鎖定式攻擊三部曲 入侵、感染ad、資料加密 - softnext...鎖定式攻擊三部曲...
TRANSCRIPT
鎖定式攻擊三部曲
入侵、感染AD、資料加密
防護應用白皮書
中華數位科技圖片來源 Pixabay,版權屬原作者所有
透過APT Email瀏覽掛馬網頁使用有惡意程式的USB裝置
運用漏洞進行感染進行AD提權及注入攻擊透過GPO派送安裝惡意程式
入侵
感染AD
加密勒索,衝擊營運
感染加密勒索病毒將主機、電腦系統、檔案、資料庫..進行加密
中華數位科技
圖片來源 Pixabay,版權屬原作者所有
加密勒索攻擊事件的防護管理應用
應用白皮書 BY 中華數位科技
APT郵件防護
USB週邊防護
應用程式控管
漏洞偵測與修補
Active Directory風險偵測
加密活動偵測調查
應用方案: SPAM SQR + ADM模組
應用方案: ivanti Device Control
應用方案: Netwrix Auditor for AD 模組
應用方案: Netwrix Auditor for File Server,
for Windows Server 模組
應用方案: ivanti Patch Manager
應用方案: ivanti Endpoint Manager-安全套件
圖片來源 Pixabay,版權屬原作者所有
USB週邊防護應用方案: ivanti Device Control
USB常作為攻擊初始的
感染管道,隨後駭客才
會進行遠端控制或下載
更多惡意軟體至系統中。
儘管有防毒軟體,但防
毒軟體並無法偵測未知
型威脅,建議搭配額外
偵測方式(如USB週邊控
管)來避免惡意威脅。
應用白皮書 BY 中華數位科技
防堵入侵管道
週邊裝置識別-最佳細緻度
核心層Agent,高安全、低影響系統效能
靈活管控設定(by AD帳號|群組、by裝置類型、by 時段、 by在公司|離網)
複製檔案的全文或檔名抄寫副本(File Shadow),以備舉證
針對儲存外接裝置提供檔案類型管控、複製檔案大小上限管制、USB加密
強化臨時申請週邊裝置使用控管(支持公發拇指碟,禁用新發現的週邊裝置)
鍵盤側錄程式- 偵測與保護
終端管控的使用紀錄,允許使用及觸犯違規禁用活動全都錄
Device Control
應用程式控管應用方案: ivanti Endpoint Manager-安全套件
應用白皮書 BY 中華數位科技
Ivanti運用綁定應用程
式類型才能使用對應的
檔案,能有效降低一般
黑白名單這類過於簡單
而效果不彰的管控方式。
提供軟體行為引擎,從
行為活動模型來辨識是
否為惡意程式。
Endpoint Manager安全套件 (應用程式控管)
自動偵測阻止勒索軟體偵測可
疑軟體
行為
軟體對
外連網
記憶體
執行序(Rootkit)
產生緩
衝溢位
軟體註
冊程序
(Registry)
阻擋巨
集檔案
• 學習模式:自動蒐集一定時間内所有軟體執行情况,包含文件特徵資訊• 對列入清單的軟體進行HASH值檢測• 支援信任數位簽章技術,合法廠商自動允許執行• 即使軟體檔名被更改,管控政策仍然生效• 支援綠色軟體使用控制
防堵入侵管道
漏洞偵測與修補應用方案: ivanti Patch Manager
應用白皮書 BY 中華數位科技
減少攻擊接觸面
75%的攻擊使用目前已發
現的系統漏洞,其實大多
數漏洞都是可以被修復的。
但企業組織可能基於作業
系統過時或一些限制,放
任電腦設備不進行修補,
這些電腦就成為駭客攻擊
的灘頭堡。
Patch Manager
高安全保證修補驗證中心 (符合國際安全標準OWASP, ISO,..及運用多種安全檢測工具(如NSA認證工具), 多層次縱
深防禦安全機制, AES-256 Https傳遞加密, 7x24x 365 緊急事件通報及回應機制)
跨多作業平台 (Windows , MAC , Linux ); Gartner 評價全球終端安全管理領導象限
Patch修補範圍廣(Windows, MAC, Non-windows, 第三方應用程式);支持連網或離線修補
需求,專利軟體分發技術(可兼顧QoS)
支持回復徹銷修補程式、持續重覆嘗試修補,最大落實修補完成度;彈性釋放CPU資源,
中斷修補不影響重要任務運作; 彈性管理關機行為,不干擾人員上班操作
提供警示通知、多類管理報表,可追蹤終端管控的結果紀錄(目前狀態-成功,失敗原因..)
Active Directory風險偵測
應用白皮書 BY 中華數位科技
即時偵測AD感染活動
近來駭客攻擊鎖定Active
Directory攻擊的比例升
高,攻入AD就可加速病
毒感染的效率。
透過一些駭客工具就可進
行帳號提權、進而改變
GPO限制原則,透過
GPO大量派送加密勒索
病毒,進行程式注入攻擊。
應用方案: Netwrix Auditor for AD 模組
嘗試登入失敗活動檢查
提權變動檢查
GPO設定變動檢查
軟體限制原則變動
管理者群組帳號變動
可針對AD物件、GPO物件、Logon登錄記錄發送變動偵測警示及詳細紀錄報表,有助於調查不尋常的嘗試登入或可疑設定變動
詳閱:AD風險異動偵測白皮書
加密活動偵測調查
應用白皮書 BY 中華數位科技
應用方案: Netwrix Auditor for File Server、Windows Server 模組
進行加密活動的過程,
惡意程式需將目標系統
先停止服務,接著安裝
執行程式,可能也會啟
動註冊程序。
若能偵測這些異常的變
動並即時發送警示通知,
即時預警有助於緊急應
變處理,立即止血,防
止災情擴大。
可針對Windows File Server中檔案可能因為加密造成大量變動、針對Windows-based主機的異常變動(如服務變動(如停止、變成自動、啟用)、新安裝軟體、登錄檔變動..等發送警示及提供詳細紀錄報表,有助於調查不尋常的設定變動
詳閱:加密勒索檔案防護白皮書
Netwrix Auditor
IT關鍵系統變動|存取記錄稽核的領先方案
追查關鍵系統所發生不尋常
的變動或存取軌跡紀錄
法規遵循稽核&風險異常事件
調查的管理應用方案
Active
Directory Azure AD Exchange NetAPP SharePoint Oracle DB
Office 365
Windows File
ServerEMC
SQL
ServerVMWare
Windows
Server
Network
Device
產品銷售/技術服務
中華數位科技股份有限公司 諮詢專線:02-2543-2000客服信箱:[email protected]