Proware by UNIFOSA Proware by UNIFOSA 商丞科技_儲存事業群(原普樺科技)-RAID, NAS, iSCSI and JBOD storage provider

Preempt 身份識別與防止威脅存取平台
(CrowdStrike Falcon Zero Trust)

勒索攻擊，營運中斷、機密外洩事件頻傳，如何防止駭客入侵與勒索軟體是2021年企業面臨的嚴重挑戰。

Acronis網路威脅報告預測「2021將是勒索之年」【資料來源:資安人】

「勒索病毒」襲台傳56醫療院所電腦中鏢【資料來源:自由時報】

群創傳遭勒索病毒攻擊生產未受影響【資料來源:經濟日報】

中油遭惡意程式攻擊捷利卡、中油PAY暫無法使用【資料來源:經濟日報】

台塑石化董座陳寶郎：旗下加油站未遭駭客攻擊交易系統一切正常【資料來源:ETtoday財經雲】

力成湖口廠遭勒索病毒攻擊生產作業影響有限【資料來源:經濟日報】

高科技產業再傳攻擊事件，自動化設備廠盟立公告遭勒索軟體攻擊【資料來源:iThome】

臺灣電子產業又傳資安事件，PCB大廠欣興公告部分系統遭病毒感染【資料來源:iThome】

日本電玩開發商卡普空疑遭勒索軟體攻擊，被盜走1TB資料【資料來源:iThome】

仁寶傳出遭勒索軟體攻擊，勒索USD 16,725,500 (1100 bitcoin)【資料來源:techspot】

雲端業者Blackbaud面臨23起訴訟，原因是遭勒索軟體攻擊導致用戶資料外洩【資料來源:iThome】

研華被勒索USD 1300萬 ($13 million ransom (roughly 750 BTC)【資料來源:bleepingcomputer】

外媒：鴻海墨西哥廠遭駭勒贖比特幣近10億元【資料來源:經濟日報】

美國國土安全部發布緊急指令，要聯邦機構立即關閉被植入木馬的SolarWinds系統【資料來源:iThome】

最近微軟資安團隊的調查與追蹤，發現勒索軟體已由過去的大量發送的自動化方式，改為『人為操作勒索軟體 Human Operated Ransomware』的攻擊方式，也就是駭客在遠端操作鍵盤的 APT 先進持續攻擊。駭客會探詢客戶的環境的弱點入侵。與自動傳播勒索軟體不同，它們是手動鍵盤攻擊，攻擊者會使用被竊取的特權帳號憑證執行偵察、變更防火牆等網路的設定、關閉防毒軟體等資安防護措施。每一次的攻擊方式或許都會不同，所以傳統的端點偵測與響應 (EDR) 與端點保護平台 (EPP) 都不一定能有效防範。

資安專家建議防止勒索軟體的方法與客戶面臨的困難【資料來源:CYBER】

網路分段 Network segmentation

要將客戶現有網路作實體隔離的困難度非常高，而且會降低生產力

導入多因子認證 Multi Factor Authentication (MFA)

費用昂貴，要與現有網路環境與應用程式整合，往往無法支援陳舊系統

修補與更新 Patching & updates

大部分客戶的 IT 環境都會隨時更新作業系統與上 Patch，很難對24小時不停機的生產工作機台更新作業系統與上 Patch，成為駭客與勒索軟體入口

每個工廠都在害怕！台積電電腦中毒背後真正的原因：工廠生產設備很貴，折舊很長，可以用五到十年甚至更久。那時候的電腦作業系統還是十年前的版本，沒有更新，感染病毒後，病毒會將資料庫加密鎖住（以便勒索業主），抓不到資料，生產線就自動停了【資料來源:天下雜誌】

附上最新 Preempt 簡介、如何透過 Preempt 防止駭客入侵與勒索軟體、常用 Preempt Policy 規則範本、內建報表、威脅搜尋器主要應用與詳細威脅搜尋器清單。

如何透過 Preempt 防止駭客入侵與勒索軟體？

有別其他產品如 EDR 端點防護或 PAM 特權帳號管理產品，Preempt 不需在客戶的個人電腦上安裝 Agent、不需改變網路架構與用戶習慣，資料不需上傳到雲端，只需要在客戶的 DC 安裝 Agent 並提供 Preempt 使用的特權帳號，以虛擬機 Virtual Appliance 佈署，可以在3~4個小時內完成 PoC 安裝設定，迅速地以下列方式保護客戶 IT 環境。

1. 立即清查客戶環境內的弱點 (作業系統與密碼設定) 與風險指數 Risk Score

例如是否為幽靈特權帳號

是否有作業系統沒有更新版本

作業系統老舊的機台電腦是否與 MIS、OA、網域主機網路連通

是否有未納入管理的電腦或終端 (Unmanaged End Point)？這些電腦可能是從 VPN、WiFi 無線網路的連線電腦或生產線自動化機台

2. 潛在威脅與明確的攻擊行為

例如是否有駭客在掃描暴力破解網域管理員密碼

例如是否有大量登入電腦的行為(勒索軟體大量加密)

3. 將網路分段、阻斷不合理的連線

例如將生產線與 IT 的 MIS、OA、網域控制器主機網路邏輯分段

例如依照業務性質 (生產、財務、研發、OA等) 與網路性質 (VPN、WiFi、內網、VDI等) 邏輯分段

4. 透過 MFA (多因子身分確認)、降權、阻斷、隔離(要搭配 NAC)等，有效反應來防止駭客 (人為勒索軟體) 的入侵、蛙跳與攻擊

針對透過 VPN、WIFI 設備，登入到內部個人電腦或伺服器的連線要求 MFA 多因子身分確認

例如有無法更新作業系統版本與 Patch 的非人為操作電腦(如生產設備機台)，使用 RDP 遠端桌面連線時，要求 MFA 多因子身分確認或立即阻斷

例如當有程式帳號 (如備份、稽核、資安軟體) 將使用 RDP 遠端連線時立即阻斷

例如對登入到重要的伺服器時 (如Mail Server、網域控制器主機等) 的特權帳號，要求 MFA 多因子身分確認

常用 Preempt Policy 規則範本：

MFA 多因子身分認證

重要電腦連線行為身分驗證：透過 RDP 遠端桌面連線到重要電腦時，要求 MFA 身分驗證

應用伺服器連線身分驗證：人為帳號透過一般或網頁介面認證時，必須 MFA 身分驗證

異常行為身分驗證：人為帳號不是使用常用的終端且非 VDI 虛擬桌面登入時，要求 MFA 身分驗證

VPN 連線身分驗證：透過 VPN 遠端登錄到內部 AD 帳號電腦時，要求 MFA 身分驗證

Wifi 連線身分驗證：透過 Wifi 無線網路登錄到內部 AD 帳號電腦時，要求 MFA 身分驗證

不活動的用戶存取: 當用戶3個月沒有活動後突然使用電腦登入時，必須 MFA 身分驗證

特權用戶存取控制: 當有特權的人為帳號使用非自己的終端時，登入時必須 MFA 身分驗證

禁止密碼強度不足的登錄：當使用強度不足密碼 Weak Password 登錄時，強制重置密碼

阻斷異常的 RDP 遠端連線蛙跳

阻斷異常連線行為：阻斷從機台電腦使用 RDP 遠端桌面的連線

禁止未納管電腦：阻斷禁止未納管電腦 (加入AD) 的電腦連線使用 AD 帳號登錄到內部

阻斷 RDP 遠端連線到網域控制器 (DC)：在網域控制器 (DC) 操作必須是在本地操作

限制程式帳號使用 RDP：阻斷程式帳號使用 RDP 連線登入到其他電腦

限制管理員只能使用自己的電腦：限制人為特權帳號登錄只能在自己的電腦上使用

禁止可以檔案下載的連線：禁止透過實體 (但允許 VDI 工作站) 連線到重要的 File Server

防止蛙跳：阻止特定用戶 (群組) 透過 RDP 連線到特定 File Server (或特定敏感電腦)

Preempt Predefined Reports 內建報表

Activity

1. Account Lockouts by User
• Last 24 Hours、Last 7 Days、Last 30 Days

2. Account Lockouts by Endpoint
• Last 30 Days

3. Used Endpoints
• Last 7 Days、Last 30 Days

4. Unused Endpoints
• Last 7 Days、Last 30 Days

5. Unused Servers
• Last 7 Days、Last 30 Days

6. NTLM Usage by User

7. NTLM Usage by Endpoint

Incidents

1. Top 10 by Severity

2. Top 10 Users by Number of Incidents

3. Summary
• Last 24 Hours、Last 7 Days、Last 30 Days

Insights

1. Accounts About to Expire within 7 Days

2. Added Computers - Last 7 Days

3. Admin Owned Endpoints

4. Administrative Logins
• Last 24 Hours、Last 7 Days、Last 30 Days

5. All Accounts With Compromised Password

6. Departmental Risk by Severity
• Last 7 Days、Last 30 Days

7. Detailed Failed Authentication
• Last 24 Hours、Last 7 Days、Last 30 Days

8. Disabled Accounts

9. Discovered Accounts With Compromised Passwords
• Last 24 Hours、Last 7 Days、Last 30 Days

10. Expired Accounts - Last 7 Days

11. Inactive Admins

12. Never Logged On Users

13. OU Risk by Severity
• Last 7 Days、Last 30 Days

14. Removed Computers Last - Last 7 Days

15. Security Assessment

16. Removed Computers

17. Stealthy Admins

18. Top 10 Risky Users

Preempt Threat Hunter 威脅搜尋器主要應用

Administrative Account Lockouts：管理帳號被閉鎖

管理帳號被閉鎖，可能代表有人嘗試特權帳號密碼

Privileged Escalations：特權升級

特權升級，代表有人從一般權限升級到特權用戶

Last Day Failed Authentications：前一天的身份驗證失敗

了解哪些電腦與帳號的身份驗證失敗

是否有人在嘗試登錄密碼或掃描密碼 Credentials scanning

Last Day Watched Users Activity：被觀察用戶前一天的活動

被觀察用戶 (Watched Users) 是必須特別注意的用戶

Last Day Marked Users Activity：被標記用戶前一天的活動

被標記用戶 (Marked Users) 是資安人員要求特別注意的用戶，預設觀察時間為48小時

Traffic based events with NTLMv1 version：基於NTLMv1版本的流量的事件

當終端使用舊版本的 NTLMv1 協定，因為容易被駭客破解密碼，建議升級到 NTLMv2

Remote Desktop to Domain Controllers：連線到網域控制器的 RDP 遠端桌面

建議不要開放透過 RDP 連端連線到 DC 網域控制器，或者每天檢視登錄到 DC 的用戶

Interactive logins for Service Accounts：使用服務帳號的人為操作

當服務帳號被使用於人為操作的登錄行為時，可能代表該特權帳號已經被駭客入侵使用

Unencrypted LDAP：LDAP 未加密保護

建議啟用加密的 LDAPS 協定

Preempt Threat Hunter 威脅搜尋器

Authentication

• Domain Login

• Failed Authentication

• Kerberos Authentication

• LDAP Authentication

• SSO Login

• VPN Authentication

Service

• LDAP

• Web

• File Share

• DB

• Remote Procedures (RPC)

• Remote Desktop (RDP)

• SCCM Remote Control

• SIP

• Mail

• Computer Access

User Account Events

• Authorizer Modified

• Created

• Department Membership Modified

• Disabled

• Email Address Modified

• Enabled

• Locked

• Remote Task Management

• Netlogon Server Authenticate

• Remote Code Execution

• Email Address Modified

• Enabled

• Locked

• OU Membership Modified

• Password Changed

• Privileged Decreased

• Privileged Escalation

• Unlocked

• Username Modified

Service

• Cloud Service

• Uncategorized

• LDAP Operations

• LDAP Search

• RPC Operations

• Domain Replication

• SPN Modification

• Replication Server Registration

• Scheduled Task Creation

• Remote Service Configuration

• Net Session Enumeration

• User Management

• Remote SCM Activation (DCOM)

Alerts

• Access from Forbidden Country

• Anomalous RPC

• Credential Scanning

• Excessive Activity - Destination Endpoint

• Excessive Activity - Origin Endpoints

• Forged PAC Alert

• Geographic Anomaly

• Golden Ticket Attack

• Hidden Object Detected

• Identity Verification Approved

• Identity Verification Denied

• Identity Verification Timeout

• Password Brute Force

• Policy Rule Match

• Possible Exploitation Attempt

• Remote Code Execution

• Skeleton Key Alert

• Stale Endpoint Usage

• Stale Service Usage

• Stale User Account Usage

• Suspected NTLM Relay Activity

• Suspicious Domain Replication

• Suspicious LDAP Activity

• Suspicious Lateral Movement

• Suspicious Protocol Implementation

• Suspicious Ticket Reuse

• Unusual Access to Application

• Unusual Access to Server

• Unusual New Account Activity

• Unusual Use of Endpoint

• Unusual User Geolocation

• Usage of IP with Bad Reputation

• User Brute Force

Preempt 白皮書 (請按此下載)

Preempt 展示影片

How to Gain Visibility and Control of Privileged Users

Preempt - Preventing Insider Threats and Breaches

Preempt Platform Part 1 - Identity and Risk Insights

Preempt Platform Part 2 - Real Time Threat Detection

Preempt Platform Part 3 - Conditional Access

How to Extend MFA to Any Network Asset (Video 3 of 4)

資安產品解決方案

Preempt 身份識別與防止威脅存取平台 (CrowdStrike Falcon Zero Trust)