回顧母親節前夕2025年5月第二週的資安新聞,國內最重要消息之一,是第七期國家資通安全發展方案(2025年至2028年)正式出爐。數位發展部資安署署長蔡福隆表示,該方案的核心價值為建構信賴與安全兼具的數位社會,已提出三大目標與四大行動策略,涵蓋全社會資安、關鍵基礎設施韌性、資安產業發展,以及AI 與新興資安科技應用合作。
其他重要資安發展態勢方面,這一星期iThome製作了臺灣資安大會封面特別報導,除延續先前4月「資安日報」所揭露的部分內容外,還有多項重要議題,涵蓋資安風險衡量、安全軟體開發生命週期(SSDLC)、金融資安與主動式防禦等,我們特別整理以下5項重點:
●衡量資安風險不只運用可量化具體金錢損失的FAIR模型,企業資安長提出綜合FAIR、BOOM、CIS Controls等架構來交叉衡量風險的方法。
●強調ICT科技風險要與企業風險管理整合,風險管理諮詢專家剖析NIST SP 800-221,呼籲正視歐盟數位營運韌性法案DORA,可優化戰略決策並提升組織韌性。
●SSDLC重要性日益顯著,有相同概念、聚焦產品安全開發流程的IEC 62443-4-1也持續演進,將與國際標準與法規對應,並納入Security by Default、SBOM。
●多家金融資安長分享安全策略,涵蓋多項不同議題,包括資安韌性3大對策,零信任架構推動4項重點、API安全管控6項實務。
●強化主動防禦有另一種資安左移策略,資安顧問提供新防禦思路,藉由主動反滲透來獲取更多攻擊者情資,以便進行精準、高可信度的資安防禦超前部署。
在威脅態勢方面,國際間有勒索軟體攻擊零售業的態勢,還有攻擊手法與攻擊商業模式的新變化要留意,尤其以下5則事件需特別留意。
●零售業者注意!英國傳出瑪莎百貨(M&S)、連鎖超市Co-op、精品百貨公司Harrods接連遭遇網路攻擊事件,事件不單純,傳出勒索軟體DragonForce所為。
●網路犯罪商業合作模式又有進化,中國政府資助駭客組織DragonForce近來改以經濟目的而犯案,從原本提供攻擊工具的RaaS改為橫向聯盟(cartel)方式。
●Google揭露國家級駭客態勢,指出當前最大威脅聚焦中國與北韓,同時強調近年中國對臺網攻力道不僅未減,攻擊目標更是擴及全球多國政府與民間企業。
●有攻擊者利用EDR安裝檔案的版本升降級來繞過防護,在受害電腦部署勒索軟體Babuk,此手法被稱為「自帶安裝程式(Bring Your Own Installer)」。
●有駭客滲透開源電子商務平臺Magento供應鏈的3家公司,並在其提供的21款第三方擴充服務嵌入後門,最久潛伏六年才發動,估全球500家以上商店受影響。
還有一項值得開發者警惕的事件,是關於開發人員洩露各種金鑰或憑證的狀況,最近xAI員工於GitHub程式碼庫曝露API金鑰,再次顯現這方面的管理疏失問題。
至於漏洞利用消息方面,這一星期有4項被美國CISA列入已知成功利用漏洞列表。例如,開源字型引擎FreeType在3月修補重大漏洞CVE-2025-27363;構建代理AI工作流程常用的開發工具Langflowy在4月修補的漏洞CVE-2025-3248;去年資安院揭露奇偶科技產品漏洞CVE-2024-11120、CVE-2024-6047,當時指出產品已不再維護,建議用戶汰換設備。
【5月5日】臺灣第一座防詐實驗室正式掛牌上路,玉山金揭金融無塵室發展方向
數發部在防範網路詐騙上,2023年從金流阻斷的管道著手,補助金融業者發展AI防詐鷹眼系統,促成公私合作共同組成「鷹眼識詐聯盟」,今年他們有了進一步的行動,上週宣布支持玉山金控、金融科技產業聯盟成立防詐實驗室,目的是希望運用新技術,提高對異常交易、高風險帳戶的偵測識別能力。
其中,防詐實驗室的重點計畫「金融無塵室」,玉山金控也在掛牌儀式公開展示這個管制空間。防詐實驗室當中設立的金融無塵室,藉由多層式加密,建立可以整合不同金融資料的環境,目的是讓金融機構能在確保資安合規、安全的情況下合作。
【5月6日】惡意軟體Phorpiex捲土重來,被用於散布LockBit 3.0及其他作案工具
為了在受害電腦成功執行惡意軟體,駭客利用惡意軟體載入工具(Loader)、下載工具(Downloader)的情況,越來越常出現。最近有一款前身為殭屍網路病毒的惡意軟體下載工具Phorpiex,引起研究人員的高度關注,因為,駭客拿來散布惡名昭彰的勒索軟體LockBit 3.0。
值得留意的是,關於勒索軟體LockBit 3.0的攻擊流程,駭客多半以手動方式操作,透過Phorpiex下載、部署,能讓整個流程高度自動化,而鮮少需要人工介入,使得攻擊者能同時對更多目標下手。
【5月7日】勒索軟體駭客自帶安裝程式,繞過EDR防護機制加密檔案
為了避免受害企業組織察覺異狀,導致攻擊行動東窗事發,駭客無不設法迴避資安系統的偵測,其中,在端點電腦當中,他們集中針對EDR系統而來,最常見的方式就是利用名為自帶驅動程式(BYOVD)的手法。
但最近保險業者怡安(Aon)發現一種相當特別的手法,駭客利用EDR本機安裝程式在更新電腦元件的過程裡,會停用相關服務的機制而得逞,是否會有其他人馬效仿有待觀察。
【5月8日】勒索軟體駭客Play旗下團體利用CLFS零時差漏洞犯案
微軟於今年4月修補CLFS零時差漏洞CVE-2025-29824,當時他們透露這項漏洞已被用於實際攻擊行動,駭客組織Storm-2460將其用於勒索軟體RansomEXX攻擊,但如今傳出也有其他駭客運用這項漏洞的情況。
資安業者賽門鐵克發現,勒索軟體Play旗下團體Balloonfly將其用於散布竊資軟體,由於相關活動與Storm-2460手法有顯著差異,研究人員確定是不同人馬所為。
【5月9日】臺灣未來4年國家資通安全發展方案正式出爐,將從4大層面著手
在一個月前國家安全會議正式公布《國家資通安全戰略 2025——資安即國安》,數發部在昨日(5月8日)行政院召開的院會會議當中,報告了國家未來4年的國家資通安全發展方案,強調以4項策略來強化臺灣的資安韌性。
數發部資安署長蔡福隆也透露預期成果,首先提到培育儲備政府的資安人才,將在未來4年達到約1,500名。