複選題
18.你的主管對於攻擊者從外網入侵到內網 感到很擔憂，想要參考 MITRE ATT&CK 的 Initial Access(初始進 入點)類別來減少外網被入侵的範圍、降低機率，請問關於 MITRE ATT&CK 的描述，下列哪些「錯誤」？(複選)
(A) 只要經常執行弱點掃描、滲透測試，並且積極修補弱點，就 不可能發生 Exploit Public-Facing Application(利用對外開 放的應用程式)這類型的問題
(B) 攻擊者經常可以透過 Google Hacking 或是在 GitHub 搜尋企 業資料找到 Valid Accounts(有效帳號)，有機會進一步利用 這些 Valid Accounts 來登入員工的 VPN 或 Email
(C) Supply Chain Compromise(供應鏈攻擊)有可能發生在商用 軟體、開源函式庫、硬體設備上，攻擊來源非常廣泛，因此 企業採購軟、硬體時必須對供應鏈進行妥善的監督與管理
(D) Phishing(網路釣魚)指的是透過 Email 進行釣魚，誘騙使 用者點擊附檔來取得設備控制權，目前除了 Email 之外沒有 其他媒介或方法可以對使用者進行網路釣魚

(A) 只要經常執行弱點掃描、滲透測試，並且積極修補弱點，就不可能發生 Exploit Public-Facing Application (利用對外開放的應用程式)這類型的問題：

• 這是錯誤的。即使經常進行弱點掃描和修補弱點，仍然無法完全防止利用對外開放應用程式（Exploit Public-Facing Application）的攻擊。新的弱點不斷被發現，攻擊者也可能找到未知的漏洞（零日漏洞）。此外，應用程式的錯誤配置或安全防護不足等原因都可能讓攻擊者利用這類應用程式進行攻擊。
• https://www.ptt.cc/bbs/NetSecurity/M.1718025621.A.2FF.html，PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入弱點，零日攻擊範例。

(B) 攻擊者經常可以透過 Google Hacking 或是在 GitHub 搜尋企業資料找到 Valid Accounts (有效帳號)，有機會進一步利用這些 Valid Accounts 來登入員工的 VPN 或 Email：

• 這是正確的。攻擊者可以利用攻擊者確實經常使用這些開源情報（OSINT）技術來收集有效帳號資訊（例如 Google Hacking 或 GitHub）搜尋企業資料，找到有效帳號或憑證，進一步登入企業的系統（如 VPN 或 Email）。這屬於攻擊者取得初始進入點的常見技術之一。

(C) Supply Chain Compromise (供應鏈攻擊)有可能發生在商用軟體、開源函式庫、硬體設備上，攻擊來源非常廣泛，因此企業採購軟、硬體時必須對供應鏈進行妥善的監督與管理：

• 這是正確的。供應鏈攻擊可能影響商用軟體、開源軟體和硬體設備，攻擊來源廣泛，因此對供應鏈進行管理和監督是非常必要的，以減少潛在風險。
• https://www.cloudflare.com/zh-tw/learning/security/what-is-a-supply-chain-attack/，例如2021 年，在 Log4j 中發現了一個 zero-day 漏洞，Log4j 是一個幫助開發人員在 Java 應用程式中記錄資料的開放原始碼軟體庫。

(D) Phishing (網路釣魚)指的是透過 Email 進行釣魚，誘騙使用者點擊附檔來取得設備控制權，目前除了 Email 之外沒有其他媒介或方法可以對使用者進行網路釣魚：

• 這是錯誤的。網路釣魚並不僅限於 Email。攻擊者還可以通過簡訊（稱為「Smishing」）、社交媒體、即時通訊應用程式甚至電話（稱為「Vishing」）進行釣魚攻擊。因此，釣魚攻擊有多種媒介和方法，並不限於 Email。