新聞中心

Feb. 27, 2020
資安研討會
親愛的客戶,您好:
您有監控保護『應用程式』上,使用的『特權與服務帳號』嗎?
您知道駭客只要或獲得本地特權帳號後,無需密碼即可輕鬆的劫持網域管理員RDP連線嗎?
您有建置Citrix與VMware虛擬桌面與應用程式虛擬化,有實施連線側錄與行為監控嗎?
您使用Linux的X Window (X11)來執行EDA電子設計自動化軟體時,有實施連線側錄與行為監控嗎?
1.因為客戶有太多的特權帳號密碼,是以Hard Code寫死在『陳舊與重要的應用程式與排程任務』,如果特權帳號管理系統自動更改了密碼,將導致這些程式服務無法執行的大災難,除非您願意大費周章該改程式,可是有些軟體已經無法修改。
例如:備份軟體擁有開啟(備份)所有作業系統、檔案、資料庫的高權限,可是您卻無法透過特權帳號管理系統,自動更改密碼,將造成備份任務無法執行。長期沒有變更密碼的特權帳號成為駭客攻擊的目標,破解密碼後登入系統、植入惡意程式、蛙跳、竊取重要資料或進行破壞。
2. 建置Citrix XenDeskTop/XenApp 與VMware HORIZON VDI/RDSH Server,將資料與應用程式集中且資料不落地,卻無法防止有心人士透過遠端與手機拍攝機密畫面。
歡迎參加商丞科技2020年2月27日 『Preempt 特權帳號行為分析、威脅阻斷與防止蛙跳與Ekran System : Windows、macOS、Linux與Linux X Window電腦連線管控、身分確認、側錄、行為分析與異常行為阻斷軟體』軟體的現場/Zoom網路視訊研討會

Proware-preempt

洞察身份與風險、即時行為分析與偵測威脅、有條件的存取Conditional Access軟體

Proware-preempt
Preempt是業界唯一的使用者行為分析防火牆 Behavior Firewall,可持續追蹤企業每個實體的身份、異常行為與風險,並根據風險自動調整反應。在不中斷用戶工作效率的情況下盤問身分或重定向異常或危險行為。如果風險增加,該解決方案可以減少用戶權限、強制更改密碼或最終根據策略阻止。

Preempt Platform 主要應用如下:

一、消弭違規行為與憑證竊取 Eliminate Breaches and Compromised Credentials

Preempt持續監控網路和所有實體,以識別入侵的跡象。透過將多因子身份驗證MFA,擴展到任何應用程式或網路資源,Preempt可以盤問可能受到攻擊的帳號,以便在沒有任何管理員參與的情況下,自動確認或解決事件。當他們的憑證被濫用時,可以向有效用戶發出警報,可以減少可疑用戶的權限,並且可以自動阻止已確認的威脅,以防止破壞或資料丟失。
  • 被竊取的帳號與設備 - 防止惡意軟體或攻擊者使用被竊取的用戶憑證、設備或服務帳號來攻擊網路
  • 橫向移動 - 識別並阻止橫向移動(俗稱蛙跳)技術,例如傳遞雜湊 Pass-the-Hash與特權升級 Privilege Escalation
  • 基礎架構攻擊 - 防止暴力攻擊、偽造PAC檔、嘗試蒐集Active Directory資料以及先進持續威脅 APT(如黃金票證 Golden Ticket),這些攻擊可以允許攻擊者無限期地存取網路上的任何資源
  • 第三方用戶 - 當供應商、承包商或合作夥伴等第三方存取敏感伺服器時,防止或請求獲得批准
  • 二、防止內部威脅 Prevent Insider Threats

    最終用戶是企業面臨的最不可預測的風險之一。Preempt Platform根據被存取資產的背景中,持續追蹤與評分每個用戶、特權用戶與主機的行為。
  • 內部存取濫用/惡意內部人員 - 在授予資源或資料存取權限之前,識別並盤問規範之外的行為以驗證身份
  • 濫用特權 - 即時識別正在獲取或濫用權限的特權帳號
  • 危險或粗心行為 - 偵測並防止不安全的用戶行為,例如使用有弱點的密碼、從未經批准的位置登入等
  • 三、監控與保護特權帳號 Monitor and Protect Privileged Accounts

    Preempt會自動發現、監控與管理網路中的特權帳號,例如系統管理員、主管甚至服務帳號。特權帳號是攻擊者的主要目標,而Preempt提供了根據其風險適當追蹤與控制這些帳號的能力。
  • 特權帳號清查 - 自動查找所有活動與陳舊的特權用戶與帳號
  • 管理風險 - 追蹤特權帳戶並對風險行為或設定採取措施,例如觸發MFA身分確認、設定批准者或降低權限
  • 監控業務特權 - 監控並為高價值用戶與資產(如主管或敏感的伺服器)分配更高風險的評分
  • 特權身份使用 - 驗證何時使用特權憑證來存取敏感資源
  • 找出隱形管理員- 找出並監控具有管理員級特權,但不在管理員群組中的用戶
  • 四、將基於身份的存取控制,增加到任何應用程式或資源 Add Identity-Based Access Controls to Any App or Resource

    Preempt基於用戶身份追蹤網路中的所有行為,允許策略確定誰能夠在什麼背景中存取哪些資源。可以根據用戶、角色,設備、密碼強度與各種其他因素來設定策略。Preempt還將多因子身份驗證 MFA擴展到基於策略的應用程式,包括任何舊版本或自行開發的應用程式。
  • 工作站登入 - 確保用戶在登入工作站時透過MFA識別自己
  • 保護高價值伺服器與應用程式 - 根據敏感伺服器與應用程式的用戶身份追蹤與執行策略
  • 基於風險調整策略 - 盤問用戶或基於身份、行為和整體風險的組合來阻止對資源的存取
  • 五、積極降低風險並支持法規遵循 Proactively Reduce Risk and Support Compliance

    Preempt不斷分析環境,以識別弱點與風險行為。該平台可以輕鬆偵測與記錄各種密碼缺陷,甚至可以根據策略強制用戶採取糾正措施。
  • 陳舊資產 - 輕鬆識別與刪除未存取的伺服器及陳舊的用戶或管理員帳號
  • 有弱點密碼或暴露的密碼 - 針對密碼較弱或被竊取密碼的不安全用戶,並根據策略強制重新驗證或更改密碼
  • 帳號共享 - 識別使用重複密碼並共享同一帳號的用戶
  • 稽核/法規遵循 - 成功透過滲透測試稽核並遵守各種法規遵循標準,包括NIST
  • 六、改善事件反應與舉證效率 Improve Incident Response and Forensics Efficiency

    Preempt確保分析師能夠快速獲得所需的可視性與背景,同時完全避免無用的警報。工作人員可以跨越用戶身份、設備、位置與行為的事件快速查看事件的年表,以確保清楚地了解任何事件。
  • 自動減少警報 - 利用情境MFA盤問身分,在分析師到達前自動解決誤報
  • 事件分類與優先順序 - 自動查明有風險的用戶,根據特權、資產、存取行為與失敗的身份進行驗證,並確定優先順序
  • 按業務部門追蹤風險 - 按部門、群組或組織輕鬆追蹤與分析風險,以專注於修復與訓練工作
  • 搜尋威脅Hunt Threats - 快速識別異常值然後深入了解任何用戶、帳號或設備的行為,包括完整的行為年表及其如何偏離規範
  • 常用的Preempt 策略規則 Policy Rule範本:

    1. Anomalous Authentication 異常行為身分驗證:當人為帳號不是使用常用的終端,且非VDI虛擬桌面登入時,要求MFA身分驗證
    2. Application Authentication 應用程式身分驗證:要求人為帳號透過一般或網頁介面認證時,必須MFA身分驗證
    3. Inactive User Access 不活動的用戶存取:當用戶3個月沒有活動後,突然使用電腦登入時,必須MFA身分驗證
    4. Privileged Users Access Control 特權用戶存取控制:當有特權的人為帳號,使用非自己的終端登入時,必須MFA身分驗證
    5. Protect RDP to DC over NTLM:使用舊的NTLM認證機制,RDP遠端連線到網域控制器(DC)時,要求須MFA身分確認
    6. Restrict RDP (Programmatic) 限制程式帳號使用RDP遠端連線:當有程式帳號Programmatic account使用RDP連線進行登入驗證時,會加以阻斷
    7. Restrict Workstation Authentication (Admins)限制工作站身份驗證(管理員):限制人為特權帳號,只能在自己的電腦上使用
    8. Weak Password Detected 當偵測到強度不足密碼時,強制重置密碼
    9. 禁止實體/允許VDI工作站連線到File Server
    10. 防止蛙跳:禁止用戶透過RDP連線到某Server

    Ekran System:Windows、macOS、Linux與Linux X Window(X11) 電腦連線管控、身分確認、側錄、行為分析與異常行為阻斷軟體

    業界目前唯一可側錄Linux Base X Windows (X11) 圖形,與文字操作介面畫面的身分確認、側錄、行為分析與異常行為阻斷軟體。
    Proware-ekran

  • 支援Windows、Mac、Linux與X Window的Agent base監控側錄軟體
  • 市場上唯一Agent based的X11 (X Window)側錄軟體
  • 不受限使用的網路連線協定(RDP、ICA、PCoIP、SPICE、SSH),可支援Citrix、VMware、Oracle_SDG (Secure Global Desktop)與FreeNX等VDI環境
  • 支援一次性密碼OTP、登入時的二次身份認證與雙因子認證(2FA)多種身分確認功能
  • 可依照登入帳號、電腦名稱、來源IP、目的IP、應用程式、Windows Title、鍵盤輸入、連線網址URL、Copy/Paste 拷貝貼上、功能鍵(Print Screen、Page Up/Page Down…) 等資料進行搜尋
  • 清查執行程式與指令、有效分析活動、發現威脅時立即警告並自動阻斷
  • 內建人工智慧的UEBA使用者及實體設備行為分析功能 AI-Powered User and entity behavior analytics (UEBA),可提前偵測異常與威脅並自動反應
  • 可自動即時事件警報(自定義與內建,透過電子郵件傳送)並阻斷惡意行為
  • 提供完整的連線與操作(人、事、時、地、物)報告,以因應稽核要求
  • 可記錄搜尋 X-Windows 終端機模式下操作指令,追蹤重要操作人員(如研發工程師)行為

  • Proware-ekran
    特有的浮動授權Floating Licensing方式,適合使用Golden Image (Master Image) 部署的VMware Horizon VDI 環境,當不使用的Guest OS關機時, Ekran System就會自動釋放出占用的Ekran System Workstation license,可幫客戶省下大量授權。

    歡迎您的蒞臨指導。
    課程時間:2020年02月27日 週四下午14:00 ~ 17:00
    (備註因場地限制請務必事先報名)
    報名方式: (請以電子郵件報名) gina@proware.com.tw Gina Kao 高碧真小姐
    電話:2914-8001 分機2227
    地點:新北市新店區寶橋路235巷1弄4號6樓 商丞科技 會議室(備有收費地下停車場,請於警衛室換證)
    如無法到場參加,可來信要求提供 Zoom 網路視訊會議連結。

    < 新聞中心