Embed Size (px)
Citation preview
鎖定式攻擊三部曲
入侵、感染AD、資料加密
防護應用白皮書
中華數位科技圖片來源 Pixabay,版權屬原作者所有
透過APT Email瀏覽掛馬網頁使用有惡意程式的USB裝置
運用漏洞進行感染進行AD提權及注入攻擊透過GPO派送安裝惡意程式
入侵
感染AD
加密勒索,衝擊營運
感染加密勒索病毒將主機、電腦系統、檔案、資料庫..進行加密
中華數位科技
圖片來源 Pixabay,版權屬原作者所有
加密勒索攻擊事件的防護管理應用
應用白皮書 BY 中華數位科技
APT郵件防護
USB週邊防護
應用程式控管
漏洞偵測與修補
Active Directory風險偵測
加密活動偵測調查
應用方案: SPAM SQR + ADM模組
應用方案: ivanti Device Control
應用方案: Netwrix Auditor for AD 模組
應用方案: Netwrix Auditor for File Server,
for Windows Server 模組
應用方案: ivanti Patch Manager
應用方案: ivanti Endpoint Manager-安全套件
圖片來源 Pixabay,版權屬原作者所有
USB週邊防護應用方案: ivanti Device Control
USB常作為攻擊初始的
感染管道,隨後駭客才
會進行遠端控制或下載
更多惡意軟體至系統中。
儘管有防毒軟體,但防
毒軟體並無法偵測未知
型威脅,建議搭配額外
偵測方式(如USB週邊控
管)來避免惡意威脅。
應用白皮書 BY 中華數位科技
防堵入侵管道
週邊裝置識別-最佳細緻度
核心層Agent,高安全、低影響系統效能
靈活管控設定(by AD帳號|群組、by裝置類型、by 時段、 by在公司|離網)
複製檔案的全文或檔名抄寫副本(File Shadow),以備舉證
針對儲存外接裝置提供檔案類型管控、複製檔案大小上限管制、USB加密
強化臨時申請週邊裝置使用控管(支持公發拇指碟,禁用新發現的週邊裝置)
鍵盤側錄程式- 偵測與保護
終端管控的使用紀錄,允許使用及觸犯違規禁用活動全都錄
Device Control
應用程式控管應用方案: ivanti Endpoint Manager-安全套件
應用白皮書 BY 中華數位科技
Ivanti運用綁定應用程
式類型才能使用對應的
檔案,能有效降低一般
黑白名單這類過於簡單
而效果不彰的管控方式。
提供軟體行為引擎,從
行為活動模型來辨識是
否為惡意程式。
Endpoint Manager安全套件 (應用程式控管)
自動偵測阻止勒索軟體偵測可
疑軟體
行為
軟體對
外連網
記憶體
執行序(Rootkit)
產生緩
衝溢位
軟體註
冊程序
(Registry)
阻擋巨
集檔案
• 學習模式:自動蒐集一定時間内所有軟體執行情况,包含文件特徵資訊• 對列入清單的軟體進行HASH值檢測• 支援信任數位簽章技術,合法廠商自動允許執行• 即使軟體檔名被更改,管控政策仍然生效• 支援綠色軟體使用控制
防堵入侵管道
漏洞偵測與修補應用方案: ivanti Patch Manager
應用白皮書 BY 中華數位科技
減少攻擊接觸面
75%的攻擊使用目前已發
現的系統漏洞,其實大多
數漏洞都是可以被修復的。
但企業組織可能基於作業
系統過時或一些限制,放
任電腦設備不進行修補,
這些電腦就成為駭客攻擊
的灘頭堡。
Patch Manager
高安全保證修補驗證中心 (符合國際安全標準OWASP, ISO,..及運用多種安全檢測工具(如NSA認證工具), 多層次縱
深防禦安全機制, AES-256 Https傳遞加密, 7x24x 365 緊急事件通報及回應機制)
跨多作業平台 (Windows , MAC , Linux ); Gartner 評價全球終端安全管理領導象限
Patch修補範圍廣(Windows, MAC, Non-windows, 第三方應用程式);支持連網或離線修補
需求,專利軟體分發技術(可兼顧QoS)
支持回復徹銷修補程式、持續重覆嘗試修補,最大落實修補完成度;彈性釋放CPU資源,
中斷修補不影響重要任務運作; 彈性管理關機行為,不干擾人員上班操作
提供警示通知、多類管理報表,可追蹤終端管控的結果紀錄(目前狀態-成功,失敗原因..)
Active Directory風險偵測
應用白皮書 BY 中華數位科技
即時偵測AD感染活動
近來駭客攻擊鎖定Active
Directory攻擊的比例升
高,攻入AD就可加速病
毒感染的效率。
透過一些駭客工具就可進
行帳號提權、進而改變
GPO限制原則,透過
GPO大量派送加密勒索
病毒,進行程式注入攻擊。
應用方案: Netwrix Auditor for AD 模組
嘗試登入失敗活動檢查
提權變動檢查
GPO設定變動檢查
軟體限制原則變動
管理者群組帳號變動
可針對AD物件、GPO物件、Logon登錄記錄發送變動偵測警示及詳細紀錄報表,有助於調查不尋常的嘗試登入或可疑設定變動
詳閱:AD風險異動偵測白皮書
加密活動偵測調查
應用白皮書 BY 中華數位科技
應用方案: Netwrix Auditor for File Server、Windows Server 模組
進行加密活動的過程,
惡意程式需將目標系統
先停止服務,接著安裝
執行程式,可能也會啟
動註冊程序。
若能偵測這些異常的變
動並即時發送警示通知,
即時預警有助於緊急應
變處理,立即止血,防
止災情擴大。
可針對Windows File Server中檔案可能因為加密造成大量變動、針對Windows-based主機的異常變動(如服務變動(如停止、變成自動、啟用)、新安裝軟體、登錄檔變動..等發送警示及提供詳細紀錄報表,有助於調查不尋常的設定變動
詳閱:加密勒索檔案防護白皮書
Netwrix Auditor
IT關鍵系統變動|存取記錄稽核的領先方案
追查關鍵系統所發生不尋常
的變動或存取軌跡紀錄
法規遵循稽核&風險異常事件
調查的管理應用方案
Active
Directory Azure AD Exchange NetAPP SharePoint Oracle DB
Office 365
Windows File
ServerEMC
SQL
ServerVMWare
Windows
Server
Network
Device
產品銷售/技術服務
中華數位科技股份有限公司 諮詢專線:02-2543-2000客服信箱:[email protected]
