104年網路攻防演練辦理情形 行政院資通安全辦公室 周智禾 諮議 中華民國104年12月21日
大綱 壹、 104年網路攻防演練作業 貳、 104年網路攻防演練綜合評估 參、結論與建議 一、情境演練 二、實兵演練 三、電子郵件社交工程演練 參、結論與建議 2
壹、104年網路攻防演練作業 3
104年網路攻防演練 104年網路攻防演練: 情境演練 實兵演練(含電子郵件社交工程) 期間:9月24日至12月17日 對象 (能源與交通): 臺灣港務股份有限公司花蓮港務分公司 (演練日期:9月24日) 台灣電力股份有限公司第二核能發電廠 (演練日期:11月24日) 台灣中油股份有限公司大林煉油廠 (演練日期:12月4日) 交通部民用航空局松山機場 (演練日期:12月17日) 實兵演練(含電子郵件社交工程) 期間:10月12日至11月20日 對象: 行政院所屬二級機關(含三、四級機關共用資訊系統) 12/17 4 4
貳、104年網路攻防演練綜合評估 5
第二核能發電廠 ERF、RFC暨DEH系統情境演練 一、情境演練 情境演練主要目的係檢視標準作業程序是否規劃得宜,情境與演練 腳本設計應務求逼真以反映真實狀況 104年情境演練主要針對花蓮港務分公司、第二核能發電廠、大林 煉油廠、松山機場的關鍵基礎設施系統進行演練 演練機關需視情境內容所描述之不同狀況即席回答應變處置作為, 再由學者專家提供改善建議 第二核能發電廠 ERF、RFC暨DEH系統情境演練 6
102至104年情境演練比較 辦理SCADA安全教育訓練 與演練機關進行多次訪談 設計3套劇本,每套劇本含3個子狀況及1個特別狀況(由專家學者設計) 演練當天現場抽選演練劇本 7
二、實兵演練 於10月12日至11月20日期間,由攻擊手對32個機關(共1,322個系統),以不影響演練機關系統正常業務運作為原則,採遠端弱點掃描、滲透測試及社交工程攻擊等方式,實際攻擊入侵機關系統與網路,並由裁判組負責記錄與監控攻擊組之攻擊過程 2013年OWASP十大弱點測試手法,並增加系統弱點、弱密 碼、應用程式弱點及新型態弱點等檢測,共計16類檢測項目 8
弱點分布 – 整體 本年共發現339個弱點: 58 個高衝擊性弱點(佔17%) 281個低衝擊性弱點(佔83%) 9 9
102至104年實兵演練比較 102年 103年 104年 10 10
三、電子郵件社交工程演練 於網路上尋找32個機關可取得之所屬人 員電子郵件帳號(共960個郵件帳號) 社交工程郵件類型(共9種信件) 隨機寄發3種類型之社交工程郵件至每個電子郵 件帳號 透過「社交工程演練系統」採隨機寄發社 交工程郵件,並記錄使用者「開啟郵件」、 「點閱連結」及「開啟附件」等行為 11 11
102至104年電子郵件社交工程演練比較 點閱率與開啟率均較102年與103年低。 12 12
研討會議及表揚 102年我國首次辦理網 路攻防演練,期間邀外 賓(4個國家計11位)進 行相關經驗分享,各界 對我演練籌劃及辦理成 果多表示肯定 本年11月25日召開104 年攻防演練研討會議, 並邀請外賓(來自美國、 歐盟、澳洲、日本、韓國、泰國共計16位)進行經驗交流 對於表現績優機關,於12月21日資安會報第29次委員會議頒 發獎座予以肯定;對於表現績優及良好機關,將函請各該機 關給予參與人員適度行政獎勵 13
參、結論與建議 14
機關配合事項 關鍵資訊基礎設施(CII)營運機關: 封閉或隔離之網路環境亦可能存在資安風險,應依需求檢視資訊與控 制系統是否存在安全性風險,適時採取適當的防護作為 情境演練劇本設計過程中,應廣泛設想及審慎辨識各種可能之資安威 脅,並從系統失能之最壞狀況著手,嚴格檢視緊急應變時的縱向作業 與橫向溝通SOP是否完善 應持續關注CII資安威脅趨勢,定期檢視資安防護及應變能力,並依演 練結果積極檢討強化防護措施 104年演練結果發現高衝擊性弱點主要為注入攻擊、弱密碼 及敏感資訊暴露,應加強密碼管理、輸入驗證及系統安全設 定等資安防護作業 機關應盤點所屬業務、資訊及測試等各項系統,若該系統已 停止使用,應辦理下線程序,避免因疏於維運造成資安威脅 機關應依規定落實每年辦理1次通報演練及2次電子郵件社交 工程演練,以有效確保機關人員之資安意識 15 15
資安會報後續辦理重點 持續將CII及相關重點防護對象納入演練範疇,並逐年強 化演練腳本,確保標準作業程序更加完備 規劃於105年資安長及資訊主管會議,提報本次演練結 果細部資料(各機關名稱以代碼方式呈現);賡續於105年 中召開網路攻防技術研討會,與各機關資訊(安)人員分 享常見網站(系統)弱點及檢測防護措施,協助機關可自 行檢測,以強化防禦能量 積極推動系統發展生命週期(SSDLC),促請機關依「資 訊系統分級與資安防護基準作業規定」,對高安全等級 之系統(委外)開發時即要求導入,期有效從源頭強化整 體資訊系統安全 16 16
報告完畢 敬請指教