防護對策: 資安署要求機關建立嚴格的「資通系統變更管理與下載控管機制」。這意味著往後所有軟體、硬體及應用程式的安裝,無論是驅動程式還是通訊工具,都必須經過正式申請與審核,從源頭阻斷惡意程式的入侵途徑 。
威脅現狀: 勒索軟體團體越來越常使用「自帶驅動程式」(Bring Your Own Driver, BYOVD)的手法。他們利用帶有合法簽章但有漏洞的驅動程式,取得系統核心最高權限後,直接關閉防毒軟體等端點防護,再進行檔案加密勒索,全程不會觸發任何警報 。
防護對策: 面對這種迴避偵測的手法,資安署建議採取多層次防禦。除了定期執行網站漏洞掃描並立即修補外,也應導入網頁應用程式防火牆(WAF)來過濾惡意請求。更重要的是,端點防護必須持續運作,確保防護產品與威脅偵測規則隨時更新,不讓攻擊者有機可乘 。
防護對策: 此項威脅的根源在於「人」與「管理」。資安署強制要求各機關必須訂定「供應商安全管理規範」,明訂存取權限控管、資料保護措施、漏洞管理流程及事件通報機制等細節,同時必須定期對供應商執行資安稽核與合規檢查,確保規範是真的被落實,而非僅是書面作業 。
防護對策: 資安署建議採取「白名單」策略,預設封鎖所有非必要的通訊埠與對外連線,只允許明確授權的服務通過。同時,必須全面盤點所有邊緣設備的型號與韌體版本,建立一套持續更新與驗證的流程,確保漏洞修補不只是被排程,而是被確認執行完畢 。
威脅現狀: 攻擊者將釣魚郵件、誘騙簡訊等社交工程手法,與遭盜用或設定不當的雲端服務結合。一旦公務人員點擊了偽裝成公文或會議通知的惡意連結,機敏資料就可能被上傳到看似正常的Google Drive或Dropbox等雲端空間,從此外流 。
防護對策: 資安署的防護建議非常明確。第一層是對外的攔截:導入電子郵件過濾與沙箱檢測機制,在員工點擊前就攔截惡意附件與連結。第二層是對內的管控:必須限制雲端硬碟的共享權限、啟用檔案上傳掃描機制,並對所有雲端連結進行安全檢測,避免惡意檔案透過看似無害的分享連結在內部擴散 。
整體來看,雖然2025年的資安事件通報數量較前一年略有下降,但事件的嚴重程度分布依然值得警惕:87.33%為第一級(最輕微),9.78%為第二級,2.89%為第三級,所幸並未發生最嚴重的第四級事件 。這顯示出公務機關仍處於一種持續遭到低強度騷擾與探測的狀態。
值得關注的是,資安署這份新的威脅清單,相較於2025年初所強調的弱加密、注入攻擊篩檢不力與存取控制缺陷等「技術漏洞」,如今已明確轉向「人員操作疏失」與「供應鏈管理」等非傳統資安面向 。這代表著單純在邊界建立防火牆已無法確保安全,真正的戰場已經延伸到每位員工的電腦桌面、每個委外廠商的遠端連線,以及每一個雲端硬碟的分享設定之中。