NIS 2 Directive」達成共識，該指令適用範圍將延伸到電子通訊服務供應商、數位服務業者、廢水或廢棄物處理業者、產品製造商、郵政與物流業者、公共行政單位等。
  第一版指令於2016年7月6日公布，目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力。新版指令將進一步擴充適用範圍，並訂定明確之規模上限，使所有所選定類別之中大型公司被包括於指令適用範圍，而在小型公司留有一定彈性。該指令將於5月20日生效，歐盟會員國應於21個月內將其納入國家法令。

  (資料來源：歐盟官方網站、TheHackerNews)

• 三、DEF CON CTF資格賽，臺灣聯隊獲第二
  預定於8月11日至14日在美國拉斯維加斯舉辦的DEF CON CTF（駭客搶旗攻防賽），其5月28日至30日舉辦線上資格賽，臺灣聯隊[email protected]戰隊順利取得預賽第二名，有資格參加8月實體比賽。
  以往參賽選手在準備DEF CON CTF資格賽時，經常需克難訓練場地等問題，今年政府透過預計成立的資安卓越中心（CCoE）計畫補助資源，從預賽就提供參賽選手住宿及具公共討論空間的訓練場地，讓參賽選手能夠在預賽時就能培養默契，也有助於取得更好的比賽成績。

  (資料來源：CTFTime、ITHome)

<近期重要資安會議及活動>

無