资安院公布近半年资安事件重讯通报市场产业别占比,以通信网络业与生技医疗业最高,各占16.1%,电子零组件业、汽车工业,各占9.6%,电子通路业、电脑及周边设备业、光电业、其他电子业、建材营造、观光餐旅各占6.5%。 资安院表示,资安风险已不再集中于特定产业,各产业应持续强化端点防护、帐号访问管理及供应链与委外控管,以降低事件发生与扩散风险。 同时,资安院公布近半年非法入侵事件发生原因,以使用下载来源不明的应用程序或套件占比最高(52.1%),其次为应用程序漏洞(11.6%),再者为密码遭暴力破解(9.2%)、社交工程(9.2%),之后为操作系统漏洞(6.3%)、网页设计不当(5.8%)、厂商维护或管理疏失(4.8%)及人为疏失(1%)。 资安院指出,使用下载来源不明的应用程序或套件、密码遭暴力破解、社交工程等,可归因于用户行为,合计占比约70.5%,显示多数事件并非源自重大系统漏洞或高深攻击技术,而是发生于「看似正常」的日常操作情境,异常状况多半直到端点出现对外异常连接后,才被监控机制所侦测与揭露。 资安院分析,攻击者刻意将初始访问隐藏在日常工作流程中,使合理且被允许的操作成为可被稳定利用的入侵路径,进而形成在机关内部持续拷贝的结构性风险。 资安院表示,部分事件后续处置仅止于受骇设备的重建或隔离,未同步查看帐号、凭证与权限是否可能外泄,致使攻击者仍可能利用既有身分再次进入系统。 资安院提醒,资安治理应由事后应变前移至事前管理,除系统防护与权限管控外,更应将下载、附件、外部网站、可携式媒体与远程访问等高风险使用情境纳入控管,使日常必要行为在被允许时,维持可控与可追溯。 资安院表示,防护视角也应从对外连接侦测移至端点行为观测,掌握进程运行与文件行为脉络,在异常连接发生前即介入处置,针对已侦测的异常连接,应缺省具有身分与访问风险,切断再次入侵能力纳入结案条件,避免风险反复发生。(编辑:张均懋)1150407