top of page

amidas #Blog

“人的因素”才是最大的威脅



越來越多的IT專業人士認識到內部威脅才是最大的威脅。雖然這句話往往讓人聯想到心存不滿的管理員故意破壞系統或竊取數據 賣給競爭對手,但他們明白,內部威脅遠不止這些。大多數組織擁有數百甚至數以 千計的權限級別各異的帳戶,其中不僅包括管理員帳戶,還有各種用戶和服務帳戶。


即便沒有與管理員相同的權限,這些用戶同樣可以濫用自己的權限進行很多破壞活動。再者,管理員和用戶都可能犯無心之 失,導致數據洩露或系統停機。更不用說,黑客可以控制用於您環境的合法用戶或管理員憑據,從外部攻擊者變為內部威脅。


對於內部威脅,企業需要技術與管理雙層把關。維運管理制度要實行雙權甚至三權分立,不能一人獨管企業核心資產運維。


社交工程和勒索病毒範例

您會如何處理這種情況?


駭客是如何通過AD,將勒索病毒感染至各電腦的呢?



緩減內部威脅的第一步就是明確了解誰有權限訪問什麼內容


對於大多數企業,這意味著了解Active Directory用戶和用戶組以及分配給他們的權限。企業通常重點關注權限較大的用戶組,例如域管理員、企業管理員和帳戶操作員。這些用戶組的成員身份提供對環境的大量權限,因此必須嚴格控制這些組,這一點至關重要。


Quest Microsoft Platform Management solutions提供微軟平台遷移、安全與管理相關解決方案,其中Change Auditor管理平台為您的Microsoft Windows環境提供即時安全與IT稽核管理;變更Active Directory(AD)和企業應用程序的報告和存取日誌記錄是麻煩且耗時的,在某些情況下,使用Windows原生IT稽核工具更是無法達成,這通常會導致AD和其他Microsoft平台的數據洩露和受到內部威脅,如果沒有適當的保護措施,可能無法檢測到。


幸運的是,採用Change Auditor您可以針對適用於Microsoft Active Directory、Azure AD、Exchange、Office 365、Exchange Online、File文件伺服器等應用,完成即時IT資訊稽核,並對所有服務的關鍵配置、用戶與管理員的更改進行深入的取證(forensics)和全面性的安全監控,Change Auditor還可以追蹤企業內部帳號登錄、身分驗證和其他關鍵服務的詳細用戶活動,以加強威脅檢測和安全監控,具備中控台(central console)管理消除了多個IT稽核解決方案的需求和復雜性。


Change Auditor 對關鍵設定, 用戶和管理員上的變化, 提供完整和實時的Change Auditing, 以深入的取證提供綜合報告。

Quest Change Auditor 的主要功能


Hybrid environment auditing with a correlated view

稽核混合環境,包括Exchange / Exchange Online和AD / Azure AD,可以在混合環境中提供單一的相關活動視圖,確保在AD和Exchange中進行的所有更改(無論是在本地還是在雲端)均可檢視。


Improved insights with IT Security Search

將來自眾多系統和設備的不同IT數據關聯到交互式搜索引擎,實現快速安全事件回應與取證分析,包括用戶授權(entitlements)與行為、事件趨勢(event trends)、可疑型態(suspicious patterns)以及更多豐富的可視化和事件時間表(timelines)。


Simplified investigations

擷取帳戶鎖定事件的原始IP地址和Workstation工作站名稱,並在交互式時間表中查看相關的登錄和存取企圖(access attempts),這有助於簡化對內部和外部安全威脅的檢測和調查。


Real-time alerts on the move

將重要變更改和型態透過電子郵件和移動設備接收告警,以便立即採取措施,使您即使在不在現場的情況下也能更快地應對威脅。


Change prevention

防止AD、Exchange和Windows檔案伺服器中,包括特權群組、群組策略物件(Group Policy objects)和敏感郵件信箱中的關鍵數據更改。


Quest Recovery Manager for Active Directory 加速對象和屬性級的AD備份和災難恢復


錯誤不可避免。如果管理員意外刪除某些內容或錯誤地執行了批量更新,則Active Directory (AD)環境會受到損害。這會對生產效率造成持續數小時甚至數天的影響,從而影響貴公司的收入和信譽。當發生這種情況時,您需要適當的災難恢復計劃和AD恢復工具來實現快速備份和運行。


Quest® Recovery Manager for Active Directory就如同針對您的AD環境的保單。它使您可以在對象和屬性級精確找到對AD環境進行的更改。了解到發生的情況、受影響的用戶和要回滾的內容。快速比較備份,以在對象級精確找到差異,並且即時恢復數據,不管該數據在內部部署AD、Azure AD還是在混合AD環境中都是如此。


Quest® Recovery Manager for Active Directory的主要優勢:

  • 縮短停機時間 - 恢復AD中的任何對象,讓受影響的用戶能夠快速恢復工作,無需重新啟動域控制器。

  • 加快恢復速度 - 快速地精確找到已刪除或更改的對像或屬性。

  • 細粒度恢復 (Granular Restore) - 只恢復所需的屬性,無需重新啟動域控制器。


Quest Migration Manager 零影響遷移您的所有Microsoft工作負載


無論是升級舊平台、遷移至新平台、移至雲還是進行併購,Quest都可以幫助您輕鬆降低風險,並消除對用戶的影響。 Quest遷移與合併解決方案能夠有效地移動和重構用戶帳戶、數據和系統,而不會對用戶和企業的生產效率產生影響。


Quest Migration Manager的主要優勢:

  • 零影響遷移 - 通過確保為整個企業進行零影響遷移,大大降低風險和業務中斷。

  • 快速、精確的遷移 - 以少於您想像的資源,按時、按預算完成項目。

  • 屢獲殊榮的支持 - 獲得我們經驗豐富的專家提供的全天候支持,避開陷阱並簡化遷移。

  • 滿懷信心地進行遷移 - 不要對您的遷移聽之任之。要信賴遷移解決方案專家。


總結


消除內部威脅並無神奇妙方。用戶和管理員需要一些訪問權限以便執行工作;而您又不能保證他們絕對不會犯錯或濫用權限。同樣,您也不能保證外部攻擊者永遠不會控制合法的用戶帳戶,用它們來試圖竊取您的數據或破壞您的業務。


但是,您可以採取以下三個實用步驟,大幅減少內部威脅:


• 了解和控制整個IT環境中的權限

• 控制組策略對象(GPO)

• 約束管理員


Quest提供實用可靠的解決方案,讓用戶可以更輕鬆而又仔細地管理權限、控制GPO以及約束管理員。


客戶如欲查詢或了關於Quest的方案及建議,歡迎向 Amidas 的客戶顧問查詢。

電話:2168 0388

Whatsapp: 98283401

電郵:sales@amidas.com.hk

bottom of page