Sep. 06, 2019
資安研討會
親愛的客戶,您好:
駭客透過作業系統或應用程式漏洞、惡意軟體竊取特權身份入侵系統、竊取重要資料的事件不斷發生,竊取特權帳號密碼是駭客入侵、APT先進持續攻擊成功的指標;Gartner 2019年十大安全項目排名第一的是特權帳戶管理。
您知道開放遠端電腦直接透過電腦的 RDP、SSH、FTP協定連線容易成為駭客攻擊目標嗎?
您有針對VPN連等遠端連線進行管控、MFA多因子身分認證、特權帳號管理與連線側錄稽核嗎?
您知道『特權帳號管理』是主管單位資訊安全檢查的重要項目嗎?
您知道許多陳舊應用程式因為納入『特權帳號管理』困難而造成資安漏洞嗎?
歡迎參加商丞科技2019年09月06日 『ForestSafe 特權帳號管理、連線管理側錄、操作畫面OCR光學辨識搜尋軟體與Preempt身份識別(一般/服務/特權帳號)、行為分析與防止威脅存取平台』研討會
一、EESM ForestSafe:遠端連線控管與側錄、特權帳號密碼管理、連線畫面OCR光學字元辨識搜尋軟體
不需要在主機上安裝代理程式的 Agent-less 自動化解決方案
清查所有電腦上所有帳號:
何時建立? 主機名稱? 使用者名稱? 說明?
是本地群組? 內建帳號? 最近登入時間? 密碼過期? 最近密碼設定時間?
掃瞄找出未被管理的Windows Domain中所有電腦
掃瞄找出未被管理的本地與共用特權帳號並加入管理
可管Unix、Windows Workgroup、Cisco與MAC OS-X電腦
自動定期更改管理的特權帳號密碼(預設是每週更改)
可透過手機Google Authentication APP、E-Mail、Radius、SMS簡訊、RSA SecureID等多種雙因子認證2FA機制確認身分
遠端連線的電腦不需要開啟RDP (port 3389)、SSH (port 22)與FTP (port 21),減少被駭客攻擊機會
每次連線後自動更改密碼(一次性密碼),縮短密碼有效時間防止密碼被竊取機會
提供中英文的特權帳號連線申請/批核操作Web操作介面(Approval Layer)
透過ForestSafe Web操作介面提供RDP/SSH不需要輸入密碼的Single Sign-On登入功能,防止密碼被竊取
選購支援MS SQL、Juniper SSL、IBM DB2、SAP、Oracle、Lotus Notes、SharePoint與AS 400特權帳號密碼管理功能
自動啟動限制使用的RDP應用程式並錄影,RDP程式結束後自動結束連線,防止執行其他非授權之RDP應用程式
選購OCR光學字元辨識模組可辨識並索引連線畫面的中英文等多國文字
產生機敏畫面OCR搜尋連線報告: 登入時間? 使用者? 入主機名稱? 申請理由?
OCR光學字元辨識,可辨識並索引連線錄影畫面的中英文等多國文字與身分證字號、信用卡卡號等機敏資料,並產出每日遠端連線機敏資料的查詢報告
二、Preempt身份識別與防止威脅存取平台Identity and Access Threat Prevention(IATP)
Preempt身份識別與防止威脅存取平台Identity and Access Threat Prevention(IATP): 洞察身份與風險、即時行為分析與偵測威脅、有條件的存取Conditional Access軟體
Preempt是業界唯一的使用者行為分析防火牆 Behavior Firewall,可持續追蹤企業每個實體的身份、異常行為與風險,並根據風險自動調整反應。在不中斷用戶工作效率的情況下盤問身分或重定向異常或危險行為。如果風險增加,該解決方案可以減少用戶權限、強制更改密碼或最終根據策略阻止。
Preempt Platform 主要功能如下:
一、洞察身份與風險 Identity and Risk Insights: 統一本地端On Premises與雲端Cloud的帳號的可視性
持續洞察以減少攻擊面
充分了解用戶活動
所有用戶(一般、特權、服務帳號)的Profile、Baseline與風險評分
立即發現風險
清查Active Directory設定錯誤、權限提升Elevated Privileges、有弱點密碼Weak Passwords、陳舊帳號戶Stale Accounts、隱形管理員Stealthy Administrators
二、即時行為分析與偵測威脅 Real Tim Behavior Analytics and Threat Detection
即時發現內部威脅與安全事件
即時流量分析
偵測行為異常 Behavioral Anomalies、橫向移動 Lateral Movement、複雜攻擊模式、濫用工具和不安全的協定
濫用的特權存取、用戶與服務帳號的異常使用
防止由於濫用網路工具(例如PsExec、PowerShell)和使用駭客工具(例如Mimikatz、Bloodhound等),而導致的橫向移動 Lateral Movement 與未經授權的網域存取
深入檢查身份驗證協定(NTLM、Kerberos、LDAP等),控制不安全的協定的使用並降低安全威脅的風險,包括憑證轉發credential forwarding和密碼破解憑證以及偵測如Kerberoasting、Pass-the-Hash Golden Ticket等攻擊
三、有條件的存取任何地方 Conditional Access Anywhere
在威脅影響前先發制人
即時阻止威脅
通過自動反應發揮最高效率
為本地端或雲端應用APP增加有條件的存取 Conditional Access
在沒有開發且沒有端點代理程式情況下將多因子認證MFA 增加到任何資源
基於策略的反應(例如阻止Block、多因子認證MFA、隔離Isolation、減少特權reduce privileges、報警alert、允許allow等),並根據身份、行為與風險不斷進行調整
Preempt Platform 產品架構
Preempt Platform 主要應用如下:
一、消弭違規行為與憑證竊取 Eliminate Breaches and Compromised Credentials
Preempt持續監控網路和所有實體,以識別入侵的跡象。透過將多因子身份驗證MFA擴展到任何應用程式或網路資源,Preempt可以盤問可能受到攻擊的帳號,以便在沒有任何管理員參與的情況下自動確認或解決事件。當他們的憑證被濫用時,可向有效用戶發出警報,減少可疑用戶的權限,並且可自動阻止已確認的威脅以防止破壞或資料丟失。
被竊取的帳號與設備 - 防止惡意軟體或攻擊者使用被竊取的用戶憑證、設備或服務帳號來攻擊網路
橫向移動 - 識別並阻止橫向移動(俗稱蛙跳)技術,例如傳遞雜湊 Pass-the-Hash與特權升級 Privilege Escalation
基礎架構攻擊 - 防止暴力攻擊、偽造PAC檔、嘗試蒐集Active Directory資料以及先進持續威脅 APT(如黃金票證 Golden Ticket),這些攻擊可以允許攻擊者無限期地存取網路上的任何資源
第三方用戶 - 當供應商、承包商或合作夥伴等第三方存取敏感伺服器時,防止或要請求獲得批准
二、防止內部威脅 Prevent Insider Threats
最終用戶是企業面臨的最不可預測的風險之一。Preempt Platform根據被存取資產的背景中持續追蹤與評分每個用戶、特權用戶與主機的行為。
內部存取濫用/惡意內部人員 - 在授予資源或資料存取權限之前,識別並盤問規範之外的行為以驗證身份
濫用特權 - 即時識別正在獲取或濫用權限的特權帳號
危險或粗心行為 - 偵測並防止不安全的用戶行為,例如使用有弱點的密碼、從未經批准的位置登入等
三、監控與保護特權帳號 Monitor and Protect Privileged Accounts
Preempt會自動發現、監控與管理網路中的特權帳號,例如系統管理員、主管甚至服務帳號。特權帳號是攻擊者的主要目標,而Preempt提供了根據其風險適當追蹤與控制這些帳號的能力。
特權帳號清查 - 自動查找所有活動與陳舊的特權用戶與帳號
管理風險 - 追蹤特權帳戶並對風險行為或設定採取措施,例如觸發MFA身分確認、設定批准者或降低權限
監控業務特權 - 監控並為高價值用戶與資產(如主管或敏感的伺服器)分配更高風險的評分
特權身份使用 - 驗證何時使用特權憑證來存取敏感資源
找出隱形管理員- 找出並監控具有管理員級特權,但不在管理員群組中的用戶
四、將基於身份的存取控制,增加到任何應用程式或資源 Add Identity-Based Access Controls to Any App or Resource
Preempt基於用戶身份追蹤網路中的所有行為,允許策略確定誰能夠在什麼背景中存取哪些資源。可以根據用戶、角色,設備、密碼強度與各種其他因素來設定策略。Preempt還將多因子身份驗證 MFA擴展到基於策略的應用程式,包括任何舊版本或自行開發的應用程式。
工作站登入 - 確保用戶在登入工作站時透過MFA識別自己
保護高價值伺服器與應用程式 - 根據敏感伺服器與應用程式的用戶身份追蹤與執行策略
基於風險調整策略 - 盤問用戶或基於身份、行為和整體風險的組合來阻止對資源的存取
五、積極降低風險並支持法規遵循 Proactively Reduce Risk and Support Compliance
Preempt不斷分析環境,以識別弱點與風險行為。該平台可以輕鬆偵測與記錄各種密碼缺陷,甚至可以根據策略強制用戶採取糾正措施。
陳舊資產 - 輕鬆識別與刪除未存取的伺服器及陳舊的用戶或管理員帳號
有弱點密碼或暴露的密碼 - 針對密碼較弱或被竊取密碼的不安全用戶,並根據策略強制重新驗證或更改密碼
帳號共享 - 識別使用重複密碼並共享同一帳號的用戶
稽核/法規遵循 - 成功透過滲透測試稽核並遵守各種法規遵循標準,包括NIST
六、改善事件反應與舉證效率 Improve Incident Response and Forensics Efficiency
Preempt確保分析師能夠快速獲得所需的可視性與背景,同時完全避免無用的警報。工作人員可以跨越用戶身份、設備、位置與行為的事件快速查看事件的年表,以確保清楚地了解任何事件。
自動減少警報 - 利用情境MFA盤問身分,在分析師到達前自動解決誤報
事件分類與優先順序 - 自動查明有風險的用戶,根據特權、資產、存取行為與失敗的身份進行驗證,並確定優先順序
按業務部門追蹤風險 - 按部門、群組或組織輕鬆追蹤與分析風險,以專注於修復與訓練工作
搜尋威脅Hunt Threats - 快速識別異常值然後深入了解任何用戶、帳號或設備的行為,包括完整的行為年表及其如何偏離規範
備註: ForestSafe 可透過工業局電腦軟體共同供應契約採購,節省您採購建置時間。
歡迎您的蒞臨指導
研討會時間:2019年09月06日 週五下午14:00 ~ 17:00
報名方式: (請以電子郵件報名)
gina@proware.com.tw Gina 高小姐
地點:新北市新店區寶橋路235巷1弄4號6樓 商丞科技 會議室 或透過 Zoom 遠端視訊會議
< 新聞中心