數發部資安署每年擇定機關對外網站辦理實兵演練,根據最新資安月報顯示,資安署2024年實兵演練發現3大弱點,包括加密機制失效、注入程式碼弱點與無效存取控制,提醒機關應檢視與強化資安防護措施。
數發部資安署今天發布去年12月資安月報。為協助機關提升資安防護,資安署每年選擇機關對外網站辦理實兵演練,2024年實兵演練發現3大弱點類型。
第1,加密機制失效。資安署指出,部分機關人員只有使用PDF軟體內建遮罩功能遮蔽敏感性資料,易被外部破解,建議把敏感資料遮蔽後再轉換成圖片格式,確保遮罩效果。
資安署表示,第2,注入攻擊。部分網站服務的輸入功能,仍存在被攻擊者注入程式碼的弱點,易造成駭侵破口,應確實檢測修補,並過濾常見的特殊字元符號,如“‘ < > * --% $ ;等。
第3,無效存取控管。部分網站檔案的下載連結,可透過修改路徑方式取得非公開資料,應確實設定資料存取權限控管,加強路徑驗證。
事前聯防監控部分,資安署指出,去年12月蒐整政府機關資安聯防情資共8萬3105件,月減1萬3070件,分析可辨識的威脅種類,第1名為資訊蒐集類(52%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵攻擊類(21%),大多是系統遭未經授權存取或取得系統與使用者權限;再來為入侵嘗試類(16%),主要是嘗試入侵未經授權的主機。
資安署指出,彙整資訊發現,近期駭客以對政府機關表達行政建議為由,像是陳情案件,使用第三方郵件服務帳號,針對特定機關發動魚叉式社交工程郵件攻擊,以夾帶含有陳情意見的壓縮檔附件,誘騙收件人開啟惡意附檔以植入後門程式,進而竊取電腦機敏資訊,相關情資已提供給各機關。
資安月報顯示,去年12月資安事件通報數量共40件,月減13件,也較2023年同期下降。部分機關資訊設備連線到惡意中繼站、下載惡意程式,或產生竊資軟體與其他惡意程式特徵的連線,占總通報數量47.5%。
新聞
