国家资安报告:勒索软体攻击锁定大企业或关键基础设施
行政院发布去(109)年国家资通安全情势报告发现,勒索软体攻击肆虐全球,我国公私机关部门亦难幸免于外,攻击对象也从过去随机攻击,转变成锁定大型企业或政府关键基础设施领域的目标式攻击,109年某机关就曾遭受勒索软体攻击,造成三级资通安全事件。
不过,去年政府机关通报资安事件为525案,近三年来看,有下降趋势,大前(107)年为754件,前(108)年674件。资安事件依所造成的机密性、完整性及可用性冲击严重度分级,去年525案中,最轻一级事件共451案、二级65案、三级9案,并无四级事件,其中非法入侵占68.76%为最大宗,其余还包含网页攻击、设备问题、阻断服务等。
行政院每年定期公布国家资通安全情势报告,报告表示,勒索软体会借由加密档案,致使受害者无法正常使用电脑,影响业务运作,进而达到勒索赎金的目的,攻击对象也从过去随机攻击,转变成锁定大型企业或政府关键基础设施领域的目标式攻击。
举例来说,去年某机关发现遭受勒索软体攻击,骇客经暴力破解设备维护厂商使用的帐号密码,再横向扩散至其他设备,利用勒索软体加密资料,致相关资通系统无法于可容忍中断时间内恢复运作,造成三级资通安全事件。另外,在能源领域也发现勒索软体攻击案例,是骇客入侵公司系统长期潜伏及探测,最终利用勒索软体加密重要档案,以要胁巨额赎金。
面对勒索软体攻击成为常态,报告强调,如何制定应变措施,以缩短灾害复原耗费的时间将成为关键。建议各机关应落实系统弱点修补,及软韧体更新作业,在设定系统登入密码时应符合复杂性原则,网路架构上应有适当区隔及存取控制,重要资料应建立异地备份备援机制,定期办理营运持续演练,降低资通系统遭受勒索软体攻击的风险,并强化机关成员的资安意识,避免点击来路不明的档案或连结。
政府机关面临的五项资安威胁,包含持续出现个资遭泄案例、勒索软体阻断系统服务运作、物联网设备因韧体未更新遭植入恶意程式、进阶持续性威胁攻击窃取机敏资料、及政府机关委外供应链遭骇侵。
有关持续出现个资遭泄案例,报告显示,某机关曾因厂商误将未经遮罩的敏感资讯上传网站,致民众个资外泄,建议各机关应加强同仁对个资管理的教育训练,定期检视同仁存取个资及机敏资料的权限设定,建立资料上传审核流程,加强防护敏感资料档案。