美國資安主管機關發布通報,要求大選相關單位嚴防透過 Email 進行的駭侵攻擊.png

主管美國資安事務的資安暨基礎建設安全局(CISA),日前發表資安通報,警告和即將舉行的美國總統大選活動有關的各單位,均應嚴防透過 Email 進行的駭侵攻擊。

主管美國資安事務的資安暨基礎建設安全局(Cybersecurity & Infrastructure Security Agency, CISA),日前發表資安通報,警告和即將舉行的美國總統大選活動有關的各單位,均應嚴防透過 Email 進行的各式駭侵攻擊。

CISA 在通報中指出,與大選相關的各種單位,包括政黨、競選活動、智庫、公民團體和相關個人等,過去一直都是駭侵團體鎖定的對象;最近的研究報告顯示,有 32% 的駭侵事件始於釣魚郵件攻擊,更有 78% 的間諜資料竊取透過釣魚攻擊展開。

CISA 要求使用雲端 Email 服務的個人或團體,必須使用由服務提供者指定的各種保護措施,包括:

  • 所有的郵件帳號均須設定多次登入認證,包括使用符合 FIDO2 標準的硬體隨機密碼產生器、使用 TOTP 演算法的軟體隨機密碼產生 App 等。
  • 除非只有簡訊或 EMail 驗證方式可用,否則儘可能不要使用簡訊或 EMail 傳送的登入驗證碼,因為很容易在中途遭到攔截。
  • 最好將所有 Email 用戶升級到更進階的帳號防護方案;包括 Google、Microsoft 等雲端服務大廠,均提供這類服務。

另外,針對身分地位較敏感的個人,或是保護程度要求較高的重要單位,CISA 也要求採行以下方式保護其資安:

  • 採用密碼管理工具,並要求所有組織成員使用;因為密碼管理工具在遇到詐騙網站時,不會自動輸入帳密。
  • 減少要求用戶更換密碼,也不要規定太複雜的密碼規則:最近的研究指出,太複雜的密碼規則要求與過度頻繁的密碼更換規定,會提升用戶的使用困難,反而降低保護程度;可以依據美國國家標準局提出的規範,以長但是好記的密碼、多詞組成的密碼為原則。

  • 參考連結

https://www.cisa.gov/sites/default/files/publications/CISA_Insights_Actions_to_Counter_Email-Based_Attacks_on_Election-Related_S508C.pdf

https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver

https://www.tripwire.com/state-of-security/security-data-protection/cisa-warns-election-related-entities-to-be-on-watch-for-phishing-attacks/

    twcert 發表在 痞客邦 留言(0) 人氣()