Proware by UNIFOSA Proware by UNIFOSA 商丞科技_儲存事業群(原普樺科技)-RAID, NAS, iSCSI and JBOD storage provider

Oct. 08, 2021

資安研討會

親愛的客戶，您好：

『勒索軟體攻擊造成營運中斷』、『駭客入侵或內賊竊取營業秘密』是現今企業經營者最擔心的資安問題。

您有建置『特權帳號管理系統』嗎？是否只能管理少數 IT 或廠商等人為操作的特權帳號？
但您知道大量無法納入管理的第三方軟體的特權服務帳號，是特權帳號管理軟體盲點嗎？
您有建置檔案存取稽核軟體，但是能夠在駭客入侵或內賊竊取營業秘密時即時警告嗎？
您知道 Maze、Dopplepaymer、REvil 與其他人為操作的勒索軟體組織不只會加密檔案 — 他們會接管系統、竊取機密資料、在完成加密後留下後門再發出贖金通知嗎？

監控機敏資料存取、異常行為即時警告、保護特權帳號、防止勒索軟體擴散 — 歡迎參加商丞科技 2021年10月8日『Varonis 與 Silverfort』網路視訊研討會。

勒索軟體防禦的縱深矩陣與因應方案

階段與目的	常見攻擊方式	保護方法
派送 Delivery：將勒索軟體派送到目標機器
	惡意電子郵件、惡意網站	電子郵件安全閘道器 Email Secure Gateway / CDR
	遠端桌面通訊協定 (RDP)	在 RDP 連線時阻止 / 強制執行 MFA
	透過下載啟動	網頁過濾 Web filtering / 禁用瀏覽器插件 Disable browser plugins
執行 Execution：執行勒索軟體以加密或刪除機器上的檔案資料
	惡意巨集 Malicious Macro	端點保護平台 Endpoint Protection Platform (EPP)
	漏洞攻擊 Exploit
	離地攻擊二進位檔 LOLbin / 其他惡意軟體
散播 Propagation：在環境中的多台機器之間散播，以加密更多檔案資料	使用竊取憑證的惡意身份驗證	身分保護、服務帳號保護與防止橫向移動 (蛙跳) 方案

散播 PROPAGATION 是目前勒索軟體保護堆疊中缺失的一環

目前傳統的勒索軟體保護堆棧主要針對派送與執行階段的安全措施。但大多數組織都沒有針對散播階段的解決方案，這造成了一個重大的安全漏洞—如果勒索軟體攻擊繞過派送與執行的安全控制，它就可以在整個環境中不間斷地散播。

階段	目前保護方法
派送 Delivery		電子郵件安全閘道器 Secure Email Gateway、多因子身份驗證 Multi-Factor Authentication、廣告阻斷器 Ad blockers、網頁過濾 Web filtering
執行 Execution		端點保護平台 Endpoint Protection Platform (EPP)、沙箱 Sandboxing、行為分析、白名單、簽章 Signatures
散播 Propagation		無法防止勒索軟體在環境中擴散

Silverfort 保護如何防止勒索軟體？

Silverfort 與環境中的所有身份供應商 Identity Providers (IDP) 整合，以對所有用戶對所有地端 on-prem 與雲端 cloud 資源進行的所有嘗試存取執行持續監控 Continuous Monitoring、分析風險 Risk Analysis 與自適應存取政策 Adaptive Access Policies。


用戶請求存取勒索軟體從 Active Directory 請求存取其他電腦	轉發到 Silverfort Active Directory 將請求轉發到統一身份保護平台	分析風險 Risk Analysis Silverfort 發現存取請求可疑

要求 MFA Silverfort 向憑證被盜用的實際用戶發送 MFA 請求	拒絕用戶存取從未嘗試存取機器的用戶存取請求被拒絕	勒索軟體存取被阻止 Silverfort 指示 Active Directory 阻止連接的請求

Silverfort 如何保護服務帳號 Securing Service Accounts？

Silverfort 提供服務帳號保護，防止攻擊者濫用它們進行橫向移動與未經授權的存取。Silverfort 透過自動發現組織內所有服務帳號、分析其活動並根據每個服務帳號的獨特行為，為每個服務帳號建立存取策略來解決這些挑戰。

自動發現與監控 Automated Discovery & Monitoring	主動威脅預防 Proactive Threat Prevention	無密碼輪換 No Password Rotation

清查所有服務帳號與非人類身份，包括您不知道的身份。獲得對所有服務帳號及其活動與風險級別的統一可視性。	阻止服務帳號在偏離其所需活動時存取資源，使用零信任方法為服務帳號建立“虛擬圍欄”。	大規模地為您的服務帳號提供全面保護，而無需密碼輪換帶來的複雜性與操作中斷。

Silverfort 主要產品特點：

不需要在主機上安裝代理程式的 Agent-less 或架設 Proxy Server 的統一身份保護平台

以虛擬主機 VM 並可在地端快速部署，蒐集之資料不需上傳至雲端

支援 Kerberos、LDAP、NTLM、SAML、OIDC 與 RADIUS 等存取請求

支援 Active Directory、ADFS、Azure AD、Okta、Ping、RADIUS 等身分驗證

自動發現、監控與保護第三方應用程式與自行開發程式的特權服務帳號，消除傳統特權帳號軟體無法納管這些特權帳號密碼所造成風險

可設定政策禁止服務或程式帳號執行 RDP、PsExec、Powershell、WMI 等遠端存取工具

防止勒索軟體透過 RDP、CMD 與 Powershell 等存取方式，在您的環境中自動傳播攻擊

不需要修改服務器與應用程式、不需要安裝 Agent 即可保護陳舊系統、管理員存取工具 (包括遠端 PowerShell、WMI、PSExec 等）、檔案系統與資料庫、IT基礎設施、工業系統、醫療保健系統、桌面登錄、RDP、SaaS應用程式、VPN 網路、VDI 與 Citrix 等敏感資產

防止非法的橫向移動 Lateral Movement (蛙跳)

Siverfort Silverfort 提供支援 IOS 與 Android 智慧型手機的 MFA APP 亦可搭配 Microsoft Authenticator 等第三方 MFA 方案，輸入 OTP 一次性密碼或 Push 確認身分，並可使用 FIDO2 Token 硬體安全金鑰 (如 Yubiko Yubikey、動信安全金鑰 Idem Key、AuthenTrend ATKey.Card / ATKey.Pro 等)，適合無法攜入智慧型手機的工作環境

目前只有 Silverfort 可以針對勒索軟體 payload 使用命令行界面 (PsExec、Powershell、WMI 等) 來散播的行為時實施 MFA 保護

展示影片

如何透過 Silverfort 統一身份保護平台保護你的客戶 Silverfort - Unified Identity Protection: How Can It Help Your Customers

免安裝 Agent 的多因子認證 Agentless Multi Factor Authentication

勒索軟體保護 RANSOMWARE PROTECTION

橫向移動保護 LATERAL MOVEMENT PROTECTION

可視性與風險分析 Visibility and Risk Analysis

身分保護的零信任安全 Identity-Based Zero Trust

保護服務帳號 Securing Service Accounts

Silverfort 與 FIDO2 硬體安全金鑰展示 Silverfort & Yubikey: Setup Demo

Varonis Data Security Platform 資料安全平台

Varonis 是市場第一名的 Data Security Platform 資料安全平台

Varonis 目前支援 Active Directory、Windows、Sharepoint、Exchange、UNIX / Linux、Office 365、NAS 儲存設備 (Dell EMC、NetApp、Nasuni、HPE等)、周邊 (DNS、Proxy、VPN) ，提供機敏資料盤點 (Data Classification)、自動加密檔案的分類資料設定標籤 label、存取權限盤點、詳細的存取紀錄與即時警報通知、使用者分析 UBA 與預測威脅模型等高階安全保護功能，是市場上功能最齊全最強大的資料安全平台。

Varonis 近期更推出 DatAdvantage Cloud ：支援AWS、Box、GitHub、Google Drive、Jira、Okta、Salesforce、Slack 與 Zoom，並可盤點在 Box and Google Drive 上的機敏資料 (Data Classification Cloud for Box and Google Drive )，提供更完整的資料保護。

Varonis 主要產品特點：

1. 符合主管單位與法規稽核要求

提供完整的機敏資料盤點、權限盤點與存取活動報告

清查機敏資料有哪些人能存取、減少非必要人員的存取權限與清查權限繼承斷層

2. 偵測、阻斷 APT 攻擊或加密勒索軟體

偵測竊取帳號行為、可疑程式及系統檢測工具

3. 檔案、電郵、Windows AD存取紀錄

保護管理員、服務、主管與一般用戶帳號並偵測竊取帳號

偵測非本人 (可能是駭客或內賊) 的郵件開啟

4. 監控從 Web 網頁、SSL VPN 等遠端連線的資料存取情形

蒐集從 Web Proxy、VPN、NDS 連線資料，偵測 APT 入侵與勒索軟體加密攻擊

5. 支援微軟 AD RMS 與 AIP 加密機敏資料搜尋與分類

依照 AD RMS 與 AIP 分類對 Varonis 認定為敏感的檔案進行加密

自動套用分類標籤 (Microsoft 365 要 E5 等級客戶才能自動分類)

稽核微軟 AD RMS 與 AIP 加密機敏資料，並發現錯誤的機密分類

6. 提高儲存設備使用效率、減少機敏資料暴露風險

將機敏資料搬移至安全位置

將不常用檔案歸檔至二線儲存設備

7. UBA 使用者行為分析預測威脅模型與即時警報通知

Varonis Alert Dashboard 儀表板可顯示威脅程度指標、可疑的使用者、資安事件與受到影響的檔案、物件

可觸發 PowerShell 執行中斷連線、更改登入密碼等立即措施

1   $userName = ActingObject
2   $sessionId = ((quser /server:DC | Where-Object
    {$_match $userName }) -split ' +') [2]
3   Invoke-RDUserLogoff -HostServer DC -
    UnifiedSessionId $sessionId

* 備註：PowerShell 程式由客戶自行撰寫，Varonis 恕不提供。

Varonis DatAlert Suite 使用者行為分析、威脅模型與即時警告套件可從 Windows AD、機敏資料、CIFS、NFS、MS Sharepoint、MS Exchange、Microsoft 365、VPN、Web Proxy 的資料存取行為獲取下列業界最完整的異常行為警報，讓您即早發現駭客攻擊、內鬼竊密以減少損失。

Varonis Platform 101: Introduction to Varonis Data Security & Insider Threat Detection

使用漏洞入侵工具 Use of exploit kits

密碼噴塗 Password spraying

未經授權的信箱存取訪問 Unauthorized mailbox access

橫向運動 (蛙跳) Lateral movement

DNS 快取中毒 DNS cache poisoning

異常 GPO 的異動 Abnormal GPO changes

異常存取不常用的敏感資料 Abnormal access to sensitive idle data

可疑服務帳號行為 Suspicious service account behavior

嘗試升級特權 Privilege escalation attempts

資料洩露 Data exfiltration

大量的檔案刪除 Mass file deletion

大量的檔案加密 Mass file encryption

關鍵物件的權限更改 Permission changes on critical objects

群組成員異動 Group membership changes

異常的帳號鎖定行為 Abnormal lockout behavior

異常的電子郵件發送 / 接收活動 Unusual email send/receive activity

暴力攻擊 Brute-force attacks

詳細資料請參閱 Varonis 官網

歡迎您的蒞臨指導。

會議時間：2021年10月08日週五下午 14:00 ~ 16:00
會議方式： Microsoft Teams 會議視訊會議
聯絡人： Gina Kao 高碧真小姐
電話：2914-8001 分機2227
報名方式：請以電子郵件報名 (請按此)。
無法參加，但對 Varonis 與 Silverfort 有規劃需求，請與我們聯絡。(請按此)

< 新聞中心