proware_logo

新聞中心

Sep. 06, 2019
資安研討會
親愛的客戶,您好:
駭客透過作業系統或應用程式漏洞、惡意軟體竊取特權身份入侵系統、竊取重要資料的事件不斷發生,竊取特權帳號密碼是駭客入侵、APT先進持續攻擊成功的指標;Gartner 2019年十大安全項目排名第一的是特權帳戶管理。
  • 微軟Windows遠端桌面服務存在安全漏洞(CVE-2019-0708),允許攻擊者遠端執行任意程式碼【資料來源:行政院國家資通安全會報技術服務中心 (2019/5/15)】
  • 微軟Windows作業系統的NTLM驗證通訊協定存在允許攻擊者透過重送攻擊進而取得整個網域控制權之漏洞(CVE-2017-8563)【資料來源:行政院國家資通安全會報技術服務中心 (2017/7/14)】
    • 您知道開放遠端電腦直接透過電腦的 RDP、SSH、FTP協定連線容易成為駭客攻擊目標嗎?
    您有針對VPN連等遠端連線進行管控、MFA多因子身分認證、特權帳號管理與連線側錄稽核嗎?
    您知道『特權帳號管理』是主管單位資訊安全檢查的重要項目嗎?
    您知道許多陳舊應用程式因為納入『特權帳號管理』困難而造成資安漏洞嗎?
    歡迎參加商丞科技2019年09月06日 『ForestSafe 特權帳號管理、連線管理側錄、操作畫面OCR光學辨識搜尋軟體與Preempt身份識別(一般/服務/特權帳號)、行為分析與防止威脅存取平台』研討會

    一、EESM ForestSafe:遠端連線控管與側錄、特權帳號密碼管理、連線畫面OCR光學字元辨識搜尋軟體

    Proware-forestsafe

  • 不需要在主機上安裝代理程式的 Agent-less 自動化解決方案
  • 清查所有電腦上所有帳號:
  • 何時建立? 主機名稱? 使用者名稱? 說明?
  • 是本地群組? 內建帳號? 最近登入時間? 密碼過期? 最近密碼設定時間?
  • 掃瞄找出未被管理的Windows Domain中所有電腦
  • 掃瞄找出未被管理的本地與共用特權帳號並加入管理
  • 可管Unix、Windows Workgroup、Cisco與MAC OS-X電腦
  • 自動定期更改管理的特權帳號密碼(預設是每週更改)
  • 可透過手機Google Authentication APP、E-Mail、Radius、SMS簡訊、RSA SecureID等多種雙因子認證2FA機制確認身分
  • 遠端連線的電腦不需要開啟RDP (port 3389)、SSH (port 22)與FTP (port 21),減少被駭客攻擊機會
  • 每次連線後自動更改密碼(一次性密碼),縮短密碼有效時間防止密碼被竊取機會
  • 提供中英文的特權帳號連線申請/批核操作Web操作介面(Approval Layer)
  • 透過ForestSafe Web操作介面提供RDP/SSH不需要輸入密碼的Single Sign-On登入功能,防止密碼被竊取
  • 選購支援MS SQL、Juniper SSL、IBM DB2、SAP、Oracle、Lotus Notes、SharePoint與AS 400特權帳號密碼管理功能
  • 自動啟動限制使用的RDP應用程式並錄影,RDP程式結束後自動結束連線,防止執行其他非授權之RDP應用程式
  • 選購OCR光學字元辨識模組可辨識並索引連線畫面的中英文等多國文字

    • Proware-forestsafe-sessionsafe

  • 產生機敏畫面OCR搜尋連線報告: 登入時間? 使用者? 入主機名稱? 申請理由?
  • OCR光學字元辨識,可辨識並索引連線錄影畫面的中英文等多國文字與身分證字號、信用卡卡號等機敏資料,並產出每日遠端連線機敏資料的查詢報告

    • Proware-forestsafe-sessionsafe

    二、Preempt身份識別與防止威脅存取平台Identity and Access Threat Prevention(IATP)

    Proware-preempt
    Preempt身份識別與防止威脅存取平台Identity and Access Threat Prevention(IATP): 洞察身份與風險、即時行為分析與偵測威脅、有條件的存取Conditional Access軟體
    Proware-preempt

    Preempt是業界唯一的使用者行為分析防火牆 Behavior Firewall,可持續追蹤企業每個實體的身份、異常行為與風險,並根據風險自動調整反應。在不中斷用戶工作效率的情況下盤問身分或重定向異常或危險行為。如果風險增加,該解決方案可以減少用戶權限、強制更改密碼或最終根據策略阻止。
    Preempt Platform 主要功能如下:

    一、洞察身份與風險 Identity and Risk Insights: 統一本地端On Premises與雲端Cloud的帳號的可視性

  • 持續洞察以減少攻擊面
  • 充分了解用戶活動
  • 所有用戶(一般、特權、服務帳號)的Profile、Baseline與風險評分
  • 立即發現風險
  • 清查Active Directory設定錯誤、權限提升Elevated Privileges、有弱點密碼Weak Passwords、陳舊帳號戶Stale Accounts、隱形管理員Stealthy Administrators

    • 二、即時行為分析與偵測威脅 Real Tim Behavior Analytics and Threat Detection

  • 即時發現內部威脅與安全事件
  • 即時流量分析
  • 偵測行為異常 Behavioral Anomalies、橫向移動 Lateral Movement、複雜攻擊模式、濫用工具和不安全的協定
  • 濫用的特權存取、用戶與服務帳號的異常使用
  • 防止由於濫用網路工具(例如PsExec、PowerShell)和使用駭客工具(例如Mimikatz、Bloodhound等),而導致的橫向移動 Lateral Movement 與未經授權的網域存取
  • 深入檢查身份驗證協定(NTLM、Kerberos、LDAP等),控制不安全的協定的使用並降低安全威脅的風險,包括憑證轉發credential forwarding和密碼破解憑證以及偵測如Kerberoasting、Pass-the-Hash Golden Ticket等攻擊

    • 三、有條件的存取任何地方 Conditional Access Anywhere

  • 在威脅影響前先發制人
  • 即時阻止威脅
  • 通過自動反應發揮最高效率
  • 為本地端或雲端應用APP增加有條件的存取 Conditional Access
  • 在沒有開發且沒有端點代理程式情況下將多因子認證MFA 增加到任何資源
  • 基於策略的反應(例如阻止Block、多因子認證MFA、隔離Isolation、減少特權reduce privileges、報警alert、允許allow等),並根據身份、行為與風險不斷進行調整

    • Preempt Platform 產品架構

    Proware-preempt

    Preempt Platform 主要應用如下:

    一、消弭違規行為與憑證竊取 Eliminate Breaches and Compromised Credentials

    Preempt持續監控網路和所有實體,以識別入侵的跡象。透過將多因子身份驗證MFA擴展到任何應用程式或網路資源,Preempt可以盤問可能受到攻擊的帳號,以便在沒有任何管理員參與的情況下自動確認或解決事件。當他們的憑證被濫用時,可向有效用戶發出警報,減少可疑用戶的權限,並且可自動阻止已確認的威脅以防止破壞或資料丟失。
  • 被竊取的帳號與設備 - 防止惡意軟體或攻擊者使用被竊取的用戶憑證、設備或服務帳號來攻擊網路
  • 橫向移動 - 識別並阻止橫向移動(俗稱蛙跳)技術,例如傳遞雜湊 Pass-the-Hash與特權升級 Privilege Escalation
  • 基礎架構攻擊 - 防止暴力攻擊、偽造PAC檔、嘗試蒐集Active Directory資料以及先進持續威脅 APT(如黃金票證 Golden Ticket),這些攻擊可以允許攻擊者無限期地存取網路上的任何資源
  • 第三方用戶 - 當供應商、承包商或合作夥伴等第三方存取敏感伺服器時,防止或要請求獲得批准

    • 二、防止內部威脅 Prevent Insider Threats

    最終用戶是企業面臨的最不可預測的風險之一。Preempt Platform根據被存取資產的背景中持續追蹤與評分每個用戶、特權用戶與主機的行為。
  • 內部存取濫用/惡意內部人員 - 在授予資源或資料存取權限之前,識別並盤問規範之外的行為以驗證身份
  • 濫用特權 - 即時識別正在獲取或濫用權限的特權帳號
  • 危險或粗心行為 - 偵測並防止不安全的用戶行為,例如使用有弱點的密碼、從未經批准的位置登入等

    • 三、監控與保護特權帳號 Monitor and Protect Privileged Accounts

    Preempt會自動發現、監控與管理網路中的特權帳號,例如系統管理員、主管甚至服務帳號。特權帳號是攻擊者的主要目標,而Preempt提供了根據其風險適當追蹤與控制這些帳號的能力。
  • 特權帳號清查 - 自動查找所有活動與陳舊的特權用戶與帳號
  • 管理風險 - 追蹤特權帳戶並對風險行為或設定採取措施,例如觸發MFA身分確認、設定批准者或降低權限
  • 監控業務特權 - 監控並為高價值用戶與資產(如主管或敏感的伺服器)分配更高風險的評分
  • 特權身份使用 - 驗證何時使用特權憑證來存取敏感資源
  • 找出隱形管理員- 找出並監控具有管理員級特權,但不在管理員群組中的用戶

    • 四、將基於身份的存取控制,增加到任何應用程式或資源 Add Identity-Based Access Controls to Any App or Resource

    Preempt基於用戶身份追蹤網路中的所有行為,允許策略確定誰能夠在什麼背景中存取哪些資源。可以根據用戶、角色,設備、密碼強度與各種其他因素來設定策略。Preempt還將多因子身份驗證 MFA擴展到基於策略的應用程式,包括任何舊版本或自行開發的應用程式。
  • 工作站登入 - 確保用戶在登入工作站時透過MFA識別自己
  • 保護高價值伺服器與應用程式 - 根據敏感伺服器與應用程式的用戶身份追蹤與執行策略
  • 基於風險調整策略 - 盤問用戶或基於身份、行為和整體風險的組合來阻止對資源的存取

    • 五、積極降低風險並支持法規遵循 Proactively Reduce Risk and Support Compliance

    Preempt不斷分析環境,以識別弱點與風險行為。該平台可以輕鬆偵測與記錄各種密碼缺陷,甚至可以根據策略強制用戶採取糾正措施。
  • 陳舊資產 - 輕鬆識別與刪除未存取的伺服器及陳舊的用戶或管理員帳號
  • 有弱點密碼或暴露的密碼 - 針對密碼較弱或被竊取密碼的不安全用戶,並根據策略強制重新驗證或更改密碼
  • 帳號共享 - 識別使用重複密碼並共享同一帳號的用戶
  • 稽核/法規遵循 - 成功透過滲透測試稽核並遵守各種法規遵循標準,包括NIST

    • 六、改善事件反應與舉證效率 Improve Incident Response and Forensics Efficiency

    Preempt確保分析師能夠快速獲得所需的可視性與背景,同時完全避免無用的警報。工作人員可以跨越用戶身份、設備、位置與行為的事件快速查看事件的年表,以確保清楚地了解任何事件。
  • 自動減少警報 - 利用情境MFA盤問身分,在分析師到達前自動解決誤報
  • 事件分類與優先順序 - 自動查明有風險的用戶,根據特權、資產、存取行為與失敗的身份進行驗證,並確定優先順序
  • 按業務部門追蹤風險 - 按部門、群組或組織輕鬆追蹤與分析風險,以專注於修復與訓練工作
  • 搜尋威脅Hunt Threats - 快速識別異常值然後深入了解任何用戶、帳號或設備的行為,包括完整的行為年表及其如何偏離規範
    • 備註: ForestSafe 可透過工業局電腦軟體共同供應契約採購,節省您採購建置時間。
    歡迎您的蒞臨指導
    研討會時間:2019年09月06日 週五下午14:00 ~ 17:00
    報名方式: (請以電子郵件報名) gina@proware.com.tw Gina 高小姐
    地點:新北市新店區寶橋路235巷1弄4號6樓 商丞科技 會議室 或透過 Zoom 遠端視訊會議

    < 新聞中心