公部門資安防護 數發部實兵演練揭3大弱點示警

數發部資安署每年擇定機關對外網站辦理實兵演練，根據最新資安月報顯示，資安署2024年實兵演練發現3大弱點，包括加密機制失效、注入程式碼弱點與無效存取控制，提醒機關應檢視與強化資安防護措施。

數發部資安署今天發布去年12月資安月報。為協助機關提升資安防護，資安署每年選擇機關對外網站辦理實兵演練，2024年實兵演練發現3大弱點類型。

第1，加密機制失效。資安署指出，部分機關人員只有使用PDF軟體內建遮罩功能遮蔽敏感性資料，易被外部破解，建議把敏感資料遮蔽後再轉換成圖片格式，確保遮罩效果。

資安署表示，第2，注入攻擊。部分網站服務的輸入功能，仍存在被攻擊者注入程式碼的弱點，易造成駭侵破口，應確實檢測修補，並過濾常見的特殊字元符號，如“ ‘ < > * -- % $ ；等。

第3，無效存取控管。部分網站檔案的下載連結，可透過修改路徑方式取得非公開資料，應確實設定資料存取權限控管，加強路徑驗證。

事前聯防監控部分，資安署指出，去年12月蒐整政府機關資安聯防情資共8萬3105件，月減1萬3070件，分析可辨識的威脅種類，第1名為資訊蒐集類（52%），主要是透過掃描、探測及社交工程等攻擊手法取得資訊；其次為入侵攻擊類（21%），大多是系統遭未經授權存取或取得系統與使用者權限；再來為入侵嘗試類（16%），主要是嘗試入侵未經授權的主機。

資安署指出，彙整資訊發現，近期駭客以對政府機關表達行政建議為由，像是陳情案件，使用第三方郵件服務帳號，針對特定機關發動魚叉式社交工程郵件攻擊，以夾帶含有陳情意見的壓縮檔附件，誘騙收件人開啟惡意附檔以植入後門程式，進而竊取電腦機敏資訊，相關情資已提供給各機關。

資安月報顯示，去年12月資安事件通報數量共40件，月減13件，也較2023年同期下降。部分機關資訊設備連線到惡意中繼站、下載惡意程式，或產生竊資軟體與其他惡意程式特徵的連線，占總通報數量47.5%。