Proware by UNIFOSA Proware by UNIFOSA 商丞科技_儲存事業群(原普樺科技)-RAID, NAS, iSCSI and JBOD storage provider

Dec. 06, 2019

資安研討會

親愛的客戶，您好：

『竊取特權帳號密碼是駭客入侵、APT先進持續攻擊成功的指標』、『缺乏系統監控：網路、應用程式與檔案完整性是PCI-DSS缺失排名第一名。』
您有建置『特權帳號管理系統』來保護您的企業嗎？有將『服務帳號』與『應用軟體』納入管理嗎？您知道誰新增/修改/刪除了哪些作業系統、Windows AD、註冊機瑪、應用程式、網頁/資料庫/網路設備/雲端等設定嗎？
您有紀錄稽核Local System 帳號對本地硬碟的檔案異動(新增、刪除與修改)？

1.因為客戶有太多的特權帳號密碼是以Hard Code寫死在『陳舊與重要的應用程式與排程任務』，如果特權帳號管理系統自動更改了密碼，將導致這些程式服務的無法執行的大災難，除非您願意大費周章該改程式，可是有些軟體已經無法修改。

例如：備份軟體擁有開啟(備份)所有作業系統、檔案、資料庫的高權限，可是您卻不可以透過特權帳號管理系統自動更改密碼，因為這將造成備份任務無法執行。
*** 結果因為這些長期沒有變更密碼的特權帳號成為駭客攻擊的目標，破解密碼後登入系統、植入惡意程式、蛙跳、竊取重要資料或進行破壞。

2.特權帳號管理系統主要的功能為『管理特權帳號的使用、自動更改密碼與連線側錄』，沒有『FIM檔案完整性監控、異動偵測與防止竄改覆蓋功能。』

例如：駭客利用網頁漏洞、作業系統與應用軟體弱點、電子郵件與社交工程釣魚，植入惡意程式或勒索軟體。
*** 結果因為沒有防止竄改(加密勒索)保護功能，造成重要資料外洩或加密勒索等重大災害，更無法提供主管與稽核單位要求提供的『異動報告』。

歡迎參加商丞科技2019年12月06日『Preempt特權帳號行為分析、威脅阻斷與防止蛙跳與Cimtrak檔案完整性監控、即時偵測異動、防止竄改(勒索)重要資料與設定』軟體現場/Zoom網路視訊研討會

洞察身份與風險、即時行為分析與偵測威脅、有條件的存取Conditional Access軟體

Preempt是業界唯一的使用者行為分析防火牆 Behavior Firewall，可持續追蹤企業每個實體的身份、異常行為與風險，並根據風險自動調整反應。在不中斷用戶工作效率的情況下盤問身分或重定向異常或危險行為。如果風險增加，該解決方案可以減少用戶權限、強制更改密碼或最終根據策略阻止。

Preempt Platform 主要應用如下:

一、消弭違規行為與憑證竊取 Eliminate Breaches and Compromised Credentials

Preempt持續監控網路和所有實體，以識別入侵的跡象。透過將多因子身份驗證MFA擴展到任何應用程式或網路資源，Preempt可以盤問可能受到攻擊的帳號，以便在沒有任何管理員參與的情況下自動確認或解決事件。當他們的憑證被濫用時，可以向有效用戶發出警報，可以減少可疑用戶的權限，並且可以自動阻止已確認的威脅以防止破壞或資料丟失。

被竊取的帳號與設備 - 防止惡意軟體或攻擊者使用被竊取的用戶憑證、設備或服務帳號來攻擊網路

橫向移動 - 識別並阻止橫向移動(俗稱蛙跳)技術，例如傳遞雜湊 Pass-the-Hash與特權升級 Privilege Escalation

基礎架構攻擊 - 防止暴力攻擊、偽造PAC檔、嘗試蒐集Active Directory資料以及先進持續威脅 APT(如黃金票證 Golden Ticket)，這些攻擊可以允許攻擊者無限期地存取網路上的任何資源

第三方用戶 - 當供應商、承包商或合作夥伴等第三方存取敏感伺服器時，防止或請求獲得批准

二、防止內部威脅 Prevent Insider Threats

最終用戶是企業面臨的最不可預測的風險之一。Preempt Platform根據被存取資產的背景中，持續追蹤與評分每個用戶、特權用戶與主機的行為。

內部存取濫用/惡意內部人員 - 在授予資源或資料存取權限之前，識別並盤問規範之外的行為以驗證身份

濫用特權 - 即時識別正在獲取或濫用權限的特權帳號

危險或粗心行為 - 偵測並防止不安全的用戶行為，例如使用有弱點的密碼、從未經批准的位置登入等

三、監控與保護特權帳號 Monitor and Protect Privileged Accounts

Preempt會自動發現、監控與管理網路中的特權帳號，例如系統管理員、主管甚至服務帳號。特權帳號是攻擊者的主要目標，而Preempt提供了根據其風險適當追蹤與控制這些帳號的能力。

特權帳號清查 - 自動查找所有活動與陳舊的特權用戶與帳號

管理風險 - 追蹤特權帳戶並對風險行為或設定採取措施，例如觸發MFA身分確認、設定批准者或降低權限

監控業務特權 - 監控並為高價值用戶與資產(如主管或敏感的伺服器)分配更高風險的評分

特權身份使用 - 驗證何時使用特權憑證來存取敏感資源

找出隱形管理員- 找出並監控具有管理員級特權，但不在管理員群組中的用戶

四、將基於身份的存取控制，增加到任何應用程式或資源 Add Identity-Based Access Controls to Any App or Resource

Preempt基於用戶身份追蹤網路中的所有行為，允許策略確定誰能夠在什麼背景中存取哪些資源。可以根據用戶、角色，設備、密碼強度與各種其他因素來設定策略。Preempt還將多因子身份驗證 MFA擴展到基於策略的應用程式，包括任何舊版本或自行開發的應用程式。

工作站登入 - 確保用戶在登入工作站時透過MFA識別自己

保護高價值伺服器與應用程式 - 根據敏感伺服器與應用程式的用戶身份追蹤與執行策略

基於風險調整策略 - 盤問用戶或基於身份、行為和整體風險的組合來阻止對資源的存取

五、積極降低風險並支持法規遵循 Proactively Reduce Risk and Support Compliance

Preempt不斷分析環境，以識別弱點與風險行為。該平台可以輕鬆偵測與記錄各種密碼缺陷，甚至可以根據策略強制用戶採取糾正措施。

陳舊資產 - 輕鬆識別與刪除未存取的伺服器及陳舊的用戶或管理員帳號

有弱點密碼或暴露的密碼 - 針對密碼較弱或被竊取密碼的不安全用戶，並根據策略強制重新驗證或更改密碼

帳號共享 - 識別使用重複密碼並共享同一帳號的用戶

稽核/法規遵循 - 成功透過滲透測試稽核並遵守各種法規遵循標準，包括NIST

六、改善事件反應與舉證效率 Improve Incident Response and Forensics Efficiency

Preempt確保分析師能夠快速獲得所需的可視性與背景，同時完全避免無用的警報。工作人員可以跨越用戶身份、設備、位置與行為的事件快速查看事件的年表，以確保清楚地了解任何事件。

自動減少警報 - 利用情境MFA盤問身分，在分析師到達前自動解決誤報

事件分類與優先順序 - 自動查明有風險的用戶，根據特權、資產、存取行為與失敗的身份進行驗證，並確定優先順序

按業務部門追蹤風險 - 按部門、群組或組織輕鬆追蹤與分析風險，以專注於修復與訓練工作

搜尋威脅Hunt Threats - 快速識別異常值然後深入了解任何用戶、帳號或設備的行為，包括完整的行為年表及其如何偏離規範

CimTrak檔案完整性監控、即時偵測異動、防止竄改(勒索)重要資料與設定、快速復原軟體

支援Windows/Unix/Linux等作業系統伺服器/工作站、網路設備、POS 系統、資料庫、Active Directory/LDAP、PCI 設定、雲端設定(Azure、Google Cloud、Oracle Cloud、Amazon Web Services)、VMware ESX / ESXi設定、Kubernettes設定與 Docker設定等廣泛的基礎設施

異動時即時通知：讓您深入了解您的IT環境中發生的情況

可設定重要目錄為拒絕權限Deny Rights的Read Only模式–即使您具有管理員權限，也無法更改檔案(禁止檔案新增、刪除與修改)

可設定重要目錄為更新基線Update Baseline模式–當檔案異動(檔案新增、刪除與修改)時，自動啟動增量快照 Incremental Snapshots，並可以透過快照備份快速復原資料

選購Trusted File Registry™ :為您提供可信賴的檔案登記 Trusted File Registry 防止軟體更新 Patch 時誤判，搭配 REST API可讓客戶客製化軟體，在安全、監控下的情況下更新定期與計畫中的網頁、應用程式

自動啟動更正：讓您能夠採取即時、自動的行動，以補救或完全阻止異動

協助客戶符合SWIFT CSP、NYDFS(23 NYCRR Part 500) 、PCI DSS、ISO 27001、NIST 800-171等標準的法規要求

國內已經有許多金融業客戶因應金管會稽核要求而導入Cimtrak。

歡迎您的蒞臨指導

研討會時間：2019年12月06日週五下午14:00 ~ 17:00
報名方式： (請以電子郵件報名) gina@proware.com.tw Gina 高小姐
地點：新北市新店區寶橋路235巷1弄4號6樓商丞科技會議室或透過 Zoom 遠端視訊會議

< 新聞中心