資安演練與稽核

根據資通安全署，外部稽核作業分兩大階段進行：

• 技術檢測(第一階段)：針對核心資通系統、使用者電腦、資料庫等進行 8 大項目的弱點掃描與安全檢測。
• 實地稽核(第二階段)：國家資通安全會報派稽核小組至機關現場訪視，從策略面、管理面與技術面共 9 項目全面審查機關的安全狀態。

這邊先整理出第一階段技術檢測的八大項目、檢測子項與其說明，作為整體稽核作業的基礎：

昨天的 Day 1 先交代了這次系列文章的架構與動機。今天正式進入主題：教育部資安稽核技術檢測的八大項目。這八大項，基本上就是稽核現場最常遇到的檢測範疇，涵蓋從單一使用者電腦到整個核心系統，甚至包含 IoT 與網路流量。

雖然後面文章會將這八大項分別介紹，但我們先說結論

👉 這八大項就是駭客可能入侵的八個入口。

為什麼這麼說?

因為八大項正好對應組織在日常營運中最常暴露在外，且最容易成為被攻擊的目標。

1.使用者電腦 → 容易被釣魚郵件或惡意附件滲透，一旦中招就成為攻擊者的跳板。

2.物聯網設備 → 缺乏安全性更新，弱密碼或過時韌體常被當作入侵後門。

3.網域主機 → 防毒與更新不到位，可能成為惡意程式的藏身處。

4.資料庫 → 存放著機敏資料，是攻擊者垂涎的目標。

5.核心資通系統 → 一旦攻擊者突破核心系統，就能直接掌握關鍵系統與服務，進而取得對組織的環境控制權。

6.網路架構 → 錯誤的配置或隔離，會讓攻擊者在內部網路中橫向移動以及縱向提升權限。

7.組態設定 → 系統、應用程式或設備參數設定錯誤，等於在防護牆上留下一到未上鎖的門，繞過其他防護機制，直接入侵內部環境。

8.網路惡意活動 → 若沒有檢測機制，APT 威脅或惡意連連線可能早已潛伏在內部環境中，卻無人察覺。

八大檢測項目逐一介紹

這邊先以「油屋溫泉會館」作為範例組織，如有雷同，純屬巧合。

① 使用者電腦安全檢測

• 弱點掃描：針對單位內使用者電腦進行掃描，檢查作業系統與應用程式是否存在已知漏洞。
• 安全防護檢測：確認防毒、防火牆、端點偵測與回應 (Endpoint Detection and Response, EDR) 等安全措施是否到位。
  ➡️ 為什麼重要？因為駭客最容易下手的往往是員工電腦，一旦被釣魚郵件入侵，整個網路就可能被打開缺口。
  👹 油屋溫泉會館檢測發現: 弱點掃描20台受測使用者電腦，發現21項高風險、72項中風險弱點。病毒碼未更新為5台，未定期執行全
  系統掃描為5台，未具完整防毒軟體防護共3台。安全性修補未完整更新為5台，停止支援為2台。 瀏覽器安全性更新未完整安裝為5台。使用Adobe Reader應用軟體為1台，其中未更新為1台。使用已具風險之作業系統或軟體為5台。
  ❌不符合事項像是未安裝防毒軟體、未更新瀏覽器、安裝惡意程式...等。

② 物聯網設備檢測

• 檢查 IoT 設備（如智慧門禁、監視器、感測器）的韌體版本與通訊協定安全性。
  ➡️ IoT 很常被忽略，卻常常是駭客的跳板。
  👹 油屋溫泉會館檢測發現: 本次抽樣針對2台IoTGoat及3台OpenWrt，共發現1個高風險、7個中風險弱點項目。使用預設密碼可登入管理介面。主機開啟ftp服務，使用預設帳密可登入。系統版本過舊，存在多個CVE嚴重漏洞，如CVE-2019-5101、CVE-2019-102、CVE-2019-18993、CVE-2019-17367…等，其中CVE-2019-17367的CVSS分數達8.8
  ❌不符合事項像是預設密碼未修改、管理者帳密未修改...等。

③ 網域主機安全防護檢測

• 防毒軟體檢測
• 安全性更新檢測
• 惡意程式檢測
  ➡️ 主機是系統的地基，一旦沒有定期更新或防護，等於是開門揖盜。
  👹 油屋溫泉會館檢測發現:

Windows Server 2019 standard 1809/17763.2061 2022/6/15(未更新) 。172.28.2.100 未安裝裝防毒軟體

④ 資料庫安全檢測

• 驗證資料庫的存取控制、帳號權限、加密機制是否落實。
  ➡️ 資料庫通常放著最敏感的個資、成績單、研究數據，一旦外洩就是大事件。
  👹 油屋溫泉會館檢測發現: 針對HR人資管理系統進行資料庫安全檢測，抽樣發現5項不符合項目。
  資料庫主機作業系統版本 Ubuntu 14.04 EOL。變更資料庫預設管理帳號 不符合。啟用密碼最長有效期限原則 不符合。資料庫帳號權限最小原則 不符合。資料庫主機定期弱點檢測 不符合。修補資料庫主機弱點項目 不符合。
  ❌不符合事項像是權限沒有最小化、資料庫尚未做異地備份⋯⋯等。

⑤ 核心資通系統安全檢測

• 內網滲透測試：模擬駭客實際攻擊，評估能否滲透核心系統。
• 防護基準檢測：比對是否符合國際標準（ISO 27001、CNS 基準等）。
  ➡️ 這是最「硬核」的檢測，因為核心系統被攻破，整個單位就等於失守。
  👹 油屋溫泉會館檢測發現: 本次抽樣針對官網、HR系統進行滲透測試，總結發現1個高風險、4個中風險弱點。知Apache HTTP Server，版本：_2.4.41 CVE-2021-41773。 Exploit-db: MySQL User-Defined (Linux) x32 / x86_64 - 'sys_exec'
  Local Privilege Escalation (2) 。
  ❌不符合事項像是核心系統未做異地備援⋯等。

⑥ 網路架構檢測

• 檢視內外網路的隔離設計、防火牆規則、DMZ 與 IDS/IPS 配置是否合理。
  ➡️ 架構檢測的精神就是「守城戰」，要確保邊界有築好防火牆。
  👹 油屋溫泉會館檢測發現: 透過訪談或實際檢測方式，以確認受測單位的網路架構型態，確認安全性是否足夠。1.伺服器區、資料庫區未區隔，首頁主機、個人首頁系統與一般使用者網段同屬172.28.1.0之網段並未作區隔。 2.wi-fi連線與內部網路未適當區隔
  ❌不符合事項像是核心系統未有備援機制、網段未配置網路存取...等。

⑦ 組態設定安全檢測

• 包含作業系統、瀏覽器、網通設備、防火牆與應用程式設定。
  ➡️ 很多時候漏洞不是因為系統太舊，而是因為「設定錯誤」。
  👹 油屋溫泉會館檢測發現: 本次組態設定檢測範圍包含5台使用者電腦，共檢測5671項組態設定，其中285項符合單位要求、1628項未符合單位要求、3090項未安裝單位要求組態、668項例外項目，組態設定符合率為14.9 %。其中 2 台使用者電腦仍在運行已終止支援的 Windows 8.1 作業系統，另有 3 台使用 Windows 10，但未更新至最新版本
  ❌不符合事項像是安裝未授權檔案...等。

⑧ 網路惡意活動檢視

• 惡意中繼站阻擋檢測：測試是否能擋下已知惡意 IP/網域。
• APT 流量檢測：檢查是否存在異常流量或可疑連線。
  ➡️ 這個項目偏向「實時監控」層面，重點在於提前偵測攻擊行為。
  👹 油屋溫泉會館檢測發現:　網路惡意活動檢測依﹝選擇日期﹞之惡意中繼站名單，包含211筆IP與266 筆DN，針對網段進行合計477筆惡意中繼站名單檢測。有0筆IP及66筆DN未設定阻擋，阻擋率為86%。

1. cnaweb.mrslove.com
2. office.phonectrl.com
3. www.bearlaw.cn
4. sport.wikaba.com
5. soft.msdnupdate.com
6. msdnupdate.com
7. online.msdnupdate.com
8. johndans.diskstation.me
9. readme.myddns.com
10. chinnyann.ddns.net
11. chinnyann.duckdns.org
12. technology-hinet.com
13. home.nttatcloud.com
14. home.kmtrafic.com
15. app.dynamicrosoft.com
16. note.kmtrafic.com
17. dcc.nttatcloud.com
18. dingzan.net
19. www.facebook2us.dynamic-dns.net
20. www.officescan_update.mypop3.org
21. cnaweb.mrslove.com
22. office.phonectrl.com
23. www.bearlaw.cn
24. sport.wikaba.com
25. soft.msdnupdate.com
26. msdnupdate.com
27. online.msdnupdate.com
28. johndans.diskstation.me
29. readme.myddns.com
30. chinnyann.ddns.net
31. chinnyann.duckdns.org
32. technology-hinet.com
33. home.nttatcloud.com
34. home.kmtrafic.com
35. app.dynamicrosoft.com
36. note.kmtrafic.com
37. dcc.nttatcloud.com
38. dingzan.net
39. www.facebook2us.dynamic-dns.net
40. www.officescan_update.mypop3.org
41. cnaweb.mrslove.com
42. office.phonectrl.com
43. www.bearlaw.cn
44. sport.wikaba.com
45. soft.msdnupdate.com
46. msdnupdate.com
47. online.msdnupdate.com
48. johndans.diskstation.me
49. readme.myddns.com
50. chinnyann.ddns.net
51. chinnyann.duckdns.org
52. technology-hinet.com
53. home.nttatcloud.com
54. home.kmtrafic.com
55. app.dynamicrosoft.com
56. note.kmtrafic.com
57. dcc.nttatcloud.com
58. dingzan.net
59. www.facebook2us.dynamic-dns.net
60. www.officescan_update.mypop3.org
61. cnaweb.mrslove.com
62. office.phonectrl.com
63. www.bearlaw.cn
64. sport.wikaba.com
65. soft.msdnupdate.com
66. msdnupdate.com

至此，八大項技術檢測的範疇已介紹完畢，這些檢測幾乎涵蓋油屋溫泉會館最常見、也是最核心的資安風險面向。但在實務上，雖然偶爾會視需求補充其他檢測，但主要還是以八大項為稽核重點。

除了八大項外，是否還有其他資安檢測項目?

八大項只是「最基本、最通用」的檢測範疇。在其他組織或產業情境下，可能還包刮：

1. 社交工程演練

   • 模擬釣魚郵件或假冒網站，檢測組織內成員的資安意識與應變能力。

2. 無線網路安全檢測

   • 對無線網路或無線AP進行弱點測試，避免未加密或弱密碼成為攻擊者入侵的切入點。

3. 行動裝置管理 (Mobile Device Management, MDM)

   • 在行動裝置普及的今天，手機與平板也是潛在的風險來源之一，需建立 MDM 策略，否則容易成為資安盲區。

4. 雲端服務與帳號安全檢測

   • 組織在採用公有雲、私有雲或混合雲等雲端資源時，需特別檢視存取控制、API 金鑰管理、身分認證機制、SaaS安全設定等安全措施，並建立持續監控與Log稽核機制，確保雲端環境的安全性與治理完整性。

5. 供應鏈與第三方服務檢測

   • 許多資安事件並非直接攻擊目標單位，而是從外包服務商、系統整合商或合作夥伴來下手。因此，檢視供應鏈與第三方服務的安全性也越發重要。

小結

這八大檢測項目，看似分散，實際上正好形成一個完整的防護網：

• 從點到面：先檢查一台電腦，再檢查整個核心系統。
• 從內到外：不只內部組態，還包含對外網路流量的偵測。
• 從設備到人：電腦、IoT、伺服器、資料庫，沒有一個能缺。

下一天我們將說明，作為一名網路安全專家你可以給初學者什麼建議?。