新聞中心

Nov. 27, 2020
資安研討會
親愛的客戶,您好:
從2020年起國內陸續發生企業與政府單位被勒索軟體加密要求贖金的資安事件。
為何這些對資安非常重視的企業與單位,仍會被勒索軟體入侵加密攻擊呢?
最近微軟資安團隊的調查與追蹤發現勒索軟體,已由過去的大量發送的自動化方式,改為『人為操作勒索軟體Human Operated Ransomware』的攻擊方式,也就是駭客在遠端操作鍵盤的APT先進持續攻擊。
駭客探詢客戶的環境的弱點入侵,與自動傳播勒索軟體不同,它們是手動鍵盤攻擊,攻擊者會使用被竊取的特權帳號憑證執行偵察、變更防火牆等網路設定、關閉防毒軟體等資安防護措施。
每一次的攻擊方式或許都會不同,所以傳統的端點偵測與響應(EDR)與保護平台(EPP)都不一定能有效防範。微軟表示,在此類活動中,即使支付了贖金攻擊者也仍可存取網路。
高權限帳號是駭客與內賊攻擊與竊取的首要目標。縱然客戶有建置 『特權帳號管理系統』 來保護企業。可是很多單位沒有完整的納管保護,並將『第三方軟體』與『應用軟體』的特權帳號納入管理,並對操作行為將以分析與監控,所以系統還是存在重大的漏洞。
1. 因客戶有太多的特權帳號密碼是以Hard Code寫死在『陳舊與重要的應用程式與排程任務』,如果特權帳號管理系統自動更改了密碼,將導致這些程式服務的無法執行的大災難,除非您願意大費周章更改程式,但有些軟體已無法修改。
例如:備份軟體擁有開啟(備份)所有作業系統、檔案、資料庫的高權限,可是您卻不可透過特權帳號管理系統自動更改密碼,這將造成備份任務無法執行。
*** 結果因為這些長期沒有變更密碼的特權帳號成為駭客攻擊的目標,破解密碼後登入系統、植入惡意程式、蛙跳、竊取重要資料或進行破壞。
2. 特權帳號管理系統主要的功能為 『管理特權帳號的使用、自動更改密碼與連線側錄』,沒有 『FIM檔案完整性監控、異動偵測與防止竄改覆蓋功能。』
例如: 駭客利用網頁漏洞、作業系統與應用軟體弱點、電子郵件與社交工程釣魚,植入惡意程式或勒索軟體。
*** 結果因為沒有防止竄改(加密勒索)保護功能,造成重要資料外洩或加密勒索等重大災害,更無法提供主管與稽核單位要求提供的『異動報告』。
【資料來源】
3. 美政府發布緊急指令,要求周一前完成Zerologon修補 【資料來源:iThome】
Windows Server的CVE-2020-1472漏洞被列為最高等級風險漏洞,可讓駭客輕易掌控AD網域,目前唯一緩解威脅之道是安裝微軟8月釋出的修補程式,美政府發布緊急指令,要求所有聯邦機關應在9月21日周一的晚間11:59,將所有Windows Server安裝8月安全更新。

一、Preempt身份識別與防止威脅存取平台Identity and Access Threat Prevention(IATP):洞察身份與風險、即時行為分析與偵測威脅、有條件的存取Conditional Access軟體

  • 駭客入侵後將使用被盜的憑證關閉惡意軟體偵測服務,下載用於盜竊憑證、持續性、偵察與其他活動的工具,清除事件日誌並進行偵察與蛙跳(橫向移動lateral movement)
  • Preempt 可以分析並保護 Maze Ransomware 攻擊 【資料來源:Preempt】
  • Preempt 可以偵測並阻止NETLOGON protocol (CVE-2020-1472) 漏洞所導致的駭客攻擊 【資料來源:Preempt】

  • Proware-preempt

  • Preempt是業界唯一的使用者行為分析防火牆 Behavior Firewall,可持續追蹤企業每個實體的身份、異常行為與風險,並根據風險自動調整反應。在不中斷用戶工作效率的情況下,盤問身分或重定向異常或危險行為。如果風險增加,該解決方案可以減少用戶權限、強制更改密碼或最終根據策略阻止
  • Preempt持續監控網路和所有實體,以識別入侵的跡象。透過將多因子身份驗證MFA 擴展到任何應用程式或網路資源,Preempt可以盤問可能受到攻擊的帳號,以便在沒有任何管理員參與的情況下,自動確認或解決事件。當他們的憑證被濫用時,可向有效用戶發出警報,可減少可疑用戶的權限,並可自動阻止已確認的威脅以防止破壞或資料丟失
  • 被竊取的帳號與設備 - 防止惡意軟體、勒索軟體或攻擊者使用被竊取的用戶憑證、設備或服務帳號來攻擊網路
  • 橫向移動 - 識別並阻止橫向移動(蛙跳)技術,例如傳遞雜湊Pass-the-Hash與特權升級 Privilege Escalation
  • 基礎架構攻擊 - 防止暴力攻擊、偽造PAC檔、嘗試蒐集Active Directory資料以及先進持續威脅 APT(如黃金票證 Golden Ticket),這些攻擊可允許攻擊者無限期地存取網路上的任何資源
  • 第三方用戶 - 當供應商、承包商或合作夥伴等第三方存取敏感伺服器時,防止或請求獲得批准
  • Preempt IATP有別其他產品 EDR 端點防護產品,不需在客戶的個人電腦上安裝Agent,資料不需上傳到雲端,只需要客戶的DC安裝 Agent 並提供特權帳號,以虛擬機 Virtual Appliance 佈署,可以在3~4個小時內完成 PoC 安裝設定,立即清查客戶環境內的弱點、潛在威脅與明確的攻擊行為,並可以透過 MFA (多因子身分確認)、降權、阻斷、隔離(要搭配 NAC)等有效反應,來防止駭客(人為勒索軟體)的入侵、蛙跳與攻擊。
    當其他資安產品(如PAM 特權帳號管理、EPP/EDR端點保護等)還在評估如何PoC安裝設定時,Preempt 早已經完成佈署並提供客戶保護了!是您最快速有效的資安產品!
    Preempt 公司因產品極為優異,近期已被美商 CrowdStrike 收購並將其Preempt身份識別與防止威脅存取平台Identity and Access Threat Prevention(IATP)產品納入其 CrowdStrike公司的資安產品線。
    CrowdStrike 是美國 Nasdaq上市公司,他們是Gartner Magic Quadrant Leader神奇象限的領導廠商。目前國內客戶已有多知名企業採用。

    二、 CIMTRAK FIM:檔案完整性監控、即時偵測異動、防止竄改(勒索)重要資料與設定、快速復原軟體

    避免因公司重要IT系統被加密軟體勒索的最佳方案是”防止對網頁/應用程式/作業系統非預期的勒索加密”。因資料備份只是系統復原的最後方法,且在系統復原的過程中,已經造成公司IT或生產系統的中斷與重要營業損失!
    Cimcor 公司是完整性驗證的領導者-安全性、法規遵循與卓越營運。
  • 市場上唯一同時提供即時異動偵測、自動復原與防止覆蓋竄改等三種功能的同類型產品
  • 市場上第一套即時檔案完整性監控系統(已獲得專利)
  • 第一家也是唯一可提供即時返轉Roll-back與還原Restoration的完整性監控系統
  • 第一家也是唯一在工具中完全整合的票務系統的檔案完整性監控
  • 第一家也是唯一具有防止異動功能的完整性管理工具
  • 世界上第一家也是唯一通過通用標準認證的EAL(評估等級保證)Level 4+的完整性軟體
  • 第一款也是唯一被列入美國國防資訊系統局,統一功能批准產品清單的的完整性軟體
  • 第一款獲得連續診斷與緩解 Continuous Diagnostics & Mitigation(CDM)批准的完整性管理產品
  • Proware-cimtrak

  • 支援伺服器、網路設備、工作站與POS系統、資料庫、Active Directory / LDAP、PCI 設定、雲端設定(Azure、Google Cloud、Oracle Cloud、Amazon Web Services)、VMware ESX / ESXi設定、Kubernettes設定與Docker設定等廣泛的基礎設施
  • 選購訂閱Trusted File Registry(tm): 保護您的 Windows、Linux 作業系統,並提供供可信賴的檔案登記 Trusted File Registry,防止軟體更新(如Windows Security update) Patch時誤判
  • 異動時即時通知:讓您深入了解您的IT環境中發生的情況
  • 自動啟動更正:讓您能夠採取即時、自動的行動,以補救或完全阻止異動
  • 協助客戶符合SWIFT CSP、NYDFS(23 NYCRR Part 500)、PCI DSS、ISO 27001、NIST 800-171等標準法規要求
  • 防止網頁被竄改移入惡意程式碼、監控 Windows AD下列異動:

    1. Creation and deletion of all objects
    2. Changes in group membership
    3. Changes in directory service object properties
    4. Reset password
    5. Lock/unlock accounts
    6. Create or delete account
    7. Enable or disable account
    8. Group membership changes
    9. Change GPO
    歡迎您的蒞臨指導。
    會議時間:2020年11月27日 週五下午 14:00 ~ 16:00
    會議方式: Zoom 網路視訊會議
    聯絡人: Gina Kao 高碧真小姐
    電話:2914-8001 分機2227
    報名方式: 請以電子郵件報名 (請按此)
                      無法參加,但對產品有規劃需求,請與我們連絡。

    < 新聞中心