新聞中心

Oct. 08, 2021
資安研討會
親愛的客戶,您好:
『勒索軟體攻擊造成營運中斷』、『駭客入侵或內賊竊取營業秘密』是現今企業經營者最擔心的資安問題。
您有建置『特權帳號管理系統』嗎?是否只能管理少數 IT 或廠商等人為操作的特權帳號?
但您知道大量無法納入管理的第三方軟體的特權服務帳號,是特權帳號管理軟體盲點嗎?
您有建置檔案存取稽核軟體,但是能夠在駭客入侵或內賊竊取營業秘密時即時警告嗎?
您知道 Maze、Dopplepaymer、REvil 與其他人為操作的勒索軟體組織不只會加密檔案 — 他們會接管系統、竊取機密資料、在完成加密後留下後門再發出贖金通知嗎?
監控機敏資料存取、異常行為即時警告、保護特權帳號、防止勒索軟體擴散 — 歡迎參加 商丞科技 2021年10月8日 『Varonis 與 Silverfort』 網路視訊研討會。

勒索軟體防禦的縱深矩陣與因應方案

階段與目的 常見攻擊方式 保護方法
派送 Delivery:將勒索軟體派送到目標機器
惡意電子郵件、惡意網站 電子郵件安全閘道器 Email Secure Gateway / CDR
遠端桌面通訊協定 (RDP) 在 RDP 連線時阻止 / 強制執行 MFA
透過下載啟動 網頁過濾 Web filtering / 禁用瀏覽器插件 Disable browser plugins
執行 Execution:執行勒索軟體以加密或刪除機器上的檔案資料
惡意巨集 Malicious Macro 端點保護平台 Endpoint Protection Platform (EPP)
漏洞攻擊 Exploit
離地攻擊二進位檔 LOLbin / 其他惡意軟體
散播 Propagation:在環境中的多台機器之間散播,以加密更多檔案資料 使用竊取憑證的惡意身份驗證 身分保護、服務帳號保護與防止橫向移動 (蛙跳) 方案

散播 PROPAGATION 是目前勒索軟體保護堆疊中缺失的一環

目前傳統的勒索軟體保護堆棧主要針對派送與執行階段的安全措施。但大多數組織都沒有針對散播階段的解決方案,這造成了一個重大的安全漏洞—如果勒索軟體攻擊繞過派送與執行的安全控制,它就可以在整個環境中不間斷地散播。
階段 目前保護方法
派送 Delivery
Proware-varonis-silverfort
電子郵件安全閘道器 Secure Email Gateway、多因子身份驗證 Multi-Factor Authentication、廣告阻斷器 Ad blockers、網頁過濾 Web filtering
執行 Execution
Proware-varonis-silverfort
端點保護平台 Endpoint Protection Platform (EPP)、沙箱 Sandboxing、行為分析、白名單、簽章 Signatures
散播 Propagation
Proware-varonis-silverfort
無法防止勒索軟體在環境中擴散

Silverfort 保護如何防止勒索軟體?

Silverfort 與環境中的所有身份供應商 Identity Providers (IDP) 整合,以對所有用戶對所有地端 on-prem 與雲端 cloud 資源進行的所有嘗試存取執行持續監控 Continuous Monitoring、分析風險 Risk Analysis 與自適應存取政策 Adaptive Access Policies。
Proware-silverfort
Proware-silverfort
Proware-silverfort
用戶請求存取
勒索軟體從 Active Directory 請求存取其他電腦
轉發到 Silverfort
Active Directory 將請求轉發到統一身份保護平台
分析風險 Risk Analysis
Silverfort 發現存取請求可疑
Proware-silverfort
Proware-silverfort
Proware-silverfort
要求 MFA
Silverfort 向憑證被盜用的實際用戶發送 MFA 請求
拒絕用戶存取
從未嘗試存取機器的用戶存取請求被拒絕
勒索軟體存取被阻止
Silverfort 指示 Active Directory 阻止連接的請求

Silverfort 如何保護服務帳號 Securing Service Accounts?

Silverfort 提供服務帳號保護,防止攻擊者濫用它們進行橫向移動與未經授權的存取。Silverfort 透過自動發現組織內所有服務帳號、分析其活動並根據每個服務帳號的獨特行為,為每個服務帳號建立存取策略來解決這些挑戰。
自動發現與監控
Automated Discovery & Monitoring
主動威脅預防
Proactive Threat Prevention
無密碼輪換
No Password Rotation
Proware-silverfort
Proware-silverfort
Proware-silverfort
清查所有服務帳號與非人類身份,包括您不知道的身份。獲得對所有服務帳號及其活動與風險級別的統一可視性。 阻止服務帳號在偏離其所需活動時存取資源,使用零信任方法為服務帳號建立“虛擬圍欄”。 大規模地為您的服務帳號提供全面保護,而無需密碼輪換帶來的複雜性與操作中斷。

Silverfort 主要產品特點:

  • 不需要在主機上安裝代理程式的 Agent-less 或架設 Proxy Server 的統一身份保護平台
  • 以虛擬主機 VM 並可在地端快速部屬,蒐集之資料不需上傳至雲端
  • 支援 Kerberos、LDAP、NTLM、SAML、OIDC 與 RADIUS 等存取請求
  • 支援 Active Directory、ADFS、Azure AD、Okta、Ping、RADIUS 等身分驗證
  • 自動發現、監控與保護第三方應用程式與自行開發程式的特權服務帳號,消除傳統特權帳號軟體無法納管這些特權帳號密碼所造成風險
  • 可設定政策禁止服務或程式帳號執行 RDP、PsExec、Powershell、WMI 等遠端存取工具
  • 防止勒索軟體透過 RDP、CMD 與 Powershell 等存取方式,在您的環境中自動傳播攻擊
  • 不需要修改服務器與應用程式、不需要安裝 Agent 即可保護陳舊系統、管理員存取工具 (包括遠端 PowerShell、WMI、PSExec 等)、檔案系統與資料庫、IT基礎設施、工業系統、醫療保健系統、桌面登錄、RDP、SaaS應用程式、VPN 網路、VDI 與 Citrix 等敏感資產
  • 防止非法的橫向移動 Lateral Movement (蛙跳)
  • Siverfort Silverfort 提供支援 IOS 與 Android 智慧型手機的 MFA APP 亦可搭配 Microsoft Authenticator 等第三方 MFA 方案,輸入 OTP 一次性密碼或 Push 確認身分,並可使用 FIDO2 Token 硬體安全金鑰 (如 Yubiko Yubikey、動信安全金鑰 Idem Key、AuthenTrend ATKey.Card / ATKey.Pro 等),適合無法攜入智慧型手機的工作環境

  • Proware-silverfort

  • 目前只有 Silverfort 可以針對勒索軟體 payload 使用命令行界面 (PsExec、Powershell、WMI 等) 來散播的行為時實施 MFA 保護

  • 展示影片

    如何透過 Silverfort 統一身份保護平台保護你的客戶 Silverfort - Unified Identity Protection: How Can It Help Your Customers

    免安裝 Agent 的多因子認證 Agentless Multi Factor Authentication

    勒索軟體保護 RANSOMWARE PROTECTION

    橫向移動保護 LATERAL MOVEMENT PROTECTION

    可視性與風險分析 Visibility and Risk Analysis

    身分保護的零信任安全 Identity-Based Zero Trust

    保護服務帳號 Securing Service Accounts

    Silverfort 與 FIDO2 硬體安全金鑰展示 Silverfort & Yubikey: Setup Demo

    Varonis Data Security Platform 資料安全平台

    Proware-varonis

    Varonis 是市場第一名的 Data Security Platform 資料安全平台

    Varonis 目前支援 Active Directory、Windows、Sharepoint、Exchange、UNIX / Linux、Office 365、NAS 儲存設備 (Dell EMC、NetApp、Nasuni、HPE等)、周邊 (DNS、Proxy、VPN) ,提供機敏資料盤點 (Data Classification)、自動加密檔案的分類資料設定標籤 label、存取權限盤點、詳細的存取紀錄與即時警報通知、使用者分析 UBA 與預測威脅模型等高階安全保護功能,是市場上功能最齊全最強大的資料安全平台。
    Varonis 近期更推出 DatAdvantage Cloud :支援AWS、Box、GitHub、Google Drive、Jira、Okta、Salesforce、Slack 與 Zoom,並可盤點在 Box and Google Drive 上的機敏資料 (Data Classification Cloud for Box and Google Drive ),提供更完整的資料保護。

    Varonis 主要產品特點:

    1. 符合主管單位與法規稽核要求
  • 提供完整的機敏資料盤點、權限盤點與存取活動報告
  • 清查機敏資料有哪些人能存取、減少非必要人員的存取權限與清查權限繼承斷層

  • 2. 偵測、阻斷 APT 攻擊或加密勒索軟體
  • 偵測竊取帳號行為、可疑程式及系統檢測工具

  • 3. 檔案、電郵、Windows AD存取紀錄
  • 保護管理員、服務、主管與一般用戶帳號並偵測竊取帳號
  • 偵測非本人 (可能是駭客或內賊) 的郵件開啟

  • 4. 監控從 Web 網頁、SSL VPN 等遠端連線的資料存取情形
  • 蒐集從 Web Proxy、VPN、NDS 連線資料,偵測 APT 入侵與勒索軟體加密攻擊
  • 5. 支援微軟 AD RMS 與 AIP 加密機敏資料搜尋與分類
  • 依照 AD RMS 與 AIP 分類對 Varonis 認定為敏感的檔案進行加密
  • 自動套用分類標籤 (Microsoft 365 要 E5 等級客戶才能自動分類)
  • 稽核微軟 AD RMS 與 AIP 加密機敏資料,並發現錯誤的機密分類

  • 6. 提高儲存設備使用效率、減少機敏資料暴露風險
  • 將機敏資料搬移至安全位置
  • 將不常用檔案歸檔至二線儲存設備

  • 7. UBA 使用者行為分析預測威脅模型與即時警報通知
  • Varonis Alert Dashboard 儀表板可顯示威脅程度指標、可疑的使用者、資安事件與受到影響的檔案、物件
  • 可觸發 PowerShell 執行中斷連線、更改登入密碼等立即措施
  • 1   $userName = ActingObject
    2   $sessionId = ((quser /server:DC | Where-Object
        {$_match $userName }) -split ' +') [2]
    3   Invoke-RDUserLogoff -HostServer DC -
        UnifiedSessionId $sessionId
    * 備註:PowerShell 程式由客戶自行撰寫,Varonis 恕不提供。
    Varonis DatAlert Suite 使用者行為分析、威脅模型與即時警告套件可從 Windows AD、機敏資料、CIFS、NFS、MS Sharepoint、MS Exchange、Microsoft 365、VPN、Web Proxy 的資料存取行為獲取下列業界最完整的異常行為警報,讓您即早發現駭客攻擊、內鬼竊密以減少損失。

    Varonis Platform 101: Introduction to Varonis Data Security & Insider Threat Detection


    Proware-varonis

  • 使用漏洞入侵工具 Use of exploit kits
  • 密碼噴塗 Password spraying
  • 未經授權的信箱存取訪問 Unauthorized mailbox access
  • 橫向運動 (蛙跳) Lateral movement
  • DNS 快取中毒 DNS cache poisoning
  • 異常 GPO 的異動 Abnormal GPO changes
  • 異常存取不常用的敏感資料 Abnormal access to sensitive idle data
  • 可疑服務帳號行為 Suspicious service account behavior
  • 嘗試升級特權 Privilege escalation attempts
  • 資料洩露 Data exfiltration
  • 大量的檔案刪除 Mass file deletion
  • 大量的檔案加密 Mass file encryption
  • 關鍵物件的權限更改 Permission changes on critical objects
  • 群組成員異動 Group membership changes
  • 異常的帳號鎖定行為 Abnormal lockout behavior
  • 異常的電子郵件發送 / 接收活動 Unusual email send/receive activity
  • 暴力攻擊 Brute-force attacks

  • 詳細資料請參閱 Varonis 官網

    歡迎您的蒞臨指導。
    會議時間:2021年10月08日 週五下午 14:00 ~ 16:00
    會議方式: Microsoft Teams 會議視訊會議
    聯絡人: Gina Kao 高碧真小姐
    電話:2914-8001 分機2227
    報名方式: 請以電子郵件報名 (請按此)
                      無法參加,但對 Varonis 與 Silverfort 有規劃需求,請與我們聯絡。(請按此)

    < 新聞中心