風險所在: 黑客越嚟越鍾意用「自帶驅動程式」(Bring Your Own Driver,BYOVD)呢招,利用一啲有漏洞但又有合法簽章嘅驅動程式嚟繞過防毒軟件。一旦攞到核心級別(kernel-level)權限,就可以熄咗你啲防護產品,神不知鬼不覺咁部署勒索軟件 。
機關要點做: 資安署強調要建立「縱深防禦」。機關要定時做網站漏洞掃描,有漏洞就即刻修補;要部署網頁應用程式防火牆(WAF),攔截可疑嘅惡意請求;最關鍵係端點防護要全天候運作,防毒軟件同威脅偵測規則一定要保持更新,同黑客鬥快 。
機關要點做: 呢個問題嘅解法,唔單止係技術層面,仲係組織管理問題。資安署要求訂立嚴格嘅「供應商安全管理規範」,寫清楚存取權限控管、資料保護措施、漏洞管理流程,同強制性嘅事件通報機制。唔係簽完約就算,仲要定期做資安稽核同合規檢查,確保供應商真係跟足規矩,唔係得個「講」字 。
機關要點做: 資安署建議一個簡單但好奏效嘅轉變:所有對外連線都採用「白名單」策略,即係預設封鎖所有非必要嘅通訊埠。同時,一定要盤點清楚每部邊緣設備嘅型號同韌體版本,建立持續更新同驗證嘅流程,確保啲修補程式唔係裝咗就算,仲要確認真係見效 。
風險所在: 攻擊者將釣魚郵件、藉口騙局(pretexting)同其他社交工程伎倆,混合埋被入侵或設定出錯嘅雲端服務一齊用,目的係偷取敏感資料。只要有任何一個員工撳咗惡意連結或者附件,數據就可以透過看似合法嘅雲端儲存空間外洩出去 。
機關要點做: 資安署指明要雙管齊下。第一,導入電子郵件過濾同沙箱(sandbox)檢測機制,攔截可疑嘅附件同連結,唔畀佢哋送到用戶面前。第二,鎖死雲端環境:限制雲端硬碟嘅共享權限、開啟檔案上傳掃描、對雲端連結做安全檢測,阻止惡意檔案散播開去 。
2025年嘅數據講出咗更大嘅故事。雖然事故總數比2024年少咗29宗,但絕大多數嘅入侵——超過三分二——都源於未經授權嘅存取,呢個類別涵蓋嘅範圍好闊,由被偷嘅帳號密碼到植入後門都計在內 。而嚴重程度分布就反映出一個持續受到低強度騷擾嘅環境:87.33%嘅事件屬於第一級(最輕微),9.78%係第二級,2.89%係第三級,冇錄到第四級事故
。
資安署今次列出嘅五大風險,反映咗官方指引嘅轉向。對比返2025年頭嗰陣,早期警告仲係集中講加密太弱、SQL注入過濾唔夠、存取控制失效呢類傳統漏洞 ;而家呢份新清單就直接將矛頭指向傳統邊界防禦成日忽略嘅「人」同「供應鏈」層面。