複選題

13. 如附圖所示，某機關防火牆發現大量異常連線，SSL VPN 設備發 送大量 SMB 封包，經查 SSL VPN 設備存在安全性漏洞(CVE2023-3519)。攻擊者利用漏洞上傳 Webshell，亦可透過解密設備中之設定檔來取得 AD 連線帳密，後續透過 ldapsearch 進一部蒐集內網使用者資訊。請問應進行下列哪些措施可最有效避免此一 攻擊？(複選)

(A) 所有員工與服務應強制啟用抗網釣攻擊的多因素驗證機制
(B) 針對 SSL VPN 登入頁面進行網頁置換監控告警
(C) 隔離此類 SSL VPN 設備於獨立網段，降低攻擊擴散途徑
(D) 內網啟用 SMBv1、SMBv2 伺服器訊息區協定以達傳輸加 密

(A) 所有員工與服務應強制啟用抗網釣攻擊的多因素驗證機制

此選項並不完全針對此特定攻擊情境。

雖然多因素驗證（MFA）確實可以提升系統的整體安全性，尤其是防範帳號被盜用，但在這個案例中，攻擊者是利用設備漏洞來植入 Webshell，並未直接涉及網釣攻擊或憑證盜取。因此，MFA 並不能有效阻止此類攻擊。

(B) 針對 SSL VPN 登入頁面進行網頁置換監控告警

此選項是 正確 的。

攻擊者利用漏洞上傳 Webshell，可能會篡改 SSL VPN 的登入頁面。因此，針對登入頁面的監控和告警機制能夠有效檢測攻擊行為，並在 Webshell 植入或頁面被篡改時發出警告，從而及早採取應對措施。

(C) 隔離此類 SSL VPN 設備於獨立網段，降低攻擊擴散途徑

此選項是 正確 的。

將 SSL VPN 設備隔離在獨立網段中，可以有效降低攻擊者通過該設備進一步滲透內網的風險。如果 VPN 設備受到攻擊，其影響範圍可以被限制在該網段內，從而降低對內部網絡其他設備和伺服器的威脅。

(D) 內網啟用 SMBv1、SMBv2 伺服器訊息區協定以達傳輸加密

此選項是 錯誤 的。

啟用 SMBv1 和 SMBv2 是不安全的做法，因為這些協定版本存在許多已知的安全漏洞（如 EternalBlue 漏洞）。安全的做法應是 禁用 SMBv1，並優先使用 SMBv3，以確保資料傳輸的加密和完整性。啟用舊版協定反而會增加攻擊風險。