試題詳解

複選題
18.你的主管對於攻擊者從外網入侵到內網 感到很擔憂，想要參考 MITRE ATT&CK 的 Initial Access(初始進 入點)類別來減少外網被入侵的範圍、降低機率，請問關於 MITRE ATT&CK 的描述，下列哪些「錯誤」？(複選)
(A) 只要經常執行弱點掃描、滲透測試，並且積極修補弱點，就 不可能發生 Exploit Public-Facing Application(利用對外開 放的應用程式)這類型的問題
(B) 攻擊者經常可以透過 Google Hacking 或是在 GitHub 搜尋企 業資料找到 Valid Accounts(有效帳號)，有機會進一步利用 這些 Valid Accounts 來登入員工的 VPN 或 Email
(C) Supply Chain Compromise(供應鏈攻擊)有可能發生在商用 軟體、開源函式庫、硬體設備上，攻擊來源非常廣泛，因此 企業採購軟、硬體時必須對供應鏈進行妥善的監督與管理
(D) Phishing(網路釣魚)指的是透過 Email 進行釣魚，誘騙使 用者點擊附檔來取得設備控制權，目前除了 Email 之外沒有 其他媒介或方法可以對使用者進行網路釣魚