資安產品解決方案

Preempt 身份識別與防止威脅存取平台
(CrowdStrike Falcon Zero Trust)

勒索攻擊,營運中斷、機密外洩事件頻傳,如何防止駭客入侵與勒索軟體是2021年企業面臨的嚴重挑戰。

最近微軟資安團隊的調查與追蹤,發現勒索軟體已由過去的大量發送的自動化方式,改為『人為操作勒索軟體 Human Operated Ransomware』的攻擊方式,也就是駭客在遠端操作鍵盤的 APT 先進持續攻擊。駭客會探詢客戶的環境的弱點入侵。與自動傳播勒索軟體不同,它們是手動鍵盤攻擊,攻擊者會使用被竊取的特權帳號憑證執行偵察、變更防火牆等網路的設定、關閉防毒軟體等資安防護措施。每一次的攻擊方式或許都會不同,所以傳統的端點偵測與響應 (EDR) 與端點保護平台 (EPP) 都不一定能有效防範。

資安專家建議防止勒索軟體的方法與客戶面臨的困難 【資料來源:CYBER】

網路分段 Network segmentation
  • 要將客戶現有網路作實體隔離的困難度非常高,而且會降低生產力
  • 導入多因子認證 Multi Factor Authentication (MFA)
  • 費用昂貴,要與現有網路環境與應用程式整合,往往無法支援陳舊系統
  • 修補與更新 Patching & updates
  • 大部分客戶的 IT 環境都會隨時更新作業系統與上 Patch,很難對24小時不停機的生產工作機台更新作業系統與上 Patch,成為駭客與勒索軟體入口
  • 每個工廠都在害怕!台積電電腦中毒背後真正的原因:工廠生產設備很貴,折舊很長,可以用五到十年甚至更久。那時候的電腦作業系統還是十年前的版本,沒有更新,感染病毒後,病毒會將資料庫加密鎖住(以便勒索業主),抓不到資料,生產線就自動停了 【資料來源:天下雜誌】
  • 附上最新 Preempt 簡介、如何透過 Preempt 防止駭客入侵與勒索軟體、常用 Preempt Policy 規則範本、內建報表、威脅搜尋器主要應用與詳細威脅搜尋器清單。

    如何透過 Preempt 防止駭客入侵與勒索軟體?

    有別其他產品如 EDR 端點防護或 PAM 特權帳號管理產品,Preempt 不需在客戶的個人電腦上安裝 Agent、不需改變網路架構與用戶習慣,資料不需上傳到雲端,只需要在客戶的 DC 安裝 Agent 並提供 Preempt 使用的特權帳號,以虛擬機 Virtual Appliance 佈署,可以在3~4個小時內完成 PoC 安裝設定,迅速地以下列方式保護客戶 IT 環境。
    proware_solution_preempt

    1. 立即清查客戶環境內的弱點 (作業系統與密碼設定) 與風險指數 Risk Score

  • 例如是否為幽靈特權帳號
  • 是否有作業系統沒有更新版本
  • 作業系統老舊的機台電腦是否與 MIS、OA、網域主機網路連通
  • 是否有未納入管理的電腦或終端 (Unmanaged End Point)?這些電腦可能是從 VPN、WiFi 無線網路的連線電腦或生產線自動化機台

  • proware_solution_preempt

    2. 潛在威脅與明確的攻擊行為

  • 例如是否有駭客在掃描暴力破解網域管理員密碼
  • 例如是否有大量登入電腦的行為(勒索軟體大量加密)
  • 3. 將網路分段、阻斷不合理的連線

  • 例如將生產線與 IT 的 MIS、OA、網域控制器主機網路邏輯分段
  • 例如依照業務性質 (生產、財務、研發、OA等) 與網路性質 (VPN、WiFi、內網、VDI等) 邏輯分段
  • 4. 透過 MFA (多因子身分確認)、降權、阻斷、隔離(要搭配 NAC)等,有效反應來防止駭客 (人為勒索軟體) 的入侵、蛙跳與攻擊

  • 針對透過 VPN、WIFI 設備,登入到內部個人電腦或伺服器的連線要求 MFA 多因子身分確認
  • 例如有無法更新作業系統版本與 Patch 的非人為操作電腦(如生產設備機台),使用 RDP 遠端桌面連線時,要求 MFA 多因子身分確認或立即阻斷
  • 例如當有程式帳號 (如備份、稽核、資安軟體) 將使用 RDP 遠端連線時立即阻斷
  • 例如對登入到重要的伺服器時 (如Mail Server、網域控制器主機等) 的特權帳號,要求 MFA 多因子身分確認
  • 常用 Preempt Policy 規則範本:

    MFA 多因子身分認證

  • 重要電腦連線行為身分驗證: 透過 RDP 遠端桌面連線到重要電腦時,要求 MFA 身分驗證
  • 應用伺服器連線身分驗證: 人為帳號透過一般或網頁介面認證時,必須 MFA 身分驗證
  • 異常行為身分驗證: 人為帳號不是使用常用的終端且非 VDI 虛擬桌面登入時,要求 MFA 身分驗證
  • VPN 連線身分驗證: 透過 VPN 遠端登錄到內部 AD 帳號電腦時,要求 MFA 身分驗證
  • Wifi 連線身分驗證: 透過 Wifi 無線網路登錄到內部 AD 帳號電腦時,要求 MFA 身分驗證
  • 不活動的用戶存取: 當用戶3個月沒有活動後突然使用電腦登入時,必須 MFA 身分驗證
  • 特權用戶存取控制: 當有特權的人為帳號使用非自己的終端時,登入時必須 MFA 身分驗證
  • 禁止密碼強度不足的登錄: 當使用強度不足密碼 Weak Password 登錄時,強制重置密碼

  • 阻斷異常的 RDP 遠端連線蛙跳

  • 阻斷異常連線行為: 阻斷從機台電腦使用 RDP 遠端桌面的連線
  • 禁止未納管電腦: 阻斷禁止未納管電腦 (加入AD) 的電腦連線使用 AD 帳號登錄到內部
  • 阻斷 RDP 遠端連線到網域控制器 (DC): 在網域控制器 (DC) 操作必須是在本地操作
  • 限制程式帳號使用 RDP: 阻斷程式帳號使用 RDP 連線登入到其他電腦
  • 限制管理員只能使用自己的電腦:限制人為特權帳號登錄只能在自己的電腦上使用
  • 禁止可以檔案下載的連線:禁止透過實體 (但允許 VDI 工作站) 連線到重要的 File Server
  • 防止蛙跳:阻止特定用戶 (群組) 透過 RDP 連線到特定 File Server (或特定敏感電腦)

  • Preempt Predefined Reports 內建報表

    Activity
    1. Account Lockouts by User
       • Last 24 Hours、Last 7 Days、Last 30 Days
    2. Account Lockouts by Endpoint
       • Last 30 Days
    3. Used Endpoints
       • Last 7 Days、Last 30 Days
    4. Unused Endpoints
       • Last 7 Days、Last 30 Days
    5. Unused Servers
       • Last 7 Days、Last 30 Days
    6. NTLM Usage by User
    7. NTLM Usage by Endpoint
    Incidents
    1. Top 10 by Severity
    2. Top 10 Users by Number of Incidents
    3. Summary
       • Last 24 Hours、Last 7 Days、Last 30 Days
    Insights
    1. Accounts About to Expire within 7 Days
    2. Added Computers - Last 7 Days
    3. Admin Owned Endpoints
    4. Administrative Logins
       • Last 24 Hours、Last 7 Days、Last 30 Days
    5. All Accounts With Compromised Password
    6. Departmental Risk by Severity
       • Last 7 Days、Last 30 Days
    7. Detailed Failed Authentication
       • Last 24 Hours、Last 7 Days、Last 30 Days
    8. Disabled Accounts
    9. Discovered Accounts With Compromised Passwords
       • Last 24 Hours、Last 7 Days、Last 30 Days
    10. Expired Accounts - Last 7 Days
    11. Inactive Admins
    12. Never Logged On Users
    13. OU Risk by Severity
       • Last 7 Days、Last 30 Days
    14. Removed Computers Last - Last 7 Days
    15. Security Assessment
    16. Removed Computers
    17. Stealthy Admins
    18. Top 10 Risky Users

    Preempt Threat Hunter 威脅搜尋器主要應用

    Administrative Account Lockouts:管理帳號被閉鎖
  • 管理帳號被閉鎖,可能代表有人嘗試特權帳號密碼
  • Privileged Escalations:特權升級
  • 特權升級,代表有人從一般權限升級到特權用戶
  • Last Day Failed Authentications:前一天的身份驗證失敗
  • 了解哪些電腦與帳號的身份驗證失敗
  • 是否有人在嘗試登錄密碼或掃描密碼 Credentials scanning
  • Last Day Watched Users Activity:被觀察用戶前一天的活動
  • 被觀察用戶 (Watched Users) 是必須特別注意的用戶
  • Last Day Marked Users Activity:被標記用戶前一天的活動
  • 被標記用戶 (Marked Users) 是資安人員要求特別注意的用戶,預設觀察時間為48小時
  • Traffic based events with NTLMv1 version:基於NTLMv1版本的流量的事件
  • 當終端使用舊版本的 NTLMv1 協定,因為容易被駭客破解密碼,建議升級到 NTLMv2
  • Remote Desktop to Domain Controllers:連線到網域控制器的 RDP 遠端桌面
  • 建議不要開放透過 RDP 連端連線到 DC 網域控制器,或者每天檢視登錄到 DC 的用戶
  • Interactive logins for Service Accounts:使用服務帳號的人為操作
  • 當服務帳號被使用於人為操作的登錄行為時,可能代表該特權帳號已經被駭客入侵使用
  • Unencrypted LDAP:LDAP 未加密保護
  • 建議啟用加密的 LDAPS 協定

  • Preempt Threat Hunter 威脅搜尋器

    Authentication
       • Domain Login
       • Failed Authentication
       • Kerberos Authentication
       • LDAP Authentication
       • SSO Login
       • VPN Authentication
    Service
       • LDAP
       • Web
       • File Share
       • DB
       • Remote Procedures (RPC)
       • Remote Desktop (RDP)
       • SCCM Remote Control
       • SIP
       • Mail
       • Computer Access
    User Account Events
       • Authorizer Modified
       • Created
       • Department Membership Modified
       • Disabled
       • Email Address Modified
       • Enabled
       • Locked
       • Remote Task Management
       • Netlogon Server Authenticate
       • Remote Code Execution
       • Email Address Modified
       • Enabled
       • Locked
       • OU Membership Modified
       • Password Changed
       • Privileged Decreased
       • Privileged Escalation
       • Unlocked
       • Username Modified
    Service
       • Cloud Service
       • Uncategorized
       • LDAP Operations
       • LDAP Search
       • RPC Operations
       • Domain Replication
       • SPN Modification
       • Replication Server Registration
       • Scheduled Task Creation
       • Remote Service Configuration
       • Net Session Enumeration
       • User Management
       • Remote SCM Activation (DCOM)
    Alerts
       • Access from Forbidden Country
       • Anomalous RPC
       • Credential Scanning
       • Excessive Activity - Destination Endpoint
       • Excessive Activity - Origin Endpoints
       • Forged PAC Alert
       • Geographic Anomaly
       • Golden Ticket Attack
       • Hidden Object Detected
       • Identity Verification Approved
       • Identity Verification Denied
       • Identity Verification Timeout
       • Password Brute Force
       • Policy Rule Match
       • Possible Exploitation Attempt
       • Remote Code Execution
       • Skeleton Key Alert
       • Stale Endpoint Usage
       • Stale Service Usage
       • Stale User Account Usage
       • Suspected NTLM Relay Activity
       • Suspicious Domain Replication
       • Suspicious LDAP Activity
       • Suspicious Lateral Movement
       • Suspicious Protocol Implementation
       • Suspicious Ticket Reuse
       • Unusual Access to Application
       • Unusual Access to Server
       • Unusual New Account Activity
       • Unusual Use of Endpoint
       • Unusual User Geolocation
       • Usage of IP with Bad Reputation
       • User Brute Force
    Preempt 白皮書 (請按此下載)

    Preempt 展示影片

    How to Gain Visibility and Control of Privileged Users

    Preempt - Preventing Insider Threats and Breaches

    Preempt Platform Part 1 - Identity and Risk Insights

    Preempt Platform Part 2 - Real Time Threat Detection

    Preempt Platform Part 3 - Conditional Access

    How to Extend MFA to Any Network Asset (Video 3 of 4)