摸鱼校尉
企业应用程序单点登录
全面的单点登录解决方案适用于云和本地应用程序的 SSO通过 MFA 保护的 SSO可定制的 SSO 配置适用于云和本地应用程序的 SSO为利用 SAML、OAuth 或 OIDC 协议的云和本地企业应用程序启用 SSO。为常用的预集成企业应用程序配置 SSO,或添加自己的自定义云或使用支持的协议的本地应用程序。为尝试访问企业应用程序的用户支持身份提供程序 (IdP) 和服务提供商 (SP) 启动的 SSO 流。利用用户友好的 SSO 仪表板,用户可以从单个窗格访问其所有应用程序。通过 MFA 保护的 SSO借助自适应 MFA 技术将 SSO 保护到应用程序,并根据用户的位置、IP 地址和设备类型对用户进行身份验证。从 19 种不同的身份验证因素中进行选择,从生物识别技术到 YubiKey。根据用户所属的 OU 和组配置用户必须验证的 MFA 身份验证因素的数量和类型。为用户自定义 MFA 信任设置,并指定浏览器信任和保留信任的天数等选项。可定制的 SSO 配置轻松使用 AD 标识为企业应用程序设置 SSO,从而节省原本用于为用户设置新标识的时间。通过创建基于 AD OU 和组的策略来控制或限制用户对任何特定云应用程序的访问。轻松查看和下载为应用程序设置 SSO 所需的身份提供程序 (IdP) 配置详细信息。为用户提供无密码身份验证功能,方便、安全地登录企业应用程序。使用 AD360实施 SSO 的好处减少密码疲劳:减少用户因必须记住和输入各种企业应用程序的多个密码而导致的密码疲劳。提高安全性:用户通常倾向于选择弱密码,以便于记住多个凭据,这些凭据可以使用蛮力轻松破解。借助 MFA 安全的 SSO,用户无需选择弱密码,并确保更高的安全性。更快的 IT 集成:确保更快地将收购的业务或合作伙伴关系与您组织的现有框架集成。简化的用户体验:使用户能够通过简化的一键式访问来采用更多应用程序。自动访问控制,轻松实现访问管理访问管理 (AM) 侧重于保护标识,以确保正确的用户能够在正确的时间访问正确的资源。借助AD360的自适应MFA,用户可以随时随地安全地访问组织资源。不同的访问控制策略将根据位置、IP 地址、设备和访问时间等各种因素自动应用于用户。用户还可以利用受 MFA 保护的 SSO 使用单个身份安全地访问多个应用程序,而无需多次登录。AD360的增材制造功能还包括权利管理、基于UBA的审计报告、密码管理和业务工作流程。AD360是一款针对AD域全方位管理的综合解决方案,用于管理AD域用户身份、控制对资源的访问、加强安全性和确保合规性。从用户配置、自助密码管理和活动目录变更审计,到企业应用程序的单点登录(SSO), AD360通过一个简单易用的界面帮助您执行所有IAM任务。
摸鱼校尉
企业网络安全:威胁情报解决方案
什么是威胁情报威胁情报是网络安全的关键组成部分,可为潜在的恶意来源提供有价值的见解,这些知识可帮助组织主动识别和防止网络攻击,通过利用 STIX/TAXII 等威胁源,组织可以检测其网络中的潜在攻击,从而促进快速检测和跟踪目标攻击。威胁情报对于主动防御、有效事件响应、风险管理、态势感知、协作和合规性至关重要,它使组织能够领先于威胁,做出明智的决策,并加强其整体网络安全态势。威胁情报类型三种类型的威胁情报数据是:战略情报:它通过提供对威胁参与者的长期趋势、动机和目标的高级见解,帮助组织进行战略规划和决策。运营情报:它提供有关持续威胁、漏洞和主动攻击活动的实时信息,有助于快速检测和响应安全威胁。战术情报:它侧重于威胁参与者使用的特定工具、技术和过程(TTP),帮助安全管理员制定有效的对策并增强防御能力。威胁情报的阶段威胁情报生命周期包括六个阶段:规划和方向:定义威胁情报计划的目标、资源和范围。收集:从各种来源收集相关数据,例如开源情报、供应商和威胁源。加工:组织和分析收集的数据以获得有价值的见解。分析:通过模式识别和指示器识别,了解威胁、其影响以及威胁参与者采用的策略。传播:与相关利益相关者分发情报,以指导决策并促使采取适当行动。反馈和改进:收集反馈,评估计划的有效性,并使用见解来改进未来的工作。威胁情报平台Log360威胁情报平台用于更快检测和解决安全威胁,借助内置的威胁检测模块和高级威胁分析插件,管理员可以阻止恶意来源、防止数据泄露、拦截恶意站点访问。该集成平台结合了开源和商业威胁源,可减少误报,加快威胁检测速度,并帮助对关键安全威胁进行分类。发现和缓解访问列入黑名单和有风险的 URL 和域的用户。恶意 IP 试图访问企业的关键资源。深入了解试图入侵的恶意行为者的地理位置。攻击技巧。威胁情报解决方案可以解决的安全用例尽早阻止攻击尝试防止数据泄露安全警报减少误报尽早阻止攻击尝试利用面向公众的机器和已知漏洞仍然是黑客入侵网络的一种方法,借助 Log360 的预配置威胁警报,企业不仅可以阻止来自恶意来源的通信,还可以自动触发工作流以将列入黑名单的 IP 添加到防火墙并永久阻止它们。防止数据泄露如果攻击者使用被盗凭据或任何其他方式侵入网络并试图勒索敏感数据并将其发送到其命令和控制服务器,Log360 的威胁情报解决方案可以立即检测并停止此类通信,检查所有出站通信;提醒相关分析师与恶意 IP、域或 URL 的通信,并立即终止连接。安全警报检测哪个安全警报对企业构成的最大风险对于每个安全专业人员来说都是一项具有挑战性的任务,Log360 的高级威胁分析模块可识别威胁和攻击类型,包括恶意软件、网络钓鱼和其他已知攻击。还可以在事件调查模块中利用这些见解来更好地证实威胁并确定其解决的优先级。减少误报Log360 时事件响应系统,例如尝试远程登录关键服务器的 IP 的信誉得分,或尝试远程连接到 VPN 的 IP 的地理位置。这样可以提高对网络行为的可见性,并有助于将可疑活动与合法活动区分开来。
摸鱼校尉
企业SSH 密钥管理
发现 SSH 密钥和服务器各种规模的企业都喜欢遵循自动发现过程来跟踪所有现有资源,不留下任何未识别的密钥,以免它们落入恶意攻击者的手中。Key Manager Plus会自动发现异构环境中的所有现有服务器和密钥,为您提供所有已识别资源的有组织的清单。发现和导入的资源会立即在集中式存储库中更新。自动发现所有活动资源Key Manager Plus 使您能够灵活地自动从不同位置发现多个资源,以及批量导入资源列表。它支持按需、计划和定期发现过程,为您提供每个已执行发现的详细概述。获取与最新添加的库存同步发现资源后,需要定期同步资源,以便您维护更新的清单。发现后,Key Manager Plus 会自动列出驻留在发现的服务器中的所有用户帐户和密钥。此列表可以按需更新,以包括最近添加的用户帐户和密钥。访问和管理数据中心资源当数据中心限制通过SSH直接访问远程设备时,可以通过一个或多个登陆服务器连接远程设备。配置完成后,Key Manager Plus 会自动通过登陆服务器执行多个无忧跃点以到达目标设备,无需为每个跃点提供凭据。整合、存储和管理对 SSH 资源的访问随着组织的发展,其SSH密钥呈指数级增长是很自然的。集中式密钥清单有助于控制所有已部署的密钥,并防止随意管理。Key Manager Plus 通过精细的访问控制工作流将发现、导入和创建的所有资源整合到一个中央清单中。由于加密的私钥和密码短语存储在此中央存储库中,因此管理员只能通过 Key Manager Plus 访问服务器,从而使其成为专用 SSH 密钥网关。此外,如果需要,它可以限制某些用户,从而对用户进行身份验证以进行远程访问。全面了解所有密钥孤立的流程可能很麻烦,并可能导致安全风险。即使一个密钥被泄露,它也使攻击者能够破坏整个网络。使用Key Manager Plus,您可以从统一平台轻松访问所有密钥并对其执行所需的操作。识别每个密钥的所有权和状态,查看每个密钥的历史记录,导入和导出密钥和凭据 - 所有这些都可以从一个位置完成。遏制孤立密钥的风险当用户离开组织而不取消关联相关密钥时,将保留孤立密钥。此外,如果用户在其特权访问停止后仍有权访问敏感密钥,则会导致密钥滥用。Key Manager Plus 会在删除用户帐户时自动解除密钥关联,从而及时处理它。使用其密钥-用户帐户关系映射,它可以轻松识别和删除网络中未使用的密钥。掌握用户活动管理员需要能够快速检测异常并采取适当的补救措施,以远离密钥泄露的风险。Key Manager Plus跟踪每个用户的活动,并记录他们的踪迹以及时间戳。它还具有用于密钥轮换、密钥关联、发现和计划操作的专用审核页面,以捕获所执行活动的每个细节。简化 SSH 密钥的创建和部署随着更多资源被添加到组织的网络中,与其关联的 SSH 密钥数量会显著增加。通常,密钥受到孤立的管理,无法提供对其生命周期的整体可见性。这可能会导致 IT 管理员失去对创建的密钥的跟踪,从而使 SSH 环境面临安全漏洞。Key Manager Plus 跟踪新创建的密钥,并将现有密钥维护在一个统一的清单中。它自动执行创建、关联和部署操作。根据指定的算法,它允许您使用强密码短语创建新的加密密钥对,这些密钥可以与所需的用户帐户相关联。实施访问控制如果没有集中控制,任何用户都可以创建和复制密钥,从而导致密钥蔓延。Key Manager Plus 仅允许授权管理员执行高度敏感的密钥操作(如创建和关联)的一次性设置,从而提供额外的限制层。设置组织范围的策略如果没有持续的监控,许多密钥可能会混乱地散布在网络中。要启用重新开始,需要完全擦除这些键。使用 Key Manager Plus,您可以覆盖所有现有密钥,从而完全生成新的密钥关联,也可以保持当前密钥关联不受干扰,只附加新密钥。轻松执行批量操作对数千个密钥手动执行密钥管理操作是一个繁琐的过程。Key Manager Plus 允许您创建大量密钥组,并快速批量执行操作。借助其组管理功能,您可以通过几个快速步骤关联、创建和部署多个密钥。安全地将密钥推送到远程服务器当多个远程服务器需要访问私钥时,手动将它们预配到每个服务器可能非常耗时且容易产生风险。Key Manager Plus 通过将私钥从中央存储库直接推送到远程服务器和用户帐户来自动执行此过程,从而防止潜在的停机。自动轮换 SSH 密钥随着密钥的激增,IT 管理员越来越难以跟踪每个现有密钥的用途。因此,他们可能会避免轮换他们不确定其状态的密钥。如果 SSH 密钥长时间保持静态,只会增加它们被泄露的机会。密钥管理器 Plus 通过定期自动轮换密钥来增强密钥的安全性。保持一致的旋转周期由于 SSH 密钥没有到期日期,因此最佳做法是定期轮换它们以防止滥用。Key Manager Plus 支持系统地轮换密钥:您只需单击一下即可执行按需轮换,也可以安排定期自动轮换密钥。有效地分组轮换多个密钥手动轮换数千个密钥及其随附的密码短语很麻烦。Key Manager Plus 允许您形成多组密钥并对其执行批量轮换,从而帮助您在涉及大量密钥时节省时间。每次轮换后,每个私钥都会使用新的密码进行加密。获取有关静态密钥的通知在每次轮换期间,将生成一对新的私钥和公钥,以便更新和维护密钥。密钥存在的时间越长而没有轮换,它们构成的威胁就越大。Key Manager Plus 具有专用的仪表板小部件,可通知您长时间未轮换的密钥。它还允许您配置密钥保持未轮换状态的最大天数,之后将及时通知您。安全访问远程资源连接到远程服务器涉及在每次需要建立连接时向远程访问工具提供私钥。Key Manager Plus 消除了对外部工具的需求,因为它负责自动颁发密钥以访问远程服务器。与远程服务器建立连接后,用户可以通过执行命令根据需要对任何文件执行操作。需要规范对这些文件的访问,以便只有授权的管理员才能读取和写入文件。当有权访问系统公钥的任何人都可以查看和编辑其文件时,这会增加安全泄露的机会。Key Manager Plus 通过一系列安全功能精确地解决了这些问题,以自动化远程操作并限制对远程系统的访问。直接与远程服务器连接手动连接到多个远程系统需要在每次尝试打开安全外壳时提供密钥和密码短语。Key Manager Plus 只需单击一下即可自动执行远程连接、提供凭据并启动终端。记录每个会话,以便管理员可以跟踪执行的命令。通过多层安全保护密钥在与远程系统的终端会话期间,用户可以通过发出敏感命令来提取机密信息。使用 Key Manager Plus,您可以为用户设置限制,以便他们只能执行特定命令,这些命令将在与主机建立连接时自动执行。此外,为了防止拥有密钥的任何人访问资源,Key Manager Plus 仅允许访问来自用户定义的 IP 地址的密钥。这增加了额外的安全层,从而阻止了被盗密钥的访问。限制对authorized_keys文件的访问驻留在系统中的authorized_keys文件由有权访问该系统的公共 SSH 密钥列表组成。这是一个至关重要的配置文件,需要限制其访问,以防止创建到关键系统的未经请求的SSH路径。Key Manager Plus 可自动执行维护,仅允许授权管理员访问和编辑文件。安全传输文件使用安全复制协议传输的文件通过 SSH 隧道完成。当使用 SSH 密钥进一步验证此传输时,您可以确保发送和接收的文件的安全性是原来的两倍。使用密钥管理器增强版,您可以安全地将文件传输到远程系统。
摸鱼校尉
企业SSH 密钥管理
发现 SSH 密钥和服务器各种规模的企业都喜欢遵循自动发现过程来跟踪所有现有资源,不留下任何未识别的密钥,以免它们落入恶意攻击者的手中。Key Manager Plus会自动发现异构环境中的所有现有服务器和密钥,为您提供所有已识别资源的有组织的清单。发现和导入的资源会立即在集中式存储库中更新。自动发现所有活动资源Key Manager Plus 使您能够灵活地自动从不同位置发现多个资源,以及批量导入资源列表。它支持按需、计划和定期发现过程,为您提供每个已执行发现的详细概述。获取与最新添加的库存同步发现资源后,需要定期同步资源,以便您维护更新的清单。发现后,Key Manager Plus 会自动列出驻留在发现的服务器中的所有用户帐户和密钥。此列表可以按需更新,以包括最近添加的用户帐户和密钥。访问和管理数据中心资源当数据中心限制通过SSH直接访问远程设备时,可以通过一个或多个登陆服务器连接远程设备。配置完成后,Key Manager Plus 会自动通过登陆服务器执行多个无忧跃点以到达目标设备,无需为每个跃点提供凭据。整合、存储和管理对 SSH 资源的访问随着组织的发展,其SSH密钥呈指数级增长是很自然的。集中式密钥清单有助于控制所有已部署的密钥,并防止随意管理。Key Manager Plus 通过精细的访问控制工作流将发现、导入和创建的所有资源整合到一个中央清单中。由于加密的私钥和密码短语存储在此中央存储库中,因此管理员只能通过 Key Manager Plus 访问服务器,从而使其成为专用 SSH 密钥网关。此外,如果需要,它可以限制某些用户,从而对用户进行身份验证以进行远程访问。全面了解所有密钥孤立的流程可能很麻烦,并可能导致安全风险。即使一个密钥被泄露,它也使攻击者能够破坏整个网络。使用Key Manager Plus,您可以从统一平台轻松访问所有密钥并对其执行所需的操作。识别每个密钥的所有权和状态,查看每个密钥的历史记录,导入和导出密钥和凭据 - 所有这些都可以从一个位置完成。遏制孤立密钥的风险当用户离开组织而不取消关联相关密钥时,将保留孤立密钥。此外,如果用户在其特权访问停止后仍有权访问敏感密钥,则会导致密钥滥用。Key Manager Plus 会在删除用户帐户时自动解除密钥关联,从而及时处理它。使用其密钥-用户帐户关系映射,它可以轻松识别和删除网络中未使用的密钥。掌握用户活动管理员需要能够快速检测异常并采取适当的补救措施,以远离密钥泄露的风险。Key Manager Plus跟踪每个用户的活动,并记录他们的踪迹以及时间戳。它还具有用于密钥轮换、密钥关联、发现和计划操作的专用审核页面,以捕获所执行活动的每个细节。简化 SSH 密钥的创建和部署随着更多资源被添加到组织的网络中,与其关联的 SSH 密钥数量会显著增加。通常,密钥受到孤立的管理,无法提供对其生命周期的整体可见性。这可能会导致 IT 管理员失去对创建的密钥的跟踪,从而使 SSH 环境面临安全漏洞。Key Manager Plus 跟踪新创建的密钥,并将现有密钥维护在一个统一的清单中。它自动执行创建、关联和部署操作。根据指定的算法,它允许您使用强密码短语创建新的加密密钥对,这些密钥可以与所需的用户帐户相关联。实施访问控制如果没有集中控制,任何用户都可以创建和复制密钥,从而导致密钥蔓延。Key Manager Plus 仅允许授权管理员执行高度敏感的密钥操作(如创建和关联)的一次性设置,从而提供额外的限制层。设置组织范围的策略如果没有持续的监控,许多密钥可能会混乱地散布在网络中。要启用重新开始,需要完全擦除这些键。使用 Key Manager Plus,您可以覆盖所有现有密钥,从而完全生成新的密钥关联,也可以保持当前密钥关联不受干扰,只附加新密钥。轻松执行批量操作对数千个密钥手动执行密钥管理操作是一个繁琐的过程。Key Manager Plus 允许您创建大量密钥组,并快速批量执行操作。借助其组管理功能,您可以通过几个快速步骤关联、创建和部署多个密钥。安全地将密钥推送到远程服务器当多个远程服务器需要访问私钥时,手动将它们预配到每个服务器可能非常耗时且容易产生风险。Key Manager Plus 通过将私钥从中央存储库直接推送到远程服务器和用户帐户来自动执行此过程,从而防止潜在的停机。自动轮换 SSH 密钥随着密钥的激增,IT 管理员越来越难以跟踪每个现有密钥的用途。因此,他们可能会避免轮换他们不确定其状态的密钥。如果 SSH 密钥长时间保持静态,只会增加它们被泄露的机会。密钥管理器 Plus 通过定期自动轮换密钥来增强密钥的安全性。保持一致的旋转周期由于 SSH 密钥没有到期日期,因此最佳做法是定期轮换它们以防止滥用。Key Manager Plus 支持系统地轮换密钥:您只需单击一下即可执行按需轮换,也可以安排定期自动轮换密钥。有效地分组轮换多个密钥手动轮换数千个密钥及其随附的密码短语很麻烦。Key Manager Plus 允许您形成多组密钥并对其执行批量轮换,从而帮助您在涉及大量密钥时节省时间。每次轮换后,每个私钥都会使用新的密码进行加密。获取有关静态密钥的通知在每次轮换期间,将生成一对新的私钥和公钥,以便更新和维护密钥。密钥存在的时间越长而没有轮换,它们构成的威胁就越大。Key Manager Plus 具有专用的仪表板小部件,可通知您长时间未轮换的密钥。它还允许您配置密钥保持未轮换状态的最大天数,之后将及时通知您。安全访问远程资源连接到远程服务器涉及在每次需要建立连接时向远程访问工具提供私钥。Key Manager Plus 消除了对外部工具的需求,因为它负责自动颁发密钥以访问远程服务器。与远程服务器建立连接后,用户可以通过执行命令根据需要对任何文件执行操作。需要规范对这些文件的访问,以便只有授权的管理员才能读取和写入文件。当有权访问系统公钥的任何人都可以查看和编辑其文件时,这会增加安全泄露的机会。Key Manager Plus 通过一系列安全功能精确地解决了这些问题,以自动化远程操作并限制对远程系统的访问。直接与远程服务器连接手动连接到多个远程系统需要在每次尝试打开安全外壳时提供密钥和密码短语。Key Manager Plus 只需单击一下即可自动执行远程连接、提供凭据并启动终端。记录每个会话,以便管理员可以跟踪执行的命令。通过多层安全保护密钥在与远程系统的终端会话期间,用户可以通过发出敏感命令来提取机密信息。使用 Key Manager Plus,您可以为用户设置限制,以便他们只能执行特定命令,这些命令将在与主机建立连接时自动执行。此外,为了防止拥有密钥的任何人访问资源,Key Manager Plus 仅允许访问来自用户定义的 IP 地址的密钥。这增加了额外的安全层,从而阻止了被盗密钥的访问。限制对authorized_keys文件的访问驻留在系统中的authorized_keys文件由有权访问该系统的公共 SSH 密钥列表组成。这是一个至关重要的配置文件,需要限制其访问,以防止创建到关键系统的未经请求的SSH路径。Key Manager Plus 可自动执行维护,仅允许授权管理员访问和编辑文件。安全传输文件使用安全复制协议传输的文件通过 SSH 隧道完成。当使用 SSH 密钥进一步验证此传输时,您可以确保发送和接收的文件的安全性是原来的两倍。使用密钥管理器增强版,您可以安全地将文件传输到远程系统。
摸鱼校尉
使用条件访问自动执行访问决策
由于远程用户更容易受到网络攻击,因此需要实施严格的安全措施,例如多因素身份验证 (MFA) 以防止数据泄露。但是,应用严格的组织范围的访问策略(如 MFA)可能会对用户体验产生不利影响。ADSelfService Plus的条件访问功能有助于实现这一目标。这有助于组织:在没有 IT 管理员干预的情况下实施访问控制在不影响用户体验的情况下改善组织的安全状况什么是条件访问条件访问实现一组规则,用于分析各种风险因素(如 IP 地址、访问时间、设备和用户的地理位置),以强制实施自动访问控制决策。这些决策是根据用户风险因素实时实施的,以避免在无风险场景中实施不必要的严格安全措施,这可确保在不影响安全性的情况下增强用户体验。可以使用条件访问应用的一些常见方案和相应的安全措施包括:强制特权用户进行多重验证。强制所有员工对业务关键型应用程序的异地访问 MFA。阻止对高风险操作的访问,例如来自不受信任的 IP 或未知设备的密码重置请求。条件访问策略的工作原理是什么在了解条件访问的工作原理之前,让我们看一下构建条件访问规则的基础知识:1、条件这包括可能决定或破坏组织安全性的因素列表。ADSelfService Plus使管理员能够根据以下风险因素配置条件:IP 地址(受信任和不受信任)设备(设备类型和平台)营业时间(营业时间和非营业时间)地理位置(基于请求来源)2、标准配置条件后,可以使用 AND、OR 或 NOT 等运算符设计条件。正是此标准与访问策略相关联。3、访问策略该条件与预配置的访问策略相关联,在 ADSelfService Plus 中称为自助服务策略。IT 管理员可以创建自助服务策略,并为属于特定域、组织单位 (OU) 和组的用户启用特定功能。生成条件访问规则后,将发生以下情况:1、用户尝试登录到其计算机,或者在登录后尝试访问应用程序或 ADSelfService Plus 中的自助服务功能之一。2、根据预定义的条件,分析用户 IP 地址、访问时间和地理位置等风险因素。3、如果数据满足条件,则会将用户分配到启用以下操作之一的自助服务策略:对域帐户和功能的完全访问权限使用 MFA 进行安全访问对某些功能的访问受限对特定功能的访问受限4、如果用户不满足任何配置的条件访问规则,将根据用户的组或 OU 应用自助服务策略。说明条件访问策略工作原理的用例用例 1:需要使用 MFA 保护对组织活动目录 (AD) 域的远程登录在示例中,假设本地用户占组织劳动力的 50%。另外 20% 是远程用户,其余 30% 是根据需要在远程和本地工作模型之间交替的用户,必须对远程登录的用户强制实施 MFA。利用此方案的条件访问涉及:1、实施启用终结点 MFA 的自助服务策略。2、配置两个条件:IP 地址:提供受信任 IP 地址的列表。位置:选择组织场所之外的位置。3、创建以下条件:(不受信任的 IP 地址)和选定的位置4、该条件与自助服务策略相关联。下面是此条件访问策略的工作方式:当用户尝试登录到计算机时,将分析用户的 IP 地址和地理位置,如果它不是受信任的 IP 地址和选定的地理位置,则满足条件,并向用户分配强制实施终结点 MFA 的自助服务策略。如果不满足条件,则会分配适用于用户的任何其他自助服务策略。用例 2:仅允许具有已加入域的计算机的用户使用 SSO 访问企业应用程序企业应用程序通常用于处理和存储敏感的用户数据,由于这些应用程序中的大多数现在都部署在云中,并且部署在网络的安全边界之外,因此它们是网络攻击者最喜欢的目标。他们使用网络钓鱼和其他攻击技术来访问应用程序并远程泄露数据。使用条件访问,可以仅允许具有已加入域的计算机的用户访问包含敏感数据的重要应用程序,管理员可以更进一步,仅允许受信任的 IP 地址列表访问关键应用程序,确保攻击者无法访问这些应用程序,即使他们窃取了用户的凭据。下面是为此方案配置条件访问规则的示例:1、配置为所需应用程序启用 SSO 的自助服务策略。2、配置两个条件:基于 IP 地址:提供受信任 IP 地址的列表。基于设备:选择所有加入域的计算机对象。3、创建以下条件:受信任的 IP 地址和选定的计算机对象。4、将条件与创建的自助服务策略相关联。下面是此条件访问规则的工作原理:当用户尝试通过 SSO 登录企业应用程序时,将分析设备 IP 地址和类型,如果它是受信任的 IP 地址,并且计算机对象属于 AD 域,则满足创建的条件。然后,将与条件关联的自助服务策略分配给用户,这使用户能够使用 SSO 访问企业应用程序。启用条件访问的好处使用 20 多个高级身份验证因素实施 MFA从单个控制台适度访问计算机、VPN、RDP、OWA 和 Exchange 管理中心为组织中的不同部门启用精细的条件访问策略ADSelfService Plus 是一种身份安全解决方案,可以结束许多网络攻击,节省 IT 成本,可以保护多种 IT 资源,包括身份、计算机和 VPN,减轻 IT 帮助台的负担,为用户提供自助服务功能,并获得对分布在本地、云和混合环境中的身份的 360 度可见性和控制。
摸鱼校尉
企业移动设备邮箱管理
电子邮件仍然是当今最重要的通信模式之一。许多企业喜欢使用电子邮件进行官方沟通,因为它快速、可靠且非常简单。电子邮件通信的广泛使用为IT管理员带来了大量的管理问题,例如为员工设备配置电子邮件账户以及保护电子邮件中包含的企业机密数据,包括所有附件。企业需要一种方法来保护电子邮件安全、防止数据泄露。什么是手机邮箱管理电子邮件是组织内正式沟通的主要方式。为了让移动员工保持联系并提高工作效率,他们必须能够在移动设备上访问公司邮箱。通过移动电子邮件管理,IT 管理员可以促进在员工的智能手机、平板电脑和笔记本电脑上安全访问企业电子邮件,保护关键业务文件免受潜在安全威胁。为什么要管理企业移动邮箱移动设备在工作场所的广泛使用要求企业电子邮件可以在这些设备上访问。但是,移动访问可能会对企业数据构成安全威胁。员工可能会使用不受信任的设备、未经批准的应用程序或不安全的 Wi-Fi 连接来访问他们的邮箱,或者他们可能会无意中共享敏感的公司电子邮件附件,从而导致公司数据泄露给未经授权的第三方。除此之外,电子邮件本身可能包含恶意软件或其他威胁设备上企业数据机密性的隐藏威胁。为了应对这些安全风险,企业移动电子邮件需要由 IT 团队进行管理。企业移动邮箱管理面临哪些挑战由于组织中使用了各种设备类型和平台,因此很难只允许受信任的移动设备访问企业电子邮件。为了保护传输中的企业数据免受安全风险的影响,IT 管理员必须确保在这些设备上访问电子邮件时使用安全的通信协议。自动备份到第三方云服务器以及使用未经批准的应用程序查看公司电子邮件和附件,使未经授权的应用程序提供商和云服务可以访问敏感的公司数据。在 BYOD 环境中,确保安全变得更加复杂,因为离开组织的员工仍然可以将公司电子邮件附件下载到他们的个人设备上。此外,如果设备丢失或被盗,其上的公司数据就有落入坏人之手的风险。这些挑战可以通过使用移动电子邮件管理工具来管理和保护企业移动电子邮件来克服。移动电子邮件管理工具的主要功能移动电子邮件管理工具和服务通过以下方式简化企业电子邮件管理:在员工设备上批量和无线配置企业电子邮件确保只有受信任的设备和批准的应用程序可以用于访问公司邮箱限制与未经授权的设备、用户和应用程序共享电子邮件数据当用户访问他们的邮箱时强制使用安全协议在 BYOD 上虚拟容器化企业工作区和电子邮件使用 Mobile Device Manager Plus 进行移动电子邮件管理Mobile Device Manager Plus 是一个综合性的 MDM 工具,它还具有企业和企业电子邮件管理功能,使其可以用作电子邮件管理软件。使用 Mobile Device Manager Plus 进行移动电子邮件管理,IT 管理员可以通过单个控制台远程预配置和保护跨各种平台的设备上的企业电子邮件。通过强制执行安全通信协议、应用 DLP 策略和分发受信任的应用程序来查看电子邮件附件,从而消除对第三方应用程序的需求,可以最大限度地减少数据泄露的可能性。通过限制 HTML 的使用,可以保护设备数据免受电子邮件中隐藏的病毒或恶意软件的侵害。使用此 MDM 工具,IT 管理员甚至可以确保只有合规、受信任的设备才能访问公司资源,例如 Exchange 服务器。Mobile Device Manager Plus 在 BYOD 环境中保护企业移动电子邮件在 BYOD 环境中,确保企业数据安全和侵犯用户隐私之间的界限可能很棘手。但是,使用 Mobile Device Manager Plus,IT 管理员可以在 BYOD 上创建一个虚拟容器来存储公司数据。他们只控制工作容器以确保用户隐私。员工将能够在此容器中安全地访问其企业电子邮件,防止企业邮箱和个人邮箱混合以及未经授权共享企业电子邮件内容。如果员工离开组织,或者他们的设备遭到入侵,则可以专门远程擦除此容器,从而使 IT 管理员可以放心,设备上没有任何敏感的公司数据或电子邮件附件。管理和保护敏感的业务电子邮件数据无线配置电子邮件帐户通过从目录服务或Mobile Device Manager Plus 服务器动态加载用户名等变量来扩展您的电子邮件配置。保护电子邮件数据执行数据丢失防护 (DLP) 策略,例如限制复制和粘贴、屏幕截图、共享附件和添加个人帐户。启用 Exchange ActiveSync允许用户访问存储在 Exchange 服务器上的公司数据,例如电子邮件、联系人、日历和任务,即使他们处于脱机状态。强制条件访问审核对您的 Exchange 和 Microsoft 365 邮件服务器的访问并限制对非托管设备的访问。安全的电子邮件附件使用内置的电子邮件附件查看器打开附件,如果需要,只允许批准的应用程序打开它们。启用默认签名设计和管理整个组织的标准自定义签名或为不同部门自定义电子邮件签名。主动管理设备上的联系人让用户访问带有联系信息的 vCard,将它们保存到他们的设备,并通过 CardDAV 同步定期同步它们。同步日历和预定事件允许使用 CalDAV 同步访问订阅的日历,以确保员工不会错过任何预定的活动。撤销帐户访问权限远程擦除丢失、被盗、越狱、root 和退役设备中的电子邮件配置。制定电子邮件威胁预防和响应框架自定义电子邮件客户端应用程序通过预配置各种电子邮件客户端(包括 Outlook、Gmail、Apple Mail、Samsung Email 和 Zoho Mail)的帐户类型、域名和首选身份验证方法等参数,远程预定义权限和自定义功能。还要确保从一开始就实施设备访问策略和数据共享限制。安全的电子邮件通信电子邮件通信主要使用电子邮件配置标准(如POP或IMAP)来检索电子邮件,这通常涉及以纯文本形式传输电子邮件内容,可能会使机密数据容易受到窃听攻击和其他网络攻击。解决方案是使用SSL/TLS连接,以确保电子邮件流量在传输过程中加密且安全。除了通过S/MIME提供额外的加密层(保留消息完整性并增强数据隐私性)之外,MDM还使您可以通过启用SSL/TLS连接或为Android、iOS和Windows使用SSL证书为电子邮件建立安全的通信通道。此外,可以为iOS和Windows设备配置strong>简单证书注册协议(SCEP),使用证书保护电子邮件安全性。保护电子邮件附件电子邮件附件通常包括包含敏感数据的重要文档。下载这些附件后,可以使用任何非托管应用程序打开这些附件并与其他设备共享,甚至备份到第三方云服务上,从而导致数据泄露。ManageEngine MDM应用程序的内置文档查看器可以确保安全查看并存储作为附件收到的重要文件。由于将文档共享给其他设备或云服务受到限制,因此企业数据完全被沙箱化,从而防止了安全漏洞。或者,可以使用企业批准的其他文档查看器访问这些文档。实施基于设备的访问控制自动授予企业应用程序和邮箱对托管设备的访问权限,同时防止非托管设备访问 Exchange、Microsoft 365、Google Workspace 和 Zoho Workplace。提供访问宽限期,在此期间用户可以轻松注册他们的设备。指定条件访问策略的目标用户,例如所有现场员工或合同员工。配置电子邮件功能通过高级安全限制消除电子邮件安全等式中的人为错误,例如阻止未经批准的电子邮件应用程序、阻止导出到其他电子邮件帐户以及限制电子邮件转发。防止使用 HTML 格式,该格式可能以隐藏病毒和其他恶意软件的形式对设备构成威胁。保护对Exchange的访问许多企业使用Exchange Server来管理业务电子邮件,这是Exchange经常面临安全威胁的主要原因之一。尽管他们竭尽全力使用防火墙配置和其他安全工具限制对Exchange的访问,但许多企业并未意识到他们可以在设备级别控制Exchange Server访问。为了帮助您更好地保护企业的Exchange环境,MDM使您可以限制非托管设备对Exchange Server的访问。启用无密码身份验证通过单点登录提供安全、顺畅的登录体验。允许用户只需登录一次即可访问所有必需的 Web 服务和应用程序,包括电子邮件客户端应用程序,从而消除密码疲劳。此外,根据您组织的要求,利用基于证书的身份验证来确保用户无需登录一次,有效地使用零登录方法。为电子邮件和附件创建沙箱将工作空间容器化,并将公司电子邮件访问权限限制为仅限个人设备上的托管应用程序。使用内置文档查看器安全地查看和组织您的电子邮件附件。禁用与云服务和非工作应用程序的数据同步,以防止电子邮件内容无意中存储在不受信任的第三方服务器上。配置邮件限制许多发件人使用HTML来添加图形和电子邮件链接,这些HTML电子邮件以隐藏的病毒和其他可能自动下载的恶意软件的形式对设备构成潜在威胁。通过使用MDM,管理员可以完全限制在电子邮件中使用HTML格式而只使用纯文本,从而消除这种威胁。电子邮件自动转发是管理员需要处理的另一个重要的安全问题。如果员工启用了将电子邮件转发到外部地址离开了公司,则属于企业的敏感数据就可能会丢失。当关键信息通过电子邮件泄露给未经授权的第三方时,情况会变得更加严重。防止这种情况的一种可行方法是使用MDM来限制电子邮件的转发。MDM还使您可以管理电子邮件地址与第三方云服务的同步、非电子邮件应用中邮件账户的使用、电子邮件通知等。
摸鱼校尉
企业防护墙管理,有什么防火墙管理工具?
典型的企业网络安全基础设施由传统防火墙、下一代防火墙(NGFWs)、虚拟专用网络(vpn)和来自多个供应商的代理服务器组成。网络安全管理,特别是防火墙安全管理是特别棘手的,因为每个供应商的能力和技术差异很大。然而,市场上有许多防火墙管理解决方案。作为安全管理员,您需要一个智能防火墙管理软件,该软件可以帮助管理来自不同供应商的防火墙规则、配置和日志。防火墙管理工具Firewall Analyzer防火墙分析器是策略管理和配置监控软件。本系统提供了基于SSH和应用程序接口(SSH)和应用程序接口(SSH)和基于命令行和应用程序接口的安全性分析。它还可以帮助安全管理员跟踪策略更改、优化防火墙性能和维护法规遵从性标准。让我们仔细看看这个智能防火墙管理解决方案所提供的功能。防火墙策略管理Firewall Analyzer的策略管理模块帮助您:获得整个规则集的可见性在防火墙中检测并记录冗余、泛化、关联、阴影和分组的异常情况了解如何通过更改规则顺序来提高性能自动化防火墙规则管理确定新规则是否会对现有规则集产生负面影响有了这些能力(防火墙管理策略),安全管理员可以完全控制他们的防火墙策略,这有助于优化政策防火墙配置监控Firewall Analyzer从防火墙设备获取配置更改并生成变更管理报告帮助你找出谁做了什么改变,什么时候,为什么。防火墙分析器还会在发生更改时向您的手机发送实时警报。此报告确保定期捕获防火墙中的所有配置和后续更改,并将其存储在数据库中。防火墙日志分析Firewall Analyzer生成日志报告并提供安全和流量分析。使用防火墙软件,您可以:识别安全性攻击、病毒和其他安全措施网络异常监视和跟踪网络中的内部威胁进行取证找出威胁看看你的网络上是否有病毒感染使用高级搜索功能从原始防火墙日志轻松挖掘安全事件使用详细的流量分析使用VPN的使用及发展趋势报告根据您的要求自定义防火墙报告跟踪您的代理使用防火墙安全合规管理Firewall Analyzer生成现成的合规性报告对于以下行业标准:支付卡行业数据安全标准(PCI DSS)ISO 27001:2013NIST Special Publication 800-53NERC的关键基础设施保护(CIP)标准SAN Institutes的防火墙检查表通过这些报告,您可以跟踪防火墙设备上配置的符合性状态。防火墙报警管理Firewall Analyzer生成警报当超过设置的阈值时自动通知网络管理员。生成的任何警报都会记录在产品界面中。这些警报可以通过电子邮件和短信实时发送。警报还可以触发脚本,以便在检测到攻击时自动响应事件。分布式防火墙管理Firewall Analyzer通过其分布式监控功能,满足了大型企业和托管安全服务提供商(MSSP)的防火墙管理需求。Firewall Analyzer的企业版是一个可扩展的解决方案,可以从一个中心位置(集中式防火墙管理)监视全球多个防火墙。这有助于需要从一个位置管理所有网络安全设备的大型企业的安全管理员。多供应商支持Firewall Analyzer的主要优点之一是它能够处理不同的防火墙供应商。Firewall Analyzer可以管理规则并监视以下供应商的配置:CiscoPalo AltoCheck PointWatchguard管理防火墙防火墙管理是有效管理防火墙规则、配置、日志和警报的过程。因此,最大限度地利用现有的网络安全基础设施。
摸鱼校尉
供应链攻击的类型和预防
供应链攻击是一种面向软件开发人员和供应商的新兴威胁,目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。供应链攻击是威胁行为者通过利用软件供应链中的漏洞进入组织网络的一种网络攻击,供应链攻击的目标可以是软件开发过程中的源代码、编译器、软件库、第三方组件等,也可以是硬件设备、网络设备、供应商提供的服务等。攻击者可以通过篡改软件代码或插入恶意代码来实现数据窃取、远程控制、拒绝服务等攻击行为。供应链攻击的来源供应链攻击源自各种来源,大致可分为三大类。第三方软件开源软件国外软件第三方软件商业软件供应商和外部业务合作伙伴是无法渗透到具有安全意识的公司的对手的潜在目标,通过将恶意代码安装到第三方软件中,攻击者可以轻松访问客户的网络并访问内部数据。例如,组织依靠安全解决方案提供商的渗透测试工具进行安全测试,而这些工具本身可以用作恶意软件的载体来破坏组织的安全性。由于第三方软件在供应链攻击中占主导地位,这些攻击也被称为第三方攻击。开源软件并非所有软件都是从头开始编写的,大多数企业依靠开源软件来开发其专有代码,一些开源社区为所有用户(包括潜在的对手)提供免费访问。这为威胁行为者提供了在现有开源软件中引入恶意脚本和创建漏洞的轻松访问。当合法用户在其脚本中部署此类被篡改的源代码时,感染会传播到他们的软件并破坏其网络中易受攻击的资源。国外软件一些国家/地区批准将恶意组件部署到其他国家/地区购买的合法供应商软件中,这种类型的供应链攻击是一种手段网络恐怖主义,会造成巨大威胁。供应链攻击的类型跳岛攻击恶意软件攻击预安装恶意软件攻击代码注入攻击Magecart 攻击被盗代码签名证书攻击水坑攻击加密劫持跳岛攻击跳岛攻击是第三方攻击的一种形式,即对手通过迂回路线攻击具有复杂网络安全的高端目标。由于攻击者无法克服目标严密的安全防御,他们就会利用其软件供应链中的薄弱环节。他们伤害目标供应链中脆弱的供应商和第三方,以获得对目标网络的初始访问权限并破坏资源。在某种程度上,对手从一个组织跳到另一个组织,所以这种攻击被称为跳岛攻击。恶意软件攻击在这种类型的攻击中,威胁参与者通过利用其软件产品中的漏洞直接针对受害组织,通过在软件的构建周期中引入恶意软件,攻击者在下游供应链中打开后门,并且所有下载该产品的目标组织的客户都成为攻击者的牺牲品。预安装恶意软件攻击这也是一种第三方攻击,攻击者在第三方的网络设备或其他电子设备上安装恶意软件,对目标组织造成困扰,受害的第三方和目标都不知道这种渗透,直到恶意软件慢慢地悄悄地接管了目标的网络。代码注入攻击代码注入是一种针对开源代码存储库和库的开源攻击形式,通过将恶意代码注入代码库和存储库,攻击者将访问此类存储库的所有合法用户作为目标。在用户设备上自动执行代码的 JavaScript 库是攻击者的主要目标之一。Magecart 攻击Magecart攻击,也称为表单劫持,是一种代码注入攻击,主要针对处理支付方式的第三方。在这种攻击中,黑客将恶意代码注入 JavaScript 代码以接管网站并从用户填写的结帐表单中略过敏感的财务详细信息。被盗代码签名证书攻击代码签名证书用于评估软件产品的真实性和完整性,威胁行为者通过破坏合法所有者的私钥来窃取此类证书,然后,攻击者分发带有恶意软件的软件以及被盗的代码签名证书,以引诱用户下载恶意软件。水坑攻击流量大的网站是这类供应链攻击的主要目标,网站是供应链的最后一个窗口,是安装和下载软件产品的媒介。通过识别网站架构中的漏洞并嵌入恶意链接,攻击者引诱最终用户打开后门进行恶意执行。这种攻击的命名参考了隐藏在水坑(网站漏洞)附近的捕食者(攻击者),以便在适当的时候扑向猎物(受害者)。加密劫持加密劫持是另一种形式的供应链攻击,攻击者利用用户的计算资源来挖掘加密货币,大多数加密劫持攻击都是使用受感染的网站进行的,攻击者通过在网站架构的HTML代码中注入恶意命令来破坏网站。每当用户打开这样的网站,挖矿程序就会自动执行,用户的资源就会在用户不知情的情况下耗尽。如何检测和预防供应链攻击精心规划的产品开发流程,也可以称为软件开发生命周期(SDLC),是保护供应链的首要步骤。让我们深入了解 SDLC 的不同阶段,并揭示在每个阶段检测和防止供应链攻击的不同技术。规划阶段防御设计阶段防御实施阶段防御测试阶段防御部署阶段防御维护阶段防御规划阶段防御这是 SDLC 的第一阶段,是建立用于开发软件的基础设施的阶段。在这个阶段,组织主要关注资源的可用性、采购和分配。在此阶段防御供应链攻击的一些最佳实践包括:创建一个软件物料清单,这是 SDLC 中涉及的所有资源和流程的记录,用于跟踪流程中的所有活动。实现零信任模型验证 SDLC 中涉及的所有依赖项和第三方。使用全面的威胁建模识别基础结构所有组件中可能阻碍 SDLC 的威胁和漏洞。对 SDLC 中的已知威胁和漏洞进行分类,以制定适当的计划事件响应来抵消它们。设计阶段防御设计是产品开始成形的阶段,它涉及开发原型的一套单独的程序。阶段产品所需的软件依赖关系也在此阶段确定。简单地说,这是挑选和集成能够满足最终产品目的的合适第三方解决方案的阶段。一些值得注意的实践可以捍卫这一阶段的SDLC:建立一个验证过程来评估供应商组织的安全状态。评估供应商产品的风险水平和可信度。执行网络分段,以限制第三方访问内部资源的半径。对所有第三方实施最小特权原则,使其只能执行允许的操作。实施阶段防御实施阶段是执行阶段,DevOps团队由软件开发人员和IT操作员组成,在此过程中发挥着至关重要的作用。在此阶段,软件使用代码进行编程,此代码可以是专有的,也可以是开源的。此外,此过程还可以依赖于第三方编码平台来运行和执行代码。因此,这个阶段涉及大量的内部和外部合作。在 SDLC 的这一阶段,防御供应链攻击的最佳实践包括:部署强代码完整性策略限制未经授权执行代码依赖项。评估开源代码内联沙盒过滤掉未知威胁和漏洞的工具。用客户端保护工具,同时利用第三方服务提供商提供的服务。审计影子 IT 基础设施,这涉及 DevOps 团队在未经 IT 部门批准的情况下使用的未经授权的资源。测试阶段防御测试阶段确保了所开发软件的质量,在这里,代码被执行并检查是否存在错误、故障和漏洞,此阶段还涉及渗透测试和沙盒的第三方协作。在此阶段防止供应链攻击的一些最佳实践包括:创建内部渗透测试避免依赖第三方工具的工具。识别并缓解所有漏洞以防止零日漏洞和漏洞利用。部署阶段防御部署是使用代码签名证书对测试的软件进行验证和证明的阶段,并通过网站将其作为软件包或服务提供给最终用户。此阶段对于保护至关重要,因为攻击者可能会窃取代码签名证书以创建虚假身份并引诱用户下载恶意软件,或者他们可能会利用网站 JavaScript 中的漏洞嵌入恶意代码。在此阶段防御供应链攻击的一些值得注意的步骤是:实施改善,这是软件部署管道中的持续开发和改进。整合安全团队与开发团队一起保护代码签名证书和 JavaScript 存储库。实现服务器端保护检查所有下载请求和网站流量的解决方案。维护阶段防御这是 SDLC 的最后阶段,其重点是产品在部署后的无缝和高效运行,这是产品不断改进以满足最终用户要求的阶段。它涉及频繁的错误修复、软件更新和漏洞补丁。虽然此阶段标志着 SDLC 的结束,但如果不定期使用更新和修复,它也可能标志着重大安全漏洞的开始。在 SDLC 的这一阶段,保护供应链的一些做法包括:建立一个有效的软件资产清单跟踪软件的所有更新和升级。实现安全的工作流程定期应用安全补丁和软件更新。使用多因素身份验证限制对软件内部版本、代码存储库和库的未经授权的访问。Log360 是统一 SIEM 解决方案,由不同的模块组成,可帮助您保护网络。尽管网络安全很复杂,但供应链攻击仍能够对您的网络造成有害影响,它残酷地利用了各种依赖关系之间的相互信任,而这些依赖关系在 SDLC 中是必不可少的。因此,通过在 SDLC 的每个阶段实施上述最佳实践来防范供应链攻击。
摸鱼校尉
流氓设备检测和预防
流氓设备简介流氓设备本质上是恶意的。它们存在的唯一目的是窃取敏感信息,如信用卡号、密码等。它们会损害您的网络,并在此过程中损害您公司的声誉。在极少数情况下,如果您的公司没有流氓设备检测工具,恶意设备甚至会永久损坏系统。流氓设备的类型恶意设备可以是无线接入点(有时称为恶意 AP)或最终用户计算机(恶意对等方)。如果保持连接状态,任一类型的恶意设备都可能构成安全威胁。恶意AP可以进一步分为网络机器人(机器人)和嗅探器:机器人是执行重复性任务的系统。恶意机器人可用于在网络上发送垃圾邮件或造成拒绝服务 (DoS)。机器人也可以组成僵尸的集合,并用于执行更强大的攻击。嗅探器是一种窃听器,它被动地坐在网络上并秘密检查流量。嗅探器可能被恶意用于侦察有价值的数据。恶意设备与您的网络连接的方式防止恶意接入点和未经授权的设备连接到您的网络的最佳方法是仔细检查加入您网络的每台设备是否构成潜在威胁。恶意设备可以通过多种方式连接到您的网络,包括:员工拥有的设备:BYOD 策略对员工来说可能很方便,但对网络安全来说却是一场噩梦。非托管 BYOD 策略很容易变成恶意设备的导线。这些设备一旦离开办公室,也有可能丢失或被盗。第三方供应商:第三方供应商通常可以访问其客户公司的敏感信息或数据。如果您是第三方供应商的客户,并且他们不监控其网络,则流氓设备可能能够通过该第三方供应商的系统访问您的信息。影子 IT:影子 IT 是指在企业中未经授权使用 IT 资产,包括在效率低下的 IT 系统周围工作的员工。影子 IT 系统可能更容易受到恶意设备的攻击,因为它们不受 IT 部门的主动保护。缺乏设备可见性:缺乏设备可见性是公司可能面临的有关流氓设备访问的最大问题。如果您不知道网络上的内容,则无法判断网络安全是否受到威胁。检测和防止流氓设备无线网络本质上不如有线网络安全。对于传统(非无线)网络,数据通过物理和连续监控的电路流动。另一方面,在无线网络中,数据是使用无线电信号传输的。由于您的 IP 网络旨在提供分布式访问,因此它是多孔的,旨在由许多类型的设备访问。因此,IT 管理员的目标应该是将访问权限限制为仅授权设备。控制哪些设备可以连接到您的网络对于确保公司资产和数据的隐私和完整性至关重要。对于恶意网络设备检测,网络必须至少具有三个要素。定期扫描:防止流氓设备不受限制地访问网络的一种流行方法是每天、每周或每月扫描办公室中的无线设备。持续监测:如果您定期扫描办公室,您可能会发现许多属于您的公司、邻居和客人的无线设备。每次完成扫描时,都会找到新的设备集。持续监控您的网络允许您维护已知设备的列表,以便您可以知道何时出现新设备。即时警报:如果在网络中发现新设备或设备状态突然更改,则需要立即通知 IT 工程师。这就是为什么您需要在网络中使用全面的警报系统,尤其是在其中包含大量设备的情况下。OpUtils - 检测流氓软件为避免安全漏洞并保护您的组织免受可能使企业付出一切代价的普遍流氓设备的侵害,请尝试使用OpUtils。通过强大的交换机端口管理功能帮助进行恶意检测和恶意预防,以便您可以控制连接到网络的人员和内容。通过对用户名、IP 地址、主机名和 MAC 地址的简单搜索,快速查找计算机或用户,并追踪丢失或流氓设备。提供设备上次已知位置的历史数据。立即关闭端口、缓解威胁并缓解网络性能问题。所有这些都可以通过简单的点击式Web界面完成,OpUtils(流氓系统检测软件),它将不断检测并警告对您的网络的任何威胁。
摸鱼校尉
如何检测勒索软件攻击
什么是勒索软件勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击方法以及中毒方式。攻击方法:攻击它采用技术手段限制受害者访问系统或系统内的数据(如文档、邮件、数据库、源代码等),并以此要挟受害者。受害者需要支付一定数量的赎金,才有可能重新取得数据控制权,以此来达到勒索的目的。中毒方式:勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。任何组织和个人都可能成为勒索软件攻击的目标,网络犯罪分子可能无差别攻击,也可能针对更有价值的组织,如政府机构、医院等更有意愿支付赎金的组织,拥有敏感数据的机构。勒索软件不仅影响组织的正常运行,导致业务停滞或中断,还可能会泄露商业秘密,影响企业形象。勒索软件的类型根据勒索软件所使用的勒索方式,主要分为以下三类:影响用户系统的正常使用:比如 PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等,会采用锁定系统屏幕等方式,迫使系统用户付款,以换取对系统的正常使用。恐吓用户:比如 FakeAV(Trojan[Ransom]/Win32.FakeAV)等,会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买其“反病毒软件”。又如Reveton(Trojan[Ransom]/Win32.Foreign),会根据用户所处地域不同而伪装成用户所在地的执法机构,声称用户触犯法律,迫使用户支付赎金。绑架用户数据:这是近期比较常见的一种勒索方式,最典型的是CTB-Locker家族(Trojan[Ransom]/Win32.CTBLocker),采用高强度的加密算法,加密用户文档,只有在用户支付赎金后,才提供解密文档的方法 。勒索软件检测工具的优势使用 DataSecurity Plus 的勒索软件检测和响应功能,发现并遏制勒索软件攻击。检测勒索软件指标应对攻击检测勒索软件指标检测勒索软件入侵:在勒索软件攻击开始时检测它,审核文件服务器是否存在文件重命名和删除事件的突然激增,这通常是勒索软件攻击的前奏。接收即时通知:通过设置实时警报和威胁响应来确定勒索软件检测的优先级,一旦发生可疑文件更改,立即收到通知。阻止勒索软件的传播:快速阻止勒索软件感染滚雪球般地演变成大规模数据泄露,关闭受感染的设备以隔离它们并减轻损害。应对攻击隔离损坏的设备:通过使用自动化的预定义威胁响应机制,将勒索软件攻击的影响降至最低,断开受感染用户帐户的会话,以阻止勒索软件的进一步传播。识别勒索软件损坏的文件:使用内置威胁库发现已知勒索软件变种(如 Petya、Locky 等)的攻击,通过永久删除这些勒索软件加密文件来保护您的数据。保留数据以供调查:生成审计跟踪,以促进调查并保存法律证据,保留和分析审计数据,以预测和阻止未来的威胁。防范勒索软件的最佳实践备份文件:处理勒索软件攻击的最有效方法是使用 3-2-1 备份规则,在两种不同的存储类型上保留至少三个不同版本的数据,至少有一个异地。培训最终用户:定期培训员工如何识别和避免常见的勒索软件陷阱,例如恶意广告、网络钓鱼电子邮件等。修补漏洞:通过定期更新操作系统、浏览器和其他应用程序中的漏洞来减少它们。使用入侵检测系统:使用持续监控实时检测异常或恶意活动的迹象,在早期阶段切断勒索软件攻击。使用电子邮件过滤:阻止恶意可执行文件、垃圾邮件、网络钓鱼电子邮件和已知勒索软件使用的其他方法。将应用程序列入白名单:将可接受的软件添加到白名单中,并阻止未经授权的程序运行。提供尽可能少的特权:使用强大的访问管理来限制不必要的访问,并减少恶意软件进入组织的访问点数量。逻辑上独立的网络:通过根据任务或部门分离网络,在发生勒索软件攻击时减少数据丢失。如何检测勒索软件在短时间内多次修改文件和加密证据是勒索软件的两个明显迹象。使用一些简单的模式,DataSecurity Plus可以及早检测到这些勒索软件的迹象,并在攻击发生时识别它们。可以按照以下步骤配置自动威胁响应机制,以便在勒索软件攻击开始时立即关闭任何勒索软件攻击。1、运行数据安全Plus导航到“警报”选项卡2、单击页面右上角的新建警报配置文件。3、命名警报配置文件并包含适当的描述(例如,“潜在的勒索软件攻击”)。4、在严重性选项卡中,选择严重。5、打开阈值限制部分并指定要监控的事件数(例如,“一分钟内修改 100 次文件”)*。6、导航到条件部分,并在选项卡下添加以下筛选器:行动:创建、修改、重命名和文件扩展名更改监控:All显示器类型:文件和文件夹文件类型:All用户:All7、使用“排除”选项卡可忽略单个文件、组织特定的文件类型和文件夹,以进行选择性监视并防止误报检测。并减少误报。8、导航到电子邮件通知并指定要向其发送警报的一个或多个电子邮件地址。将电子邮件优先级设置为高。9、在“执行命令”文本框中,运行默认脚本(例如,“{install_location} \bin \alertScripts \triggershutdown.bat %server_name%”),以关闭受感染的系统。注意:您还可以执行禁用用户帐户、禁用网络的其他脚本,或者根据组织需求定制的自己的脚本之一。10、要保存配置的警报,请单击保存。现在,已成功将 DataSecurity Plus 配置为检测并响应在一分钟内检测到 100 多个文件事件(如创建、修改和重命名)的方案。*阈值限制将根据服务器大小、用户数量和使用级别而有所不同。勒索软件检测工具问题解答Q:当检测到勒索软件攻击时,可以自动断开用户的会话吗?A:DataSecurity Plus允许执行自己的脚本以执行根据组织需求定制的操作(例如,断开用户会话,锁定用户帐户或关闭系统)。Q:可以检测到未来的勒索软件攻击吗?A:DataSecurity Plus可以及时识别所有勒索软件攻击并生成基于阈值的告警,这些告警在定义的时间跨度内发生一定数量的受监控事件时触发。Q:可以阻止像WannaCry和Petya这样的已知勒索软件感染整个网络吗?A:许多勒索软件变体在加密数据时使用特定的文件扩展名,DataSecurity Plus使用这些恶意文件扩展来识别已知的勒索软件变体并立即阻止它们。Q:如果勒索软件感染了网络,可以确定攻击的起始位置吗?A:DataSecurity Plus能识别攻击开始的机器的客户端IP,可以使用此信息和其他信息执行根本原因分析。Q:刚刚提醒已检测到可能的勒索软件活动,该怎么办?A:如果是这种情况,那么DataSecurity Plus应该已经关闭了可能受感染的系统。从这里开始,您应该分析审计数据,以确定它是哪种勒索软件变体,并从那里开始规划您的策略。DataSecurity Plus数据可见性和数据泄漏防护组件,可帮助企业抵御内部威胁、防止数据丢失并满足合规性要求。