June. 24, 2020
資安研討會
親愛的客戶/合作夥伴,您好:
自2020年起國內陸續發生企業與政府單位被勒索軟體加密要求贖金的資安事件。為何這些對資安非常重視的企業與單位還是被勒索軟體入侵加密攻擊呢?
根據調查局專案人員掌握情資顯示,駭客預謀在近日針對國內10家企業再度發動勒索軟體攻擊,依本案行為模式研判,駭客鎖定之10家企業應已遭入侵滲透並潛伏數月之久。
最近微軟資安團隊的調查與追蹤發現勒索軟體已經由過去的大量發送的自動化方式改為 『人為操作勒索軟體Human Operated Ransomware 』的攻擊方式,也就是駭客在遠端操作鍵盤的APT先進持續攻擊。駭客會探詢客戶的環境的弱點入侵。與自動傳播勒索軟體不同,它們是手動鍵盤攻擊,攻擊者會使用被竊取的特權帳號憑證執行偵察、變更防火牆等網路的設定、關閉防毒軟體等資安防護措施。每一次的攻擊方式或許都會不同,所以傳統的端點偵測與響應(EDR)與 端點保護平台(EPP)都不一定能有效防範。微軟表示,在此類活動中,即使支付了贖金攻擊者仍可存取網路。
資料來源:
如何因應人為操縱的勒索軟體攻擊?
歡迎參加 商丞科技2020年6月24日 『(1) EESM ForestSafe/SessionSafe/LAPSafe 特權帳號管理、安全的VPN連線側錄、個人電腦本地管理員帳號清查回收軟體 (2) Preempt身份識別與防止威脅存取平台 (3) Unitrends Backup:可主動偵測勒索軟體加密全方位備份與連續資料保護軟體』網路視訊研討會。
一、EESM ForestSafe/SessionSafe/LAPSafe 特權帳號管理、安全的VPN連線側錄、個人電腦本地管理員帳號清查回收軟體
因應新冠肺炎疫情居家辦公的需求,許多公司立即建置 SSL VPN 遠端連線並開放RDP遠端桌面協定讓員工可在家裡或異地連線到公司內部作業,但沒想到卻因此為駭客開啟了入侵的大門,因為駭客可以掃描 Internet上RDP Port 3389 的電腦並使用 Masscan.exe 之類的工具,從受感染的電腦中進行RDP暴力攻擊,該工具可以在六分鐘內在整個 Internet 上找到易受攻擊的電腦。
1. SessionSafe: VPN遠端連線控管、側錄、連線畫面 OCR 光學字元辨識搜尋軟體
不需要在主機上安裝代理程式的 Agent-less 解決方案
將 Https Html5 轉換成內部 RDP/VNC/SSH 協定連線至後端個人電腦或伺服器
連線之電腦只需要有 Web 瀏覽器,不需要安裝連線軟體或 Agent 並禁止檔案傳輸資料外洩之風險
可選購 DMZ Proxy Server,避免內部SessionSafe Web Portal 直接對外
遠端連線的電腦不需要開啟 RDP (port 3389)、SSH(port 22) 與 FTP(port 21),減少被駭客攻擊機會
透過 Web 執行應用程式或存取資料,透過 Radius、電郵、簡訊與智慧型手機 APP 的 2FA 二次身分認證真實身分
選購提供連線畫面光學字元辨識OCR與索引功能,可搜尋連線畫面上出現的字串(如機密、Confidential等)與正規表示法(如信用卡號、身分字號、地址等)
提供完整的連線紀錄、側錄、執行 RDP 應用程式 與 OCR 機敏資料操作畫面稽核報告
2. EESM LAPSafe:個人電腦帳號清查、本地管理員帳號回收與特權提權申請軟體
『竊取特權帳號密碼是駭客入侵、APT先進持續攻擊成功的指標』,許多客戶只有管理伺服器上的特權帳號系統,孰不知個人電腦是駭客與惡意病毒最容易入侵的入口
許多客戶因為常在個人電腦上安裝軟體或修改設定,而保留了大量的本地管理員帳號 Local Administrator
網域中的任何電腦上大多使用完全相同密碼本地管理員帳號
一旦駭客透過社交工程、釣魚信件與 RDP 暴力攻擊入侵後,如果被入侵的是個人電腦上的Local Administrator 本地管理員帳號,那駭客就可透過本地管理員的權限執行各種入侵工具,輕易竊取網域管理者的密碼進而控制客戶的整個網域
LAPSafe 是不需要在主機上安裝代理程式的 Agent-less 解決方案
對象:一般內部員工的網域個人電腦
解決因經常要在個人電腦上安裝軟體或修改設定,而保留了 local administrator 本地管理員帳號的資安問題
避免網域中的任何電腦上使用完全相同密碼的 local administrator 本地管理員帳號,成為駭客或勒索軟體攻擊目標問題
支援 Radius、電郵、簡訊與智慧型手機 APP 等 2FA 確認申請人員身分
自動盤點數量龐大的 Windows 個人電腦上的帳號
刪除或關閉不需要的一般用戶、local administrator 本地管理員的特權帳號
提供特權提權的申請批准申請流程,自動升級權限為 local administrator 本地管理員或 local administrator 本地管理員密碼自動更改管理功能
提供完整的特權提權申請、批准紀錄稽核報告
3.EESM ForestSafe:特權帳號管理、遠端連線控管、側錄與 OCR 光學字元辨識搜尋軟體
『竊取特權帳號密碼是駭客入侵、APT先進持續攻擊成功的指標』,但許多客戶受限於經費,所以只有管理少數伺服器上的特權帳號 (例如公司有500台伺服器,但只有納管300台),且特權帳號管理的範圍不只有伺服器,還有個人電腦、防火牆、路由器、VPN等網路設備
EESM Forestsafe 是不需要在主機上安裝代理程式的 Agent-less 解決方案
對象:內外部連線IT管理員(系統、網路、資料庫 與應用程式)與外包廠商
將Https Html5轉換成內部 RDP/VNC/SSH 協定連線至後端個人電腦或伺服器
連線之電腦只需要有Web瀏覽器,不需要安裝連線軟體或 Agent 並禁止檔案傳輸資料外洩之風險
可透過 Radius、電郵、簡訊與智慧型手機 APP 的 2FA 二次身分認證真實身分
提供特權帳號/密碼的申請批准申請流程,自動登入特權帳號/密碼
透過特權帳號密碼生命週期管理功能、自動更改密碼
選購提供連線畫面光學字元辨識OCR與索引功能,可搜尋連線畫面上出現的字串(如機密、Confidential等)與正規表示法(如信用卡號、身分字號、地址等)
提供完整的特權帳號使用與連線稽核報告
提供完整的執行 RDP 應用程式與 OCR 機敏資料操作畫面稽核報告
二、Preempt身份識別與防止威脅存取平台Identity and Access Threat Prevention(IATP): 洞察身份與風險、即時行為分析與偵測威脅、有條件的存取Conditional Access軟體
駭客入侵後,將使用被盜的憑證關閉惡意軟體偵測服務,下載用於盜竊憑證、持續性、偵察與其他活動的工具,清除事件日誌並進行偵察與蛙跳(橫向移動lateral movement.)
Preempt 可以分析並保護Maze Ransomware 攻擊(資料來源:請按此)
Preempt是業界唯一的使用者行為分析防火牆 Behavior Firewall,可持續追蹤企業每個實體的身份、異常行為與風險,並根據風險自動調整反應。在不中斷用戶工作效率的情況下盤問身分或重定向異常或危險行為。如果風險增加,該解決方案可以減少用戶權限、強制更改密碼或最終根據策略阻止
Preempt持續監控網路和所有實體,以識別入侵的跡象。透過將多因子身份驗證MFA 擴展到任何應用程式或網路資源,Preempt可以盤問可能受到攻擊的帳號,以便在沒有任何管理員參與的情況下自動確認或解決事件。當他們的憑證被濫用時,可以向有效用戶發出警報,可以減少可疑用戶的權限,並且可以自動阻止已確認的威脅以防止破壞或資料丟失
被竊取的帳號與設備 - 防止惡意軟體、勒索軟體或攻擊者使用被竊取的用戶憑證、設備或服務帳號來攻擊網路
橫向移動 - 識別並阻止橫向移動(蛙跳)技術,例如傳遞雜湊 Pass-the-Hash 與特權升級 Privilege Escalation
基礎架構攻擊 - 防止暴力攻擊、偽造PAC檔、嘗試蒐集Active Directory資料以及先進持續威脅 APT(如黃金票證 Golden Ticket),這些攻擊可以允許攻擊者無限期地存取網路上的任何資源
第三方用戶 - 當供應商、承包商或合作夥伴等第三方存取敏感伺服器時,防止或要請求獲得批准
三、Unitrends Backup:可主動偵測勒索軟體加密並適用於虛擬、實體與雲端環境的一體化 All-in-one 備份與連續資料保護軟體
勒索軟體不斷變種,所以因應勒索軟體保護的的最後方法是執行頻繁與多份的備份
- 主動偵測勒索軟體攻擊並驗證備份檔案是否保證可以復原 (Recovery Assurance)的備份/備援方案
- 單一系統即可同時保護 實體和虛擬化(VMware vSphere、Microsoft Hyper-V、Citrix XenServer)環境與 Nutanix AHV超融合基礎架構的珍貴資料
- 保護多種平台: 從PC (Windows、Mac)、Windows Server、Linux、Mac OS X、AIX、Solaris、iSeries(OS400)、SQL、Netware、Exchange、Oracle、VMware、Hyper-V、Citrix等,超過100種作業系統與資料庫環境的資料保護
- 單一系統即可提供備份、還原、裸機復原、異機復原、P2V/V2P/V2V轉換、歸檔、立即還原與異地備援等完整的資料保護功能
- 提供立即還原(Instant Recovery)功能,在災害發生時不需經冗長還原時間,在短時間內立即復原
- 選購 Recovery Assurance 功能,可自動驗證備份檔案是否可用於復原與演練災害時資料復原
- 彈性的復原方式: 不僅支援備份還原、立即細緻還原還可復原至同機/異機與虛擬化環境的P2P、V2P、P2V與 V2V 復原
- 選購 NDMP 模組可備份EMC或 NetApp NAS
- 支援近乎連續資料保護Near CDP (Continuous Data Protection)
- 支援歸檔Archiving功能,將陳舊備份資料歸檔至硬碟、磁帶、NAS與SAN
- 支援位元組級資料重覆刪除Global adaptive byte-level deduplication — 加速備份速度、減少儲存空間並加速 WAN 資料傳輸速度
- Unitrends開發了可在每次備份過程中運用的人工智慧(AI),可分析檔案異動的隨機性(而不僅僅是異動率),以判斷被勒索軟體感染的備份,並立即在儀表板報警並發送電子郵件通知管理員,所有可疑的備份都帶有一個圖標標記,以防止使用受感染的檔案進行復原,讓您在嚴重破壞之前發現駭客勒索軟體攻擊,放心地還原未感染的資料,讓您的企業IT運作恢復正常
歡迎您的蒞臨指導。
課程時間:2020年06月24日 週三下午14:00 ~ 17:00
聯絡人: Gina Kao 高碧真小姐
電話:2914-8001 分機2227
報名方式: (請以電子郵件報名)
一、 報名參加。請提供Zoom 網路視訊研討會連結。
(請按此)
二、 無法參加。但對下列產品有規劃需求(請詳列):
(請按此)
(1) EESM ForestSafe 特權帳號管理、連線側錄軟體
(2) EESM SessionSafe安全的VPN連線側錄軟體
(3) EESM LAPSafe個人電腦本地管理員帳號清查回收軟體
(4) Preempt身份識別與防止威脅存取平台
(5) Unitrends Backup:可主動偵測勒索軟體加密全方位備份與連續資料保護軟體
< 新聞中心