CyberArk https://www.cyberark.com/zh-hant/ Wed, 03 May 2023 19:09:59 +0000 zh-TW hourly 1 https://wordpress.org/?v=6.5.5 剖析 Uber 資料外洩事件 https://www.cyberark.com/zh-hant/blog/unpacking-the-uber-breach/ Mon, 31 Oct 2022 15:10:28 +0000 https://www.cyberark.com/blog/%e5%89%96%e6%9e%90-uber-%e8%b3%87%e6%96%99%e5%a4%96%e6%b4%a9%e4%ba%8b%e4%bb%b6/ Unpacking the Uber breach, a deconstruction

在9 月 15 日 Uber 資料外洩事件揭露後的幾天內,大量關於一名據稱 18 歲的攻擊者如何成功滲透這家客車共乘巨頭公司的 IT 基礎設施並侵入機敏的使用者資料的報導登上版面。這個故事裡的人為因素備受關注,許多人都將焦點集中在多因素驗證(MFA)的瓦解及其他身分安全保健問題上。

Uber 9月19日的安全更新回應了一些問題,同時點名 Lapsus$ 為可能的攻擊者組織,再次引發更多新疑點。

當我們繼續追蹤這個故事時,我們不禁要問:「攻擊者是何人或他們如何進入,真的那麼重要嗎?」如果您已「假定入侵」,那麼這次攻擊值得注意的(除了受害組織本身之外)應該是之後發生的事。

根據 CyberArk 紅隊的分析及現有報告,我們解構 Uber 資料外洩事件時將焦點集中於寫死帳密憑據,這是此次攻擊的真正引爆點。根據報導,攻擊者利用這些憑據取得該公司特權存取管理 (PAM)解決方案(其他友商的產品)的管理存取權,進而解鎖更多高風險存取權限。我們也將展現分層防禦如何協同運作,幫助減緩或攔阻類似攻擊。

「大部分 Uber 網路攻擊分析都集中在社交工程及多種 MFA 攻擊路徑上,但攻擊的真正轉折點發生在初始存取之後。配置不當的網路共享空間存在內嵌帳密憑據是解構此攻擊的關鍵。竊取內嵌於 PowerShell 腳本的 PAM 系統管理者帳密,可讓攻擊者取得高層級存取權限、提權,然後開始在 Uber 的 IT 環境內大肆橫行。主動式防護須依賴實施多個安全層,但最重要的是,隨著攻擊力道加大,假定已遭受入侵的管理思維更顯重要
。」

– CyberArk 紅隊服務副總裁 Shay Nahari

解構 Uber 攻擊:我們從報導所知

Uber Breach Deconstruction第 1 階段:初始存取。 攻擊者取得 Uber VPN 基礎設施的帳密,藉機進入 Uber 的 IT 環境。

第 2 階段:偵查。 最可能的情況是,該承包商未擁有對機敏資源的特殊或更高特權,但確實可存取網路共享空間,就像其他 Uber 員工一樣。而這個網路共享空間已開放或配置錯誤,導致允許廣泛讀取存取控制清單(ACL)。攻擊者在網路共享空間內發現一個寫死 Uber PAM管理者帳密的 PowerShell 腳本。

簡而言之:IT 團隊和開發人員通常透過編寫腳本來自動執行一些工作, 而需要特定形式的帳密憑據來進行身分驗證(例如手動備份或從資料庫擷取資料產生自訂報告)。這些憑據可以是 SSH 密鑰、API 令牌或其他類型的密碼及特權令牌。為了節省時間並有助確保自動化執行,開發人員通常會將這些憑據嵌入(或寫死)至程式碼中。於是,任何有權存取該程式碼的人都能獲取憑據,也使憑據的管理及輪換變得困難。在 Uber 資料外洩事件中,這個寫死的帳密具備特權存取管理解決方案的管理存取權限。而這些憑據似乎已有一段時間沒有更換,使它們更容易被侵入。

第 3 階段:提權,存取 PAM 系統。 攻擊者透過竊取特權存取管理解決方案的管理者帳密,進一步提權。

第 4 階段:從 PAM 系統合法竊取秘密資訊,到達公司關鍵系統。 根據Uber 最新的消息更新,攻擊者最終取得「對許多工具的更高權限」。從特權存取管理系統取得秘密資訊,其潛在的傷害極其巨大:據報導,攻擊者已侵佔 SSO 、主控台以及 Uber 儲存客戶與財務敏感資料的雲端管理控制台之存取權限。

第 5 階段:資料外洩。 雖然 Uber 仍在調查此事件,但該公司證實攻擊者「已下載一些內部 Slack 訊息,並從我們的財務團隊管理發票使用的內部工具下載資訊。」

針對處理內嵌帳密憑據的建議,做為縱深防禦策略的一部分

我們認為,主動式防護需要支持零信任策略的縱深防禦做法,即混合運用多個相輔的交疊的安全管控,同時落實最小權限控制措施。對於此案例,也許最重要的是內嵌帳密從一開始就不該存在。

為了降低貴公司的風險,我們建議著重於摒棄原來的做法並清點您的環境,尋找並刪除存在於程式碼、PaaS 配置、DevOps工具和內部開發的應用程式內已寫死的帳密憑據。我們知道,這說來容易做起來難,所以首先應針對貴公司最關鍵和最強大的帳密憑據及秘密資訊,再往下落實這些秘密資訊管理的最佳實踐程序,隨著時間逐步降低風險。

當您制訂好一個處理寫死帳密憑據的計劃時,應考量下列額外措施強化您的防禦:

  • 憑據盜竊仍然是頭號風險領域。如近期所見,攻擊者越來越擅長利用各種途徑及技巧迴避 MFA,在這個案例中已出現多次 MFA 漏洞。您的員工便是您的守門人,定期訓練他們發現及報告網路釣魚,以協助防止身分洩露。提高警惕,但別期待能做到滴水不漏,因為攻擊會不斷進化升級。
  • 從端點開始落實一致的最小特權原則,有助確保員工和外部承包商只擁有完成其工作所需的最低權限。設定特權存取管理系統應採取最小授權與職責分離原則,管理者只能存取其工作絕對必要的特權帳號。所有使用特權帳號的存取都應該隔離並通過驗證。
  • 這次攻擊突顯出資安從業者長久以來一直想要努力解決的「Secret Zero」問題:如果有人獲得保護所有其他憑據之終極憑據的存取權限,將會如何?這便是強固的主動及被動縱深防禦控制同等重要的原因。因此即使在 MFA 失效時,也會有其他機制能在威脅來臨之前識別及攔阻它們。
  • 儘可能減少常設特權存取。清除對機敏基礎設施、網頁及雲端控制台的常設存取權可幫助貴公司限制攻擊者的橫向移動。尤其結合強固的身分驗證機制與Just-in-Time 提權時,可顯著減少任何被盜身分的存取活動,限縮攻擊者的攻擊範圍。

這不是單一個人或供應商疏失造成的資料外洩事件,也不是單一技術解決方案可預防的安全漏洞。這正是縱深防禦策略如此重要的原因:它可讓攻擊者更難以作業、移動或達成他們的終極目標。

]]>
CyberArk 再次被評為 Gartner® Magic Quadrant™ 的 PAM 領導者 https://www.cyberark.com/zh-hant/blog/cyberark-named-a-leader-in-the-2022-gartner-magic-quadrant-for-pam-again/ Tue, 04 Oct 2022 13:31:07 +0000 https://www.cyberark.com/blog/cyberark-%e5%86%8d%e6%ac%a1%e8%a2%ab%e8%a9%95%e7%82%ba-gartner-magic-quadrant-%e7%9a%84-pam-%e9%a0%98%e5%b0%8e%e8%80%85/ CyberArk Named a Leader in the 2022 Gartner® Magic Quadrant™ for PAM Again

CyberArk 在此宣布,我們的特權存取管理在 Gartner Magic Quadrant™ 被評選為領導者1,且在執行能力和願景完整性方面均高居第一。這是我們連續第四年獲得這項殊榮。

Gartner認為:「雖然核心PAM產品仍然是重要的安全工具,但市場需求的轉變帶來了對雲的新重視,從PAM工具的SaaS交付,到擴展PAM工具中的雲安全功能,包括存取鑰匙管理和CIEM。2

感謝我們的客戶和合作夥伴激勵推動著我們每天無所畏懼地前進,進行創新並成為他們值得信賴的顧問。 我們還要感謝全球員工始終將客戶放在首位,並感謝他們傑出的奉獻精神。 這一殊榮因為有你們。

CyberArk的PAM觀點: 我們的歷史和身分安全的基礎中心

特權存取管理是CyberArk建立的堅實基礎 — 這是我們的宗旨,也是我們自豪地向市場推出的產品。 從一開始,CyberArk就帶來了安全第一的思維方式,旨在説明全球組織保護動態企業的核心。 隨著我們作為一個組織的不斷發展,特權存取管理作為我們的核心仍然穩固地存在。 如今,超過7500家客戶,包括大多數財富500強公司和全球許多政府組織,都信任CyberArk來保護他們最寶貴的資產。

以特權存取管理為基礎,隨著整體 身分安全平台 的發展,我們已經變得更加強大,能夠實現數位化轉型並説明阻止更複雜的網路威脅。 想像一下,一個巨大的使用者身分群 — 人類和機器,從家庭、辦公室、聯合辦公空間和公共交通訪問各種企業資源,並跨越數據中心、運營技術以及混合、多雲和SaaS環境。 每個身分都是攻擊者的目標, 每個身分都可以具有強大的特權存取。 正因為如此,每個身分都需要強有力的安全保護。

自從CyberArk將擴展的身分安全願景和戰略付諸實施以來,我們不斷提高創新標準,並沿著路線圖進一步發展。 我們相信身分安全是加強網路彈性和釋放更高運營效率的關鍵 —— 將特權存取管理、訪問管理和身分管理統一在一個平台中,可以實現任何身分的無縫、安全訪問,從任何地方使用任何設備對任何資源或環境。 隨著各種規模和類型的組織朝著零信任的未來邁進,動態實施策略、身分驗證和授權的能力將有助於鋪平道路。

我們認為,始終如一的執行最小許可權,通過持續和即時訪問、會話隔離和監視、提升和委派以及憑據和機密管理,從未如此重要。 當今的挑戰(以及即將到來的挑戰)需要一種以智慧許可權控制為中心的進階統一方法,同時實現所有身分的無縫、安全訪問,並通過持續的威脅檢測和保護靈活地自動化身分生命週期。 這就是身分安全, 我們相信現在是擁抱它的時刻了。

CyberArk 擁有堅定的執行力: 在七月 CyberArk Impact 2022 上,我們宣佈了 特權存取管理、身分管理、雲特權安全和機密管理方面的新創新和重大進展,使組織能夠充滿信心地以更低的風險加速業務轉型。 呼應 CyberArk創始人,董事長兼首席執行官Udi Mokady所說,「我們才剛剛開始。」

立即下載免費報告瞭解更多詳情:

Gartner® Magic Quadrant™ 2022 年特權存取管理

 

1,2 – Gartner® Magic Quadrant™ 特權存取管理,作者:Michael Kelley,James Hoover,Felix Gaehtgens,Abhyuday Data,2022年7月19日
*GARTNER 為 Gartner, Inc.與/或在美國和其他國際地區的關係企業的註冊標誌和服務標誌,在此獲得許可使用。
保留一切權利。

Gartner 不為自家研究發布內容中的任何銷售商、產品或服務背書,也不建議技術使用者只選擇評分或其他方面表現最佳的銷售商。 Gartner 研究發布內容包括 Gartner 的研究機構意見,其不應闡釋為事實聲明。 Gartner 特此聲明,本研究內容不含任何明示或暗示保證,包括對適銷性、任何特定目的之適用性的保證。

]]>
數位身分如何驅動資安債,隱藏的轉型權衡 https://www.cyberark.com/zh-hant/blog/how-digital-identities-drive-cybersecurity-debt-the-hidden-transformation-trade-off/ Fri, 06 May 2022 14:09:38 +0000 https://www.cyberark.com/blog/%e6%95%b8%e4%bd%8d%e8%ba%ab%e5%88%86%e5%a6%82%e4%bd%95%e9%a9%85%e5%8b%95%e8%b3%87%e5%ae%89%e5%82%b5%ef%bc%8c%e9%9a%b1%e8%97%8f%e7%9a%84%e8%bd%89%e5%9e%8b%e6%ac%8a%e8%a1%a1/ Cybersecurity Debt Digital Identities

許多網路安全的概念很複雜,往往難以向非技術性受眾解釋。 Kerberoasting? Golden SAML? 嗯? 這使得安全領導者很難傳達緊迫感並獲得利益相關者對重要項目的支援。

讓企業利益相關者和消費者認識保護個人和專業數位身分的重要性,正是身分定義安全聯盟(IDSA)和國家網路安全聯盟立身分管理日(#IDMgmtDay2022)的原因 。 當您在 4 月 12 日著手開展意識建設計劃時,考慮從 「債務 」的角度來看待日益嚴重的數位身分問題 –這是一個既被普遍理解又令人恐懼的概念。

根據今天發佈的《CyberArk 2022 身分安全威脅情勢報告》*的調查結果,許多企業由於優先考慮數字計劃,例如加速雲遷移,開發新的數位服務和支持隨時隨地工作的模式,而推遲了以身分為重點的安全保護措施,從而 更深入地陷入資安債。

不斷上升的資安債能會阻礙創新和未來的成功

無論是大手大腳地去度個假,購買新房還是為客戶推出新的互動式應用程式,您都可以通過將“付款”推遲到明天來承擔債務,以獲得您今天需要(或想要)的東西。 但是,俗話說:「債務就像其他陷阱一樣:容易陷入,但很難擺脫。 ”

資安債是一種技術債務—這個術語首先由計算機程式師Ward Cunningham提出的,指重新設計一個從一開始就沒有完全或適當設計的解決方案的未來成本。 資安債具體是指隨著新系統和技術的不斷增加,在組織的IT環境中積累的未解決的安全漏洞。 當資安債沒有及時償還時(換句話說,如果安全問題沒有立即得到解決),“利息 ”就會迅速積累,使得在未來修復這些短板變得困難和昂貴。

陷入資安債的泥潭,最終導致用於維持企業生產和效率的專用資源減少。

企業數位化轉型的權衡

雖然波動性仍然是企業的最大商業挑戰,但不能選擇停滯不前。 幾乎每個接受調查的組織(99%)在過去12個月內都加快了業務或IT計劃,以推動持續的彈性和差異化競爭。

但是,尤其是在涉及大規模技術計劃時,變革性專案很少能在不引起波動性的情況下實現。 每一個專案都創建了大量新的相互關聯的數位身分——網路空間的虛擬身分證——每個身分都包含與之相連的人或機器的憑據。 這些數位身分用於促進交互和代理訪問,通常是訪問敏感的企業數據和執行工作或功能所需的資產。 —

threat landscape

一個高利息的數位身分債困境

威脅參與者或惡意內部人員只需一個受損的身分即可發起攻擊,並開始提升特權,以便更深入地進入一個環境中去尋找有價值的資產。 這可能就是為什麼受訪者將獲取憑據列為其第一大風險領域的原因。 然而,79%的受訪者表示,他們的組織沒有優先保護關鍵數據和資產。 相反,他們正在全力推進受訪者認為可能帶來重大風險的舉措。

這種不和諧的現象造成了大量的資安債,隨著「利息」以新的非管理的身分在每個主要的IT基礎設施元件中積累,這種債務還在繼續增加。

threat landscape

這個身分管理日,制定可行的回報計劃,以解決資安債

正如我們的個人生活一樣,一定程度的債務有時是必要的。 如果你的車壞了,你需要一輛車來上下班,你可能被迫貸款。 同樣,許多組織別無選擇,只能快速跟蹤能夠在大流行驅動的挑戰中保持運營的專案,並在此過程中進行一些安全權衡。

現在的關鍵是負責任地處理這一債務,以免餘額變得過於龐大,或者更糟糕的是,由於安全決策不佳而未能以技術變革的速度發展,導致組織面臨“破產”。

值得稱道的是,一些受訪者承諾要扭轉局面。 值得注意的是,幾乎所有受訪者都接受了什麼都不相信,驗證一切」的零信任網路安全模型。 其中一半(50%)的受訪者將身分安全工具的實施作為他們鋪平道路的三大舉措之一。

面對持續的勒索軟體攻擊和其他新出現的威脅,他們正在更全面地處理資安債和降低風險的能力—不僅強調重要的技術控制,如多因素身分驗證(MFA)和最小特權,而且還強調以人為本的舉措,如安全意識培訓,將安全意識行為 植入到他們的文化。 這種縱深防禦方法反映了一種普遍的「假設違規」心態,82%的受訪者表示他們已經接受了這種心態。

擺脫資安債需要時間,對於許多組織來說,還有很多工作要做。 制定基於風險的計劃可以幫助他們找到快速、高回報“付款”的方法,然後遵循可行的時程表來減少剩餘的資安債。 有了一個可靠的以身分為中心的風險計劃,組織可以有效地加強對新出現的威脅的防禦,同時推進關鍵舉措,以推動其業務向前發展。

若要瞭解更多資訊,請下載《CyberArk 2022 身分安全威脅情勢報告》。

*CyberArk 2022 身分安全威脅情勢報告》調查了全球所有私營和公共部門中至少500人及以上的組織的1750IT安全決策。

]]> 數位身分如何驅動資安債,隱藏的轉型權衡 https://www.cyberark.com/zh-hant/blog/%e6%95%b8%e4%bd%8d%e8%ba%ab%e5%88%86%e5%a6%82%e4%bd%95%e9%a9%85%e5%8b%95%e8%b3%87%e5%ae%89%e5%82%b5%e9%9a%b1%e8%97%8f%e7%9a%84%e8%bd%89%e5%9e%8b%e6%ac%8a%e8%a1%a1/ Fri, 06 May 2022 13:32:58 +0000 https://www.cyberark.com/?p=130759 Cybersecurity Debt Digital Identities

許多網路安全的概念很複雜,往往難以向非技術性受眾解釋。 Kerberoasting? Golden SAML? 嗯? 這使得安全領導者很難傳達緊迫感並獲得利益相關者對重要項目的支援。

讓企業利益相關者和消費者認識保護個人和專業數位身分的重要性,正是身分定義安全聯盟(IDSA)和國家網路安全聯盟立身分管理日(#IDMgmtDay2022)的原因 。 當您在 4 月 12 日著手開展意識建設計劃時,考慮從 「債務 」的角度來看待日益嚴重的數位身分問題 –這是一個既被普遍理解又令人恐懼的概念。

根據今天發佈的《CyberArk 2022 身分安全威脅情勢報告》*的調查結果,許多企業由於優先考慮數字計劃,例如加速雲遷移,開發新的數位服務和支持隨時隨地工作的模式,而推遲了以身分為重點的安全保護措施,從而 更深入地陷入資安債。

不斷上升的資安債能會阻礙創新和未來的成功

無論是大手大腳地去度個假,購買新房還是為客戶推出新的互動式應用程式,您都可以通過將“付款”推遲到明天來承擔債務,以獲得您今天需要(或想要)的東西。 但是,俗話說:「債務就像其他陷阱一樣:容易陷入,但很難擺脫。 ”

資安債是一種技術債務—這個術語首先由計算機程式師Ward Cunningham提出的,指重新設計一個從一開始就沒有完全或適當設計的解決方案的未來成本。 資安債具體是指隨著新系統和技術的不斷增加,在組織的IT環境中積累的未解決的安全漏洞。 當資安債沒有及時償還時(換句話說,如果安全問題沒有立即得到解決),“利息 ”就會迅速積累,使得在未來修復這些短板變得困難和昂貴。

陷入資安債的泥潭,最終導致用於維持企業生產和效率的專用資源減少。

企業數位化轉型的權衡

雖然波動性仍然是企業的最大商業挑戰,但不能選擇停滯不前。 幾乎每個接受調查的組織(99%)在過去12個月內都加快了業務或IT計劃,以推動持續的彈性和差異化競爭。

但是,尤其是在涉及大規模技術計劃時,變革性專案很少能在不引起波動性的情況下實現。 每一個專案都創建了大量新的相互關聯的數位身分——網路空間的虛擬身分證——每個身分都包含與之相連的人或機器的憑據。 這些數位身分用於促進交互和代理訪問,通常是訪問敏感的企業數據和執行工作或功能所需的資產。 —

Enterprise Digital Identities at a Glance

一個高利息的數位身分債困境

威脅參與者或惡意內部人員只需一個受損的身分即可發起攻擊,並開始提升特權,以便更深入地進入一個環境中去尋找有價值的資產。 這可能就是為什麼受訪者將獲取憑據列為其第一大風險領域的原因。 然而,79%的受訪者表示,他們的組織沒有優先保護關鍵數據和資產。 相反,他們正在全力推進受訪者認為可能帶來重大風險的舉措。

這種不和諧的現象造成了大量的資安債,隨著「利息」以新的非管理的身分在每個主要的IT基礎設施元件中積累,這種債務還在繼續增加。

Identity Security controls were largely absent from key IT environments

這個身分管理日,制定可行的回報計劃,以解決資安債

正如我們的個人生活一樣,一定程度的債務有時是必要的。 如果你的車壞了,你需要一輛車來上下班,你可能被迫貸款。 同樣,許多組織別無選擇,只能快速跟蹤能夠在大流行驅動的挑戰中保持運營的專案,並在此過程中進行一些安全權衡。

現在的關鍵是負責任地處理這一債務,以免餘額變得過於龐大,或者更糟糕的是,由於安全決策不佳而未能以技術變革的速度發展,導致組織面臨“破產”。

值得稱道的是,一些受訪者承諾要扭轉局面。 值得注意的是,幾乎所有受訪者都接受了什麼都不相信,驗證一切」的零信任網路安全模型。 其中一半(50%)的受訪者將身分安全工具的實施作為他們鋪平道路的三大舉措之一。

面對持續的勒索軟體攻擊和其他新出現的威脅,他們正在更全面地處理資安債和降低風險的能力—不僅強調重要的技術控制,如多因素身分驗證(MFA)和最小特權,而且還強調以人為本的舉措,如安全意識培訓,將安全意識行為 植入到他們的文化。 這種縱深防禦方法反映了一種普遍的「假設違規」心態,82%的受訪者表示他們已經接受了這種心態。

擺脫資安債需要時間,對於許多組織來說,還有很多工作要做。 制定基於風險的計劃可以幫助他們找到快速、高回報“付款”的方法,然後遵循可行的時程表來減少剩餘的資安債。 有了一個可靠的以身分為中心的風險計劃,組織可以有效地加強對新出現的威脅的防禦,同時推進關鍵舉措,以推動其業務向前發展。

若要瞭解更多資訊,請下載《CyberArk 2022 身分安全威脅情勢報告》。

*CyberArk 2022 身分安全威脅情勢報告》調查了全球所有私營和公共部門中至少500人及以上的組織的1750IT安全決策。

]]>
CyberArk 對 2022 年 1 月 Okta 入侵事件的看法 https://www.cyberark.com/zh-hant/blog/cyberarks-perspective-on-the-january-2022-okta-compromise/ Thu, 28 Apr 2022 15:36:13 +0000 https://www.cyberark.com/blog/cyberark-%e5%b0%8d-2022-%e5%b9%b4-1-%e6%9c%88-okta-%e5%85%a5%e4%be%b5%e4%ba%8b%e4%bb%b6%e7%9a%84%e7%9c%8b%e6%b3%95/ CyberArk Perspectives on Okta Breach

Okta 是一家身分和存取管理供應商,經證實它在 2022 年 1 月一次有針對性的網路攻擊中其第三方支援工程師之機器遭受入侵。 3 月 22 日,犯罪組織 Lapsus$ 在網上分享了一些截圖,隨後證實了此消息。 在此之前,還發生過其他涉及同一威脅者的知名事件。

這一事件發人深省地提醒我們,無一例外,我們都是目標 — 沒有絕招。沒有一家公司、解決方案或技術能夠單槍匹馬地阻止無情的攻擊者的創新手法。作為網路防禦者,我們必須在出現問題時公開快速地溝通,記住安全是一項「團隊運動」,然後以共同的使命和安全第一的心態共同前進。

下面的文章概述了迄今為止對此事件的瞭解,以及如果您的身分供應商(IdP)(無論您使用哪一個)受到損害時要採取的一些實際步驟。

Okta漏洞的簡要回顧

2022 年 1月,攻擊者入侵了 Okta 第三方支援工程師的端點,並獲得了對 Okta 客戶數據的存取許可權。此事很快被發現,但直到 2022 年 3 月 22 日 Lapsus$ 在網上發佈截圖後才公之於眾。Okta 隨後證實了這起數據洩露事件。這可能會對使用 Okta 單一簽入和身分提供者的客戶產生影響。

Lapsus$ 犯罪集團因其高調的目標和非常規的手段而備受矚目。儘管潛在的動機和損害的全部程度尚不清楚,但有兩件事是明確的:身分洩露在這些事件中是關鍵因素,所涉及的主要科技公司並不是唯一的預期目標。在 Okta 的案例中,Lapsus$ 特別傳達了他們實際上是針對 Okta 的客戶

如果您知道或懷疑您的身分供應商已遭到入侵,應立即採取的 4 個步驟

隨著惡意網路活動的增加,每個組織都迫切需要主動預防攻擊,強化系統併為潛在攻擊做好準備 — 無論它們是直接針對您的組織或是嘗試影響第三方供應商。

身分供應商應被視為第 0 層資產,並因此受到保護。如果組織的身分提供程式遭到入侵,或者您懷疑其已遭到入侵,則應立即採取以下四個步驟來最大程度地減少暴露和影響。

步驟 1:仔細檢查自報告的攻擊日期以來所做的配置更改。簡單的配置變更,即可能切換整個身分驗證流程,導致為攻擊者提供持持續的存取權限。請留意以下具體的入侵指標:

  • 任何新的 MFA 裝置部署或設備更改。
  • MFA 配置更改:例如,通過破壞身分和用戶密碼以禁用對某些應用程式的 MFA,威脅參與者可以在規避 MFA 的同時獲得對這些應用程式的完全存取許可權。
  • 身分提供程式 (IdP) 配置更改:如果 URI(SSO 解決方案與 IdP 之間的連接)和相關配置發生更改,則即使更改了使用者的密碼,威脅參與者也可以獲得對應用程式和服務的持續存取。
  • 密碼和 MFA 重置嘗試,特別是對於特權帳戶和管理帳戶。假設所有密碼重置嘗試(無論成功與否)都受到懷疑,並重置所有密碼。
  • 許可權和角色更改以及新用戶的創建。如果您的 IdP 解決方案提供基於風險的存取和基於異常存取的風險評分機制,請評估系統中的所有高風險事件和高風險使用者。這些事件可能是由於 IP、位置、設備或不可能的旅途等異常存取造成的,僅舉幾例。在目標應用程式本身中尋找這些變化很重要,在這些應用程式中創建的能夠直接登錄到目標應用程式的影子管理員更加困難,這些應用程式允許直接登錄到這些目標應用程式。如果您的組織使用身分治理和管理 (IGA) 平台,這是使用該平台身分驗證的好時機。

步驟2:查找任何無法識別或惡意的應用程式。如果威脅參與者有權存取 SSO 平台,他們嘗試添加惡意應用程式或替換現有應用程式,偽裝成合法應用程式。如果添加了新應用程式,則應啟用治理過程,例如審批過程或通知多個管理員。惡意應用程式在獲得使用者同意後,可能會濫用分配並委派其惡意應用程式存取許可權。例如,惡意應用程式可能會請求存取 Outlook 上的電子郵件閱讀或存取其雲的儲存空間。

步驟 3:實現最小特權,能大幅度減少威脅行動者通過獲取不同應用程式和服務的存取令牌(Access Token),所導致潛在損害和存取。考慮實施即時存取 (Just-in-Time) 和動態提升功能,以消除常備存取許可權,並檢查基礎的最小特權,例如從端點中刪除本地管理員。這也意味著為存取關鍵應用程式,實施 MFA 策略並符合最高認證保證級別(AAL3)的要求。

步驟 4:限制對來自特定和託管設備的敏感應用程式的存取,以説明限制對這些應用程式的存取,包括在 MFA 之上添加多存取條件,例如 IP 和設備運行狀況,作為兩個示例。還應遵循最小許可權管理做法,例如限制 RDP 及遠端存取至營運服務中心 (HelpDesk)和、特權存取管理解決方案 (PAM)、供應商特權存取和管理子網的遠端存取。

安全第一的前進道路

當今的威脅形勢需要安全第一的思維方式和全力以赴的努力。我們隨時準備與我們的安全夥伴和同行並肩作戰,在我們的使命中團結一致,保護和捍衛最重要的東西。

我們將繼續監測這一發展情況,並在獲得更多資訊時提供最新消息。欲瞭解更多詳情,請造訪我們的網站並參加線上研討會

如欲了解我們如何不斷提升自身的網路安全水準,請造訪CyberArk Trust Center

]]>
進退兩難:IT 服務台經理陷入密碼困局 https://www.cyberark.com/zh-hant/blog/between-a-rock-and-a-hard-place-the-it-help-desk-managers-password-dilemma/ Mon, 14 Jun 2021 14:38:07 +0000 https://www.cyberark.com/blog/%e9%80%b2%e9%80%80%e5%85%a9%e9%9b%a3%ef%bc%9ait-%e6%9c%8d%e5%8b%99%e5%8f%b0%e7%b6%93%e7%90%86%e9%99%b7%e5%85%a5%e5%af%86%e7%a2%bc%e5%9b%b0%e5%b1%80/ IT Help Desk Password Support

週六夜現場的忠實觀眾應該會記得尼克‧伯恩斯(Nick Burns) – 別名「您公司的電腦專家」。這是 2000 年初期由吉米‧法倫(Jimmy Fallon) 所扮演的一個非常受歡迎的重要配角。

尼克身上總是掛著一個口袋護套及一個神氣的呼叫器,在一間大企業的辦公室裡大搖大擺地巡視,回答有關 IT 支援的問題,並用譏諷的口吻嘲笑他那些「技術白痴」般的客戶 – 也就是公司內部員工 – 永遠無法正常操作印表機,也聽不懂 JavaScript 笑話。每當他衝進工作站解決問題時,一定會喊出這段小品的招牌金句「讓開!」,然後當他在數秒之內火速解決問題時,少不了說一句「這很難嗎?!」。

雖然尼克的性格與現今的 IT 服務台經理的業務關鍵角色相去甚遠,但今天許多擔任此職位的人員仍會對他每天面對的大量工單感同身受。即使是個性最樂觀開朗的人,在一次又一次處理相同的問題之後也會感到挫敗。而這些問題大多數與密碼有關。

「好,一個一個來。我的腦容量沒辦法壓縮!」

雖然尼克的 Outlook 6.0 和32 位處理器 LC-475 Mac 時代早已過去,但密碼在 20 年後的今天仍然存在,組織仍依賴它來驗證企業用戶身份。

隨著數位化創新步伐的加快,許多組織正以令人目眩的飛快速度採納新技術。每個新的企業應用程式或工具都會形成一個新的身份孤島,實行各自獨有的密碼管理要求(例如複雜度及輪換頻率)。

企業用戶必須對這些新系統重複驗證身份,以及維護(還要記住!)大量複雜密碼的需求都令服務台專業人員頭痛不已。他們不僅負責配置用戶身份,還要管理數百個(甚至數千個)公司帳號, 以及隨後排山倒海而來的密碼重設請求及帳號封鎖問題。

讓我們用一些產業估計值及簡單的計算量化這個龐大的密碼問題:

  • 每次呼叫服務台重設密碼的「整體」成本介於 40 美元至 50 美元之間:我們取 45 美元為平均值。
  • 據估計,在 COVID-19 疫情導致許多員工在家上班之前,每個企業用戶每年聯絡服務台處理 6 至 10 個密碼相關問題。因此,以一年 261 個工作日乘以每天工作 8 小時計算,相當於一年 2,088 個工作小時平均通報 8 次問題。換句話說,每工作 261 小時就會向服務台通報一個密碼問題。
  • 而如今,自從廣大的勞動力轉為遠距工作之後,美國知識工作者的一天平均工作時數已從8 小時延長至 11 小時。這意味著一年的總工作時數為 2,871 小時(一年 261 個工作日乘以每天 11 小時), 比「平常」多了 783 小時。這也表示每人平均通報多 3 個密碼相關問題。
  • 根據此數據,CyberArk 估計一家擁有 1,000 名員工的大型企業 ,每年須花費 495,000 美元解決密碼問題。(每人 11 個與密碼相關的服務台請求 x 每個請求 45 美元 x 1,000 個用戶。)

時間和資源早已捉襟見肘的 IT 服務台管理員不再專注於策略性的營運計劃,而是為解決密碼問題、履行服務級別協議(SLA)及應付沮喪的用戶而超時加班。

「別告訴我你的密碼是你家狗狗的名字…讓開!」

人類不擅於選擇高強度密碼,這早已眾所週知。他們往往會選擇過於簡單、普通、重複或共用的密碼。事實上,員工會在平均 16 個公司帳號中重複使用同一密碼。雖然使用密碼管理器解決此問題的做法很誘人,但並非全無風險。再者,密碼管理器無法管理何人可存取哪些敏感資源及設定存取時限。

攻擊者知道許多組織仍然只依靠一種驗證方法(例如一組憑證)保護對各種系統與工具的存取。若再結合使用允許廣泛存取許多系統與應用程式的單一登入做法,尤為危險。

他們很清楚,他們只需竊取或侵佔一個企業身份(任何一個)的憑證便能取得立足點,然後再升級該特權以獲取高價值資源。在今天,67% 的資料外洩事件是由憑證盜竊(使用盜取的密碼或弱密碼)及社交攻擊引起。

然而,當 IT 團隊為了安全起見實施更強大的身份驗證方法時,員工通常會發展出投機取巧的方法規避這些控制措施,或者為了保持生產效率而完全避免使用公司批准的系統及應用程式。

84% 的 IT 服務管理專業人員認為在未來三年內,IT 工作將變得更舉步維艱。這是有理可循的 – 因為他們發現自己已在盡可能確保所有系統及資料安全與保持團隊生產力之間陷入進退兩難的困境。

與其一次又一次重設密碼,不如考慮完全停用密碼

有先見之明的 IT 安全及服務台團隊可採用整合無密碼身份驗證方法的 零信任安全模型,在這兩者之間取得適當平衡及取回部分控制權。

藉由分層實施雲端單一登入(SSO)自適應多重要素驗證(MFA),這些團隊可克服普遍存在的密碼挑戰並確保用戶身份屬實,同時提供快速、反應敏捷且簡化的權限存取他們所需的一切。

根據情報及情境運作、以風險為基礎的存取權便可派上用場。借助機器學習及情境信號(包括用戶數據、裝置數據及活動數據),組織可根據歷史模式自動分析存取請求,為每一個登入嘗試分配風險度,並建立由異常行為觸發的存取政策。

此外,IT 服務台團隊可透過為員工提供自助服務機會來減輕自己的工作負荷,自動執行耗時的作業,並重新專注於保持業務營運及獲利的高影響力工作上。

正如尼克‧伯恩斯臨走前的那句經典老話:「噢,順道說一句…不客氣!」

]]>
採用單一登入加強身份安全的四大理由 https://www.cyberark.com/zh-hant/blog/four-reasons-to-strengthen-identity-security-with-sso/ Thu, 10 Jun 2021 16:56:49 +0000 https://www.cyberark.com/blog/%e6%8e%a1%e7%94%a8%e5%96%ae%e4%b8%80%e7%99%bb%e5%85%a5%e5%8a%a0%e5%bc%b7%e8%ba%ab%e4%bb%bd%e5%ae%89%e5%85%a8%e7%9a%84%e5%9b%9b%e5%a4%a7%e7%90%86%e7%94%b1/ Strengthen Identity Security with SSO

雖然大家普遍認為「邊界已死」,但眼前的現實使許多組織不得不加快原先的計劃,升級其安全做法。

以防火牆與虛擬私人網路為基礎的傳統安全模型根本無法保護今日高度分散的 IT 環境。隨著組織採用雲端及混合基礎設施、使用越來越多的軟體即服務應用程式,並且鼓勵員工遠距工作,顯然身份才是唯一真正的邊界。如今,有效的企業安全措施須仰賴安全管理和驗證身份以及控制每個人員、應用程式及機器特權存取的能力,無論他們處於網路邊界之內或之外。在現今環境下,所有身份都可能憑藉某些條件獲得特權,這取決於他們存取的系統、環境、應用程式或資料或他們執行的作業類型。

密碼的隱憂

在此背景下,網路犯罪份子鎖定特權用戶憑證為首要目標也就不足為奇了,因為這類高級別憑證可用來存取組織最關鍵的資料及基礎設施。根據2020 年 Verizon DBIR 報告,超過 80% 與駭客有關的資料外洩事件涉及使用遺失或被盜取的憑證或暴力破解。侵佔特權憑證之後,攻擊者可存取內部資源、獲取機密資料及干擾業務運作。然而,許多組織仍舊依靠密碼來保護用戶憑證。這是一項隱憂,其中的原因很多。

微軟服務每天遭受超過3 億次欺詐性登入嘗試 ,而且,仍有 53% 的用戶在過去 12 個月內未更換過密碼。即使他們更換過,新密碼往往不夠強,或同一密碼用於多處。根據 Google 的一項研究,52% 的用戶使用相同的密碼來操作其多個帳號。

當然,許多組織已採取一些措施來保護身份,例如強制使用唯一密碼、要求頻繁變更密碼及執行密碼複雜度政策。事實上,這些控制措施弊大於利,因為它們會驅策最終用戶採用危險的密碼做法(例如將它們寫下來!),並為忙於手動管理存取權的 IT 團隊帶來不必要的負擔。

記住、忘記、輸入及重設密碼不僅超級麻煩, 更會嚴重拖垮生產力。尤其在現今的遠距工作 時代,員工及第三方供應商都極度依賴應用程式進行協作及存取公司資源。在今天,一名員工每週平均浪費大約12.6 分鐘輸入及重設密碼。PwC 的一項研究也發現,大約 30% 的服務台支援電話與密碼有關,寶貴的 IT 資源並未使用在更有策略價值的計劃上。根據幾項簡單的計算,每位員工使用密碼帶來的生產力成本約為每年 725 美元。

立即將單一登入加入安全工具套件的四個理由

單一登入(SSO)可解決此普遍存在的密碼問題並縮小攻擊面,這是因為它可幫助組織:

1. 一致實行更強大的密碼政策 – 藉由完全摒除個人密碼的需要,也可降低養成不良密碼習慣的風險。借助單一登入,組織可對所有應用程式、終端及資源使用單一的安全身份。

2. 提升最終用戶體驗 – 讓本機及遠端用戶能夠一鍵存取指定的雲端及本地應用程式。為了協助員工保持工作效率並與業務營運速度並進,有些單一登入解決方案只針對高風險的特權存取請求實施額外的安全控制。

3. 消除身份孤島並簡化用戶與帳號管理 – 與目錄無縫整合即可做到這一點。

4. 用戶的存取活動全面可見 – 有助滿足存取權方面的合規要求、簡化報告並改善整體安全態勢。

並非所有單一登入解決方案都能發揮同等效益

單一登入的直接優點顯而易見:藉由加強身份安全控制,組織可降低風險、提升用戶體驗並簡化對企業資源的存取,同時減輕 IT 部門的負擔。

然而,實施單一登入解決方案還可讓組織實現其它更多長期效益,而一開始討論時常會忽略。例如借助正確配置的自助服務工具,公司可減少與密碼相關的服務台工單及支援來電數量,進而大幅降低 IT 成本。此外,單一登入可消除在員工更換職務或離職之後帳號仍保持有效的可能性。合適的單一登入解決方案甚至可將安全功能擴展至密碼以外,加入多重要素身份驗證 (MFA)及無密碼身份驗證方法。

請參加我們的隨選播放網路研討會「單一登入解決方案的延伸優點」,探索現代單一登入的優點及重要考量,它將協助您為組織選擇最理想的解決方案。

 

 

 

 

]]>
您為何需要身份安全 https://www.cyberark.com/zh-hant/blog/what-is-identity-security/ Wed, 26 May 2021 18:54:38 +0000 https://www.cyberark.com/blog/%e6%82%a8%e7%82%ba%e4%bd%95%e9%9c%80%e8%a6%81%e8%ba%ab%e4%bb%bd%e5%ae%89%e5%85%a8/ What is Identity Security

經過多年的發展,我們消費者早已認定數位體驗必然是簡易、快速、直覺化且高度個人化的。近年來,為了滿足這些不斷增長的需求並贏得競爭優勢,公司均加倍投資於雲端技術及服務。這股勢不可擋的趨勢在 2020 年更是加快十倍,這一年,無論是工作、學習、購買產品和服務的方式以至互動方式,我們的生活幾乎每一方面都發生了巨大的變化。

就如近期一份 Accenture 報告所述:「全新的體驗正在醞釀之中」,隨著組織比以往更著重於提供非凡的最終用戶體驗,數位轉型已然成為市場主流。這種快速的創新趨勢再加上支援分散式勞動力的技術複雜性,已導致各種業務應用程式及雲端工作負載的身份數量、種類及互連程度呈倍數成長,進而瓦解曾經清楚劃分「內」和「外」界線的實體及網路安全屏障。

條條大路通向身份

幾年前,一般認為特權只能由小部分用戶(主要為 IT 管理員)持有;但在現今環境中,任何身份(無論是客戶、遠距員工、第三方供應商、裝置或應用程式)都可能在特定條件下獲得特權,進而變成取得組織最寶貴資產的攻擊途徑。

威脅環境的幾個新情勢包括雲端主控台存取、過多的雲端權利及內嵌式開發維運及應用程式金鑰所帶來的嚴峻危機。自然,攻擊者也完全知道其中有機可乘:一項IDSA 研究 發現,過去兩年有 79% 的企業曾發生與身份有關的資料外洩事件。近期的SolarWinds 數位供應鏈攻擊 與其他許多事件一樣涉及身份盜竊及特權存取濫用。

面對這些現代威脅,身份顯然已成為新的資安戰場,秉持基於零信任原則的「假定入侵」心態已成利害關鍵。不過,網路攻擊或許無可避免,我們卻能避免攻擊對業務造成損害。

身份安全讓您勇往直前而無後顧之憂

今天,我們推出新的身份安全產品,能與 CyberArk 身份安全產品組合相輔相成,展現我們為實現願景持續不懈創新的成果。

在對此功能強大的新訂用、程序及工具套件的問世感到雀躍之餘,我們認為有必要先行明確解釋我們對「身份安全」的定義。

CyberArk 身份安全做法以特權存取管理為核心,專門保護個別人類或機器身份在整個存取關鍵資產過程中的安全。

這就需要準確驗證身份,授予該身份適當的權限,並根據一定的系統和調理,為身份提供特權資產的存取權,並且所有操作均可稽核(或歸責),確保整個過程正當合理。借助CyberArk 身份安全,組織可確保任何裝置在任何位置及適當的時間點安全存取,安全性與生產力不會顧此失彼。

現在,您可能會問:「這與零信任有何不同?」

零信任不是一個解決方案或技術,而是一種以「永不信任、始終驗證」原則為核心精神的安全做法。此做法將會確認每一用戶的身份、驗證其裝置並運用智慧方式限定他們只能存取所需資源,存取權不再需要時即行移除。將此模型付諸實行的 Identity Security(身份安全)可提供一組實現零信任基本必備的技術。

最完整、最靈活的身份安全功能組合

安全早已深植於 CyberArk 的基因之中,作為特權存取管理市場的先驅者及領導者,我們的優勢地位可應對特權特性的急速變化,協助組織採納依風險調整的策略,防禦涉及身份的攻擊。

我們採取人工智慧驅動,可消除因用戶多次存取系統對其重複要求重新驗證所產生的摩擦及危險習慣,既能提供強力安全保護,也能做到出色的最終用戶體驗。為此,我們使用即時情報及分析功能分辨善惡,並授予即時所需的權限。在潛在威脅造成危害之前加以遏制、解除及修復。

除了強大的身份保障之外,我們也為組織注入加快轉型步伐所需的自信及敏捷性,以實現可提升客戶忠誠度的超凡體驗以及可衡量的業務影響。

實現成功身份安全的路線圖

身份安全可讓組織因為最重要資產受到周全保護而高枕無憂。不過,好的開始也只是成功的一半。

CyberArk 藍圖借鑒 CyberArk 實驗室團隊從多年的實務客戶參與及尖端研究獲得的最佳實踐做法,是實現成功身份安全的最佳實踐框架。無論您當前的重心在於保護地端基礎設施的存取安全、靈活的軟體開發方法或新的數位轉型計劃,在規劃進程時都可善用 CyberArk 藍圖。

]]>
SolarWinds 攻擊鏈解析 https://www.cyberark.com/zh-hant/blog/the-anatomy-of-the-solarwinds-attack-chain/ Wed, 26 May 2021 18:50:35 +0000 https://www.cyberark.com/blog/solarwinds-%e6%94%bb%e6%93%8a%e9%8f%88%e8%a7%a3%e6%9e%90/ The Privilege Pathway

想像一下,現在有個攻擊者正潛伏在您的網路中。您有能力在損害產生之前找出攻擊者並做出反擊嗎?現在,想像您的對手擁有可存取 IT 環境內幾乎每個檔案及系統的特權,並可隨時偽冒任何人類、應用程式或機器身份。您是否能發現在暗處藏匿的攻擊者?

這些只是安全團隊在發生SolarWinds 大規模攻擊 之後捫心自問的許多問題之一,攻擊取道數位供應鏈,足足影響全球 18,000 多家企業組織。

儘管攻擊的細節及內情仍在陸續揭露,但可以確定盜用身份及操縱特權存取 便是這次攻擊得逞的關鍵。研究攻擊者使用的戰術、技術及程序(TTP)如何達到《華盛頓郵報》 形容的「等同潛入美國國務院並列印完美偽造的美國護照的電腦網路」,值得汲取的寶貴經驗甚多。

我們邀請 CyberArk 實驗室主任 Lavi Lazarovitz 協助我們解構這場攻擊,讓組織更了解其所面臨的挑戰並確定降低最大風險的優先要務。若想要深入探討其技術面並獲取減輕風險的指引,請參加我們 3 月 18 日的網路研討會,並在 4 月 22 日時探討「Solorigate」這類重大資料外洩事件對防禦者及攻擊者的意義何在,瞭解大局(美國註冊報名歐洲/中東/非洲註冊報名及亞洲太平洋地區註冊報名不日開放!)。

解構 SolarWinds 攻擊的三個主要階段

事件開端

2020 年 12 月上旬,幾個組織在數日之內陸續發現及通報其網路出現安全漏洞。安全及威脅分析師很快便拼湊出問題的全貌,因為這些公司的初始立足點完全相同:對熱門基礎設施監控與管理平台– SolarWinds Orion的更新暗藏木馬程式。很快地,許多其他組織及政府機構也發現類似的感染跡象。

但為何是 Orion 呢?Lazarovitz 解釋:「因為它的連接無所不在,從交換器和路由器到防火牆、虛擬化基礎設施、Active Directory及儲存管理工具等等。這些連接都依靠憑證完成,而且大多數是高特權憑證。簡言之,Orion與企業內各個區域都有「掛鉤」,因而成為攻擊者的完美目標。」

攻擊第 1 階段:感染 Orion 軟體流程

儘管尚不確定攻擊者一開始如何感染 SolarWinds Orion,但從媒體報導的鑑識證據顯示在發動攻擊之前,他們曾花費心思學習公司的程式碼結構和術語。他們如何設法進入無關緊要,因為威脅發動者(尤其是資源豐富的國內攻擊者)總能找到一個侵入的方法。這也是防禦者始終必須「假定入侵」的原因。

為了在組織內取得立足點,威脅發動者侵入測試、包裝、容器化及簽署程式碼的 CI/CD流程之「心臟」,然後成功更改 SolarWinds 的原始碼。攻擊者部署惡意軟體(即現在臭名昭著的「SunSpot」),以高特權運作並掃描尋找 Orion 版本。

極其精密且不會驚動開發人員或工程師的惡意軟體將原始檔案程式碼名稱變更(稍作更動)以部署後門程式。程式版本更新後,後門程式碼便會被刪除,並恢復原始檔名。

Lazarovitz 強調該操作頗為複雜,並指出:「攻擊者必須關閉程式碼的警告並確保惡意程式的部署滴水不漏。」要做到船過水無痕並不簡單。

這些內情的曝光促使許多組織重新檢驗本身 CI/CD 流程的安全性,尤其是流程編排工具及基礎設施管理器,因為這些資產包含大量特權存取權限。這些組織要求他們的供應鏈供應商也採取同一做法。

攻擊第 2 階段:鎖定 SolarWinds 客戶為目標

蟄伏大約兩週之後(故意暫停行動,幫助攻擊者掩飾蹤跡),惡意程式載體開始進行偵察及維運安全檢查。

其中一項檢查是為了找出與可能揭露執行中的惡意軟體的特定終端安全代理程式及鑑識工具連結的雜湊值。若發現此「檢查清單」上的代理程式或工具,惡意軟體將嘗試終止該代理程式或(若未能成功則)暫停本身運作。

但是,如果惡意軟體未找到這些特定的雜湊值或成功終止它們,將進入下一階段:回報,從 C&C 伺服器分派指令並停用所有脆弱的終端安全代理程式。

Lazarovitz解釋說:「通常,惡意軟體在感染初期擁有的特權級別便可決定最終是終端受感染或是整個網路被接管。」在所有終端上實施最小特權原則有助防止橫向移動,讓攻擊者更難得手。但是,當數位供應鏈遭受攻擊時,惡意軟體到達每個 Orion 客戶組織時已經持有更高級別的特權。

若從事後諸葛的角度,保護 Orion 憑證資料庫的憑證盜竊防護政策可能已減慢攻擊速度,因為它迫使攻擊者使用會增加曝光機會的工具及技術。

但事實是,「攻擊者一旦進入,Orion 的特權憑證即唾手可得,而且幾乎一定會在下一階段的攻擊中使用。」Lazarovitz 指出。

攻擊第 3 階段:特權升級至高價值目標

根據報告,攻擊者很可能已收集儲存在 Orion 資料庫內的憑證,例如 Active Directory、防火牆、基礎設施及網路管理軟體等傳統第 0 層資產。這可幫助特權迅速升級。有了這些強大的憑證,威脅發動者可立即掌控整個目標網路。

「此時好戲才要開始上演。」Lazarovitz 說道。攻擊者開始採取行動建立持久性,他們擁有足夠的特權,不僅可增設一個後門帳號,全體可信任租戶都在其掌控之中。這使他們可以透過新的可信任租戶帳號持續存取目標網路的應用程式、服務和資料。此外,它完全不受組織可能變更密碼的影響,攻擊者還可完全規避多重要素驗證。

為做到這一點,需要混合使用多種複雜精密的方法,特別是 Golden SAML 技術

攻擊者使用高特權憑證成功存取及操縱受害組織的 SAML令牌簽章證書,並偽造數位 SAML 令牌,以取得對地端及雲端環境內幾乎任何系統及應用程式的單一登入存取權。由於 SAML 令牌簽章證書幾乎從未變更,攻擊者可在網路內長時間潛伏也不必擔心被發現,最終達到預期目標。

「Golden SAML 技術突顯一個事實:如果身份提供者的主要金鑰被盜用(例如 Active Directory Federation Services),威脅發動者將可「擁有」身份資訊來源並成為自己的身份提供者。他們可假冒任何所需的用戶,無論用戶密碼及特權級別為何、是否實施 MFA。」 Lazarovitz 表示。他強調實施強大身份安全政策與控制以限制對第 0 層系統的特權存取、減少暴露並及早啟用偵測的重要性。

CyberArk 實驗室於 2017 年發現 Golden SAML 技術。有關該技術的相關詳情,請造訪CyberArk 威脅研究部落格

正確的心態:「假定入侵」思維模式

絕大多數的網路攻擊都涉及盜用身份及操縱特權存取。 SolarWinds 資料外洩事件也不例外。

隨著傳統網路安全壁壘式微,更彰顯出「假定入侵」思維模式的重要性。假定您網路內的任何身份(包括人類或機器身份)都可能遭受入侵,可讓您的注意力投向辨識、隔離並遏阻威脅者侵佔身份及取得特權,免其為非作歹。

 

]]>
從數字看疫情期間網路犯罪 https://www.cyberark.com/zh-hant/blog/pandemic-cyber-crime-by-the-numbers/ Wed, 26 May 2021 18:41:27 +0000 https://www.cyberark.com/blog/%e5%be%9e%e6%95%b8%e5%ad%97%e7%9c%8b%e7%96%ab%e6%83%85%e6%9c%9f%e9%96%93%e7%b6%b2%e8%b7%af%e7%8a%af%e7%bd%aa/ Cybersecurity Stats

將近一年前,世界發生一場翻天覆地的巨變,COVID-19 全球大流行疫情幾乎改變了一切。那時,所有企業員工都返回家中辦公,雲端採用率直線上升,數位轉型已成為大規模業務營運的當務之急。值此多事之秋正是攻擊者的「大好機會」,這一點已廣泛反映在網路犯罪的數據上。

如今一年將至,讓我們來回顧在這段前所未見的動蕩時期最令人瞠目結舌的一些產業資安統計數據。

爆炸性成長的攻擊事件

在封城後的六週內,世界衛生組織(WHO)警告有詐騙者假冒 WHO,利用疫情帶來的恐慌及不確定性伺機作案,同時也直接鎖定世衛組織系統及員工為目標,犯罪事件比 2019 年同期成長五倍。

儘管大多數攻擊者仍一貫採取最常用且經實證有效的攻擊手法 – 網路釣魚及盜用身份 – 但攻擊數量之多令人震驚,無數受害者在注意力分散、毫無所悉及未做好準備的情況下上鉤。TechRepublic 報告指出,僅僅在 2020 年 3 月,魚叉式網釣攻擊事件便暴增 667%,到了 4 月,FBI 統計網路攻擊數量增加了 400%。

正當全球迅速爆發危機之際,勒索軟體攻擊事件也激增 800% ,促使國際刑警組織向一線醫療機構發出威脅日益嚴重的警告微軟的研究人員也警告,犯罪集團使用Robbinhood、Maze 和 Revil 等流行病毒進行「長尾」攻擊,等待數週、甚至數月部署勒索軟體,將大量高價值資料解密,並索取數百萬美元的巨額贖金。

同時,隨著組織加速採用雲端以滿足客戶需求及支援分散各地的員工團隊,一月至四月期間的雲端攻擊足足增加了 630%,主要鎖定 Microsoft 365 等服務,且通常涉及憑證盜用。

這些攻擊從未停息:百分之 70 在公有雲上託管資料或工作負載的組織曾在過去一年經歷資安事件,多雲端組織通報的事件比單一平台組織多出一倍。

據 Ponemon Institute 估計,與遠距工作相關的新風險與挑戰將導致 2020 年的資料外洩全球平均總成本增加 13.7 萬美元,每次事件的平均總成本高達約 400 萬美元。

若進一步細分,醫療保健業的平均成本最高,每次資料外洩約為 713 萬美元;美國的國家平均成本為 864 萬美元,居全球之冠。

個人身份資訊(PII)的單位成本最高,每筆資料為 150 美元。同時據德勤公司(Deloitte)指出,姓名和信用卡資料等基本 PII 可在暗網上以 0.10 美元或更低的價格批量出售。

數位盔甲上的裂縫

全球疫情為世界帶來的巨大轉變讓所有人措手不及。就在一瞬間,組織被迫倉皇加快步伐,連接住家辦公室的網路、支援新裝置及確保新的協作工具儘快上線。安全問題往往留到事後解決。同時,遠距員工也在想方設法從家中完成工作。很快地,以保持生產力為藉口的安全變通方法便成了他們危險且長期的習慣。

根據Malwarebytes的報告,20% 的公司表示他們的安全漏洞由遠距員工造成,24% 的公司在全球進入隔離區之後,在資安漏洞或惡意軟體攻擊方面花費未列入預算的資金。

那麼,一切是從哪裡開始崩塌的?事實證明–幾乎每一處都有。讓我們來檢視數位盔甲上的其中一道「裂縫」。

裝置的一機多用

2020 年第四季的 CyberArk 遠距工作現狀調查發現,69% 的遠距員工將公司裝置作個人使用。更糟的是,57% 的員工承認讓其他家庭成員使用他們的工作裝置進行購物、遊戲或學業等非工作活動。自從 CyberArk 2020 年春季進行一個類似調查至今,這種危險的裝置共用活動已幾乎翻倍成長。

據估計,每 36 個移動裝置便有 1 個安裝高風險應用程式。當員工在其裝置上從事工作及休閒活動時,這些安全漏洞便為攻擊者提供潛在入口,以竊取憑證並在組織內取得立足點。攻擊者正積極鎖定這些 Web 應用程式:2020 年 Verizon 資料外洩調查報告指出,Web 應用程式入侵事件的百分比高達 43% ,比去年同期成長兩倍。其中 80% 以上的案例使用竊取的憑證。

簡而言之,員工越頻密使用個人裝置進行工作(或使用工作裝置進行個人活動),對組織構成的風險越大。此情況仍在持續,而且比比皆是。

但是,即使遠距員工已遵循最佳安全實踐做法並嚴守公司協定,也很難在大量合法的工作電子郵件之中發現一封詐騙郵件。CSO報告有 94% 的惡意軟體透過電子郵件發送,而且通常經過精心偽裝。

所以,我們能做些什麼?

每 39 秒便有一次網路攻擊。到了 2021 年,網路犯罪的一年損失總額估計為 6兆美元,而今年的全球勒索軟體損失總額估計為 200億美元。

根據Ponemon Institute指出,儘管人們的認知度不斷提高,但 2020 年發現一次資料外洩事件的平均所需時間仍長達 207天。接著,從發現到遏制平均還需要 280 天,足以讓攻擊者破壞或傷害企業組織。

墨菲定律說「凡是可能出錯的事總會出錯。」這便是假定您已被入侵並專心投入阻斷攻擊鏈如此重要的原因。這意味著您必須辨識、隔離並遏阻威脅者侵佔身份及取得特權,免其為非作歹。

在善惡對決的數位世界裡,需要做的事還很多,卻沒有足夠的網路安全專業人員去執行。Cybersecurity Ventures估計,到了 2021 年將有 350 萬個網路安全職缺。為了滿足不斷提高的需求及解決網路安全勞動力短缺問題,全球勞動力還需擴充 145%。

根據 ESG 和資訊系統安全協會的一項近期研究,此人力短缺問題將會越來越嚴重。該研究顯示,70% 的網路安全專業人員表示他們的組織從工作量增加、職位空缺及專業人員無法充分學習或運用網路安全技術等現象感受到技術短缺的影響。此外,這項研究中有 18% 的網路安全專業人員從事此領域的工作長達三年或以下,並且大多從 IT 專業人員做起。

ESG的結論是,從整體環境著手有助於縮小此差距,因此應從公立學校開始提供持續的網路安全教育,並隨著網路威脅的不斷進化發展,為新進及資深專業人員提供職涯規劃、計劃與發展。

無論情勢有多急迫,這件事也不可能一蹴而就。

既然沒有超級英雄隨時出動拯救世界,組織必須學會像攻擊者一樣思考,並認定其系統已經被入侵,而不是假設(或希望)能倖免於難。這沒有聽起來那麼嚴峻:調整心態及抱持積極主動的態度便是邁向更強大安全態勢最關鍵的第一步。

]]>
2021年網路安全趨勢:個人化攻擊鏈開始橫行肆虐 https://www.cyberark.com/zh-hant/blog/2021-cybersecurity-trends-the-emergence-of-the-personalized-attack-chain/ Thu, 07 Jan 2021 14:28:04 +0000 https://www.cyberark.com/blog/2021%e5%b9%b4%e7%b6%b2%e8%b7%af%e5%ae%89%e5%85%a8%e8%b6%a8%e5%8b%a2%ef%bc%9a%e5%80%8b%e4%ba%ba%e5%8c%96%e6%94%bb%e6%93%8a%e9%8f%88%e9%96%8b%e5%a7%8b%e6%a9%ab%e8%a1%8c%e8%82%86%e8%99%90/ Cybersecurity Trends 2021

若不重溫#2020 迄今種種流年不利,就很難展望 2021 年到底會如何。當然,歷史必會記住今年的兩件大事:COVID-19 疫情和美國總統大選。從商業角度來看,組織運作的方方面面幾乎無一不受這場全球流行疫情所影響。從快速轉向遠距工作模式至全盤重新思考客戶動態的每一層面,商業世界已經歷巔覆和巨變。

這些變化也導致各種產業的數位化步伐急劇加速。許多組織在 5 個月內快馬加鞭完成 5 年的轉型計劃,迅速採納技術來促進其生產力的提高與業務持續性。無論是導入新的協作工具或將關鍵基礎設施及應用程式遷移至雲端,所有資源都比以往更分散,攻擊者也更有機可乘。

展望 2021 年,這些讓人始料未及、無法想像的外力及事件對未來 12個月的網路安全會有何影響呢?

就此,我向幾位公司內部的專家請教,以下是他們的建言:

個人安全孤島已改變攻擊者的思維

隨著越來越多公司著眼於長期性的遠距工作策略,分散式 IT 環境只會繼續擴展。由於許多員工在家中工作,他們經常透過不安全的家庭網路及個人裝置存取公司系統與資源,導致每個用戶各自形成孤島,傳統安全控制措施也不再有效。個人行動對企業安全構成比以往任何時候更大程度的威脅。

我們發現,這些安全孤島的形成已導致攻擊週期從大規模的「撒網式」社交工程攻擊轉為超個人化的攻擊,專門鎖定具備敏感系統、資料及基礎設施特權存取權的用戶。

依賴橫向移動的攻擊者一般會尋找任一立足點及設法升級存取權限,然後在整個網路移動以逞其意圖、到達其目的地,如今出現的用戶孤島,使攻擊者將目標範圍縮小至獲授予高階存取權限的特定對象。因此,我們已觀察到一股垂直移動的趨勢–攻擊者根據企業用戶等個別人員有權存取的內容 – 從管理主控台和財務記錄至競爭者分析資料 – 設定他們的目標對象。

雖然對攻擊者而言,「個人化攻擊鏈」的新做法需要耗費更多時間及成本去識別及分析明確的攻擊對象;但同時也會縮短攻擊週期,讓組織更難以在業務遭受衝擊之前發現及攔阻攻擊。

– 紅隊服務總監 Shay Nahari

深偽技術在企業攻擊中崛起

有沒有哪項技術可能過度泛濫 成為新興的安全威脅?深偽技術正是如此,這個名詞目前非常火熱,也是攻擊者進一步將攻擊個人化的武器。

簡言之,深偽是經過合成或人工修改的媒體,將影片或圖像中的人物移花接木成其他相似的人。從文化的角度來看,深偽概念已主導新聞週期,儼然成為一種可能影響公眾輿論、損害聲譽等的潛在威脅。這些攻擊往往會成為熱門話題,實效卻很有限。

但是,隨著個人攻擊鏈趨勢的發展,我們將看到深偽技術在企業攻擊內更廣為使用,不一定是為了釀成大波混亂或動蕩,其更多是用來加深社交工程攻擊的效果。

例如,高階主管及企業領導者的影片及錄影可透過行銷資料、社群媒體等管道輕易取得。攻擊者可併用深偽技術,作為網路釣魚跟進嘗試的策略之一(也可從電子郵件轉移至聊天及協作應用程式等其他平台),讓經過造假的通訊更有真實感。特別是在當今時局中,越來越多組織依靠影片作為企業高階主管及其遠距員工之間的溝通方式,這種媒介極受信賴,使攻擊者有機可乘。

例如,網路釣魚電子郵件哄騙 IT 人員提供密碼司空見慣,但如果該電子郵件隨後附上一則執行長在 WhatsApp 上發出的緊急訊息呢?攻擊者還可在社群通道上利用經過造假的高階領導人影片誘使客戶、員工、合作夥伴及其他人點擊惡意連結,進而為惡意份子製造更多新的攻擊途徑。

– CyberArk 實驗室網路研究小組負責人 Nir Chako

5G 將引發空前最大規模的 DDoS 攻擊

我們已開始觀察到採納 5G、物聯網及雲端等技術如何驅動企業開闢新局,此一趨勢也將在 2021 年延續下去。特別是 5G 可讓企業加快數位轉型並創造動態的客戶體驗。隨著越來越多互連裝置上線,攻擊面也以指數級速度擴大,令組織面臨新的風險。

Google 最近透露,它曾在 2017 年遭受高達 2.5Tbps 的大規模 DDoS 攻擊,這也是史上已知規模最大的攻擊,甚至超越 2018 年對亞馬遜發動的 2.3 Tbps 攻擊。相比之下,這些攻擊的規模是 2016 年 Mirai 殭屍網路大規模攻擊的四倍,當時有 600,000 個物聯網裝置及終端遭受入侵。

隨著 5G 開始全球推出,與 5G 即將掀起的大規模且更頻繁的 DDoS 攻擊相比,這些攻擊已是小巫見大巫。5G將會增加現有的整體頻寬,並容許連接大量的物聯網裝置。而由於目前尚無物聯網安全性方面的標準,這些裝置通常容易被滲透及控制,成為殭屍網路大軍的一員。

因此,我們可預見明年將發生有史以來首次 5Tbps DDoS攻擊。谷歌及亞馬遜成功阻撓的 2Tbps 攻擊將更為常見,並將導致大規模的線上及連線業務中斷事件。

– 諮詢服務總監 Bryan Murphy

全球疫情帶來的壓力導致內部人員瓦解並做出錯誤決定

全球疫情已為員工及其家人帶來巨大壓力。經濟的不確定性以及遠距工作及學習模式的轉變讓許多人的生活陷入不確定。這些新挑戰可能促使更多員工在網路安全方面做出錯誤的決定,並引發新一波的內部人員威脅。

誠如我們在 2020 年所見,攻擊者向員工提出越來越多特權存取獎金提議,誘使他們分享或「不慎」洩露其憑證。此外,暗網上的特權存取權也比以往更受歡迎,一些報告 顯示攻擊者樂意為公司網路、虛擬私人網路及工作站的特權存取權付出高額酬金。

潛在的財務收益,再加上日益升高的經濟憂慮,將為組織帶來棘手的新威脅。

– 技術總監 David Higgins

]]>
為遠距員工實施 VPN 的五個簡單規則 https://www.cyberark.com/zh-hant/blog/five-simple-rules-for-implementing-vpn-for-the-remote-workforce/ Fri, 16 Oct 2020 19:37:02 +0000 https://www.cyberark.com/blog/%e7%82%ba%e9%81%a0%e8%b7%9d%e5%93%a1%e5%b7%a5%e5%af%a6%e6%96%bd-vpn-%e7%9a%84%e4%ba%94%e5%80%8b%e7%b0%a1%e5%96%ae%e8%a6%8f%e5%89%87/

現在對許多員工而言,早上的工作流程與以往大不相同。他們不必去辦公室上班,而是泡杯咖啡,「移動」到他們的住家工作空間,然後連線至虛擬私人網路(VPN)存取公司資源及應用程式。

VPN 是最久經時間考驗的解決方案之一,儘管有些風險,但它可提供安全的遠端存取。我說它有風險,是因為如果未正確實行及維護,攻擊者可攻擊其弱點取得對敏感系統及資料的特權存取。事實上,一些組織正在採用新方法來連接其遠距員工,以解除對 VPN 或代理程式的需要,這也有助於簡化運作及用戶的工作流程。

對於使用 VPN 的組織,正確加密 VPN 堆疊、使用正確的加密方式及持續監控流量模式與使用情況極其重要。更為重要的是確保登入 VPN 的用戶通過高保證等級的驗證、裝置也經過驗證,同時相關特權及權利符合…這聽起來像不像是零信任安全概念的基本原則?

image 1

讓我們在零信任安全概念三大支柱的背景下探討實施VPN 的五種最佳做法。

規則 1:驗證用戶身份:確保 VPN 解決方案可支援透過RADIUS 及/或 SAML 的多重要素身份驗證(MFA)。

大多數 VPN 解決方案支援不同類型的身份驗證機制,這取決於 VPN 的類型(站點對站點、遠端用戶)。其中一種透過使用 RADIUS 來支援 MFA,即 VPN 伺服器成為一個 RADIUS 伺服器的 RADIUS 客戶端,進而執行多重要素驗證。例如 CyberArk Idaptive 連接器軟體可作為 RADIUS伺服器及 AD 代理伺服器執行 AD 身份驗證,並可以行動身份驗證器、OATH OTP、電子郵件的形式提出第二個要素。

下圖所示為 RADIUS 客戶端與作為 RADIUS 伺服器的 CyberArk Idaptive 連接器之間的 RADIUS 式驗證步驟。

image 3

將 VPN 與外部 IDP 整合進行驗證的另一個方法是透過SAML。有些 VPN 供應商並不支援此功能,如果支援則無需在終端上安裝桌面 VPN 客戶端。下圖說明 Palo Alto Network 的 Global Protect 解決方案如何採用此方法。

image 4

因此在尋找 VPN 解決方案時,您應該問自己:

  1. 它支援 MFA 嗎?
  2. 這個解決方案是否需要在終端上安裝 VPN 客戶端?如果需要,它可支援哪些身份驗證機制?例如,有些機制會被直接推送至驗證服務供應商(AP)進行驗證,有些機制則要求最終用戶與 VPN 客戶端互動以輸入一個驗證碼(例如 OATH OTP 驗證碼),然後發送至 AP 進行驗證。
  3. 這個解決方案是否支援無客戶端的 VPN 身份驗證機制(例如 SAML)?這將會特別方便,因為 IT 管理員不必確保每個客戶端都已安裝正確的客戶端版本,因此能夠以安全的方式支援更多種終端。有些客戶端(例如Cisco 的 Anyconnect)可支援嵌入式瀏覽器,因此可進而支援 SAML。

規則 2: 限制存取:確保 RADIUS 伺服器能使用特定屬性限制存取及授權。

若要授予用戶超過一種存取權限,則須使用供應商的特定屬性。例如可根據用戶角色授予用戶特定的特權級別,從而限制存取。VSA 可與 RADIUS 定義的屬性結合使用。例如此連結將顯示思科的 VSA。

規則 3: 驗證用戶身份:驗證服務供應商(在此例為CyberArk Idaptive)解決方案可支援異質 VPN 環境。

很多時候,一個組織可能有多個 VPN 供應商,為身份驗證及存取控制提供各種不同的協定支援。RADIUS 伺服器/ IDP 必須能夠支援不同的驗證設定檔,例如針對不同的VPN 伺服器(RADIUS 客戶端)。例如,若要從一部 VPN伺服器存取較敏感的資源類型,則可使用驗證功能較強的驗證設定檔,而有別於保存較不重要資源的 VPN 伺服器。

規則 4:智慧化限制存取:IDP 解決方案可提供一種自適應、具風險意識的解決方案。

即使是一部 VPN 伺服器,驗證服務供應商也必須能夠提供一種偵測用戶行為異常的方法,並根據用戶的風險提出不同挑戰。在現今情勢下,這一點尤為重要,因為絕大多數工作者在可預見的未來仍都會遠距工作。

規則 5:驗證裝置: :終端本身受到 MFA 和條件式存取的保護。

由於用戶處於遠距狀態,並且可能使用自己的裝置(BYOD),因此僅向通過 MFA 驗證的用戶授予登入其裝置的存取權極為重要。

image 5

有關保護您的遠距勞動力的更多資訊,請造訪我們的風險隔離資源中心

]]>
為什麼桌面 MFA 對您的終端安全至關重要? https://www.cyberark.com/zh-hant/blog/why-desktop-mfa-is-essential-to-your-endpoint-security/ Fri, 16 Oct 2020 19:36:40 +0000 https://www.cyberark.com/blog/%e7%82%ba%e4%bb%80%e9%ba%bc%e6%a1%8c%e9%9d%a2-mfa-%e5%b0%8d%e6%82%a8%e7%9a%84%e7%b5%82%e7%ab%af%e5%ae%89%e5%85%a8%e8%87%b3%e9%97%9c%e9%87%8d%e8%a6%81%ef%bc%9f/ 員工的公司筆電可能成為惡意存取者的寶庫。

設想一下。您在筆電上使用的許多應用程式都不會要求您提供憑證,尤其如果您的組織未設置強大的多重要素驗證(MFA)政策。為了操作方便,您的應用程式密碼可能暫存在瀏覽器內,但這正好成為憑證盜竊好下手的目標。如果您的組織為了方便而慣用以憑證為依據的驗證方法或 iWA,大多數應用程式都可直接從受信任的裝置存取,而無需通過任何身份驗證挑戰。即便是一家中型公司也可能使用 100 多個軟體即服務應用程式,您可想像只要存取其中幾個應用程式便可能造成多大的災害。

儘管全世界正朝向雲端儲存的方向發展,但有些員工仍然喜歡使用 One Drive、Box 或 Dropbox 來儲存重要的敏感檔案副本。經常移動的員工(例如銷售人員)喜歡將關鍵資訊保存在本機上,因為他們不一定能夠存取雲端。這類檔案可能包含潛在銷售客戶、財務資訊、合作夥伴資料、代碼、商業機密等。最壞的情況是,粗心的員工可能將密碼儲存在電子表格內。

除了敏感的公司資料之外,一台普通筆電可能包含幾個記錄所有者個人資料的檔案,例如其地址、電話號碼、電子郵件、SSN、銀行帳戶資料和信用卡詳細資料等。如果被不法之徒取得,這些重要的財務記錄可能被用來盜取身份。

而且,Outlook 等電子郵件客戶端通常處於「永遠開啟」狀態, 使它們處於危險之中。員工的電子郵件地址通常可用來重設各種服務的密碼,此外,電子郵件本身通常包含有關僱主的敏感資訊。攻擊者可利用社會工程陷阱,從一個員工的電子郵件獲取有關其他員工的敏感資料。

簡言之,即使只有一名員工遺失筆電,也可能導致災難。若未制訂強大的企業密碼政策,密碼極可能很弱,甚至無法承受最基本的蠻力攻擊。

惡意內部人員也會瞄準不安全的筆電,試圖竊取具價值的同事或高層主管資料,或取得對他們無權存取的公司系統及資料的特權存取。內部威脅的頻率日增,並且可能隱蔽行徑長達數週、數月、甚至數年,因此尤其危險。

因此,在啟動螢幕及鎖定螢幕上使用強大的 MFA 來保護公司筆電(甚至個人筆電)絕對有其必要,否則將在您組織內留下危險的數位安全漏洞。

為了解決此難題,CyberArk Idaptive 雲端代理程式可支援在Windows 和 macOS 裝置的啟動螢幕和鎖定螢幕設置強大的MFA,並具備下列功能:

  • 可依風險調整的自適應 MFA
  • 為 Windows Server 的RDP/RDS 存取而設的 MFA 支援
  • 根據身份驗證挑戰自助式密碼重設,將 IT 服務台的支援需要及成本減至最小
  • 離線裝置適用的 MFA,可在 Windows 或 macOS裝置被盜時鎖定及抹除其資料
  • 靈活的身份驗證要素,例如 OTP、簡訊、電子郵件、行動推送、FIDO2 密鑰(例如 Yubikey)等。

終端對現今的數位業務構成重大安全風險,特別是當前的遠距勞動力規模非常龐大。精明的攻擊者可利用終端的安全漏洞竊取機密資訊或干擾 IT 服務。採取縱深防禦做法來保護終端安全 – 建立從 MFA 至特權存取管理的強大安全控制措施 – 可增強整體安全性並減少暴露風險。

欲了解有關保護遠端用戶、終端及關鍵資產的更多資訊,請造訪我們的風險隔離資源中心

]]>
您需要考量的 5 種遠端用戶類型 https://www.cyberark.com/zh-hant/blog/5-types-of-remote-users-you-need-to-take-into-account/ Fri, 16 Oct 2020 19:36:19 +0000 https://www.cyberark.com/blog/%e6%82%a8%e9%9c%80%e8%a6%81%e8%80%83%e9%87%8f%e7%9a%84-5-%e7%a8%ae%e9%81%a0%e7%ab%af%e7%94%a8%e6%88%b6%e9%a1%9e%e5%9e%8b/

用戶的位置對於我們如何經營業務已經越來越不重要。2019 年一項研究指出 ,62% 的受訪者至少有一部分時間在家工作,其中至少82% 表示他們計劃維持或增加遠距工作比例。此外,一半以上(51%)未做過遠距工作的受訪者都想開始嘗試。

必須記住的一點是,這些數字未納入像員工一樣執行公司基本工作的遠端供應商數量。這些用戶通常也像員工一樣需要存取關鍵系統。當然,為遠距工作者提供更大的方便也會帶來更大的資安風險。為了配置存取權,機構組織通常依賴不安全且效率不彰的方法提供安全存取,例如一般依賴的虛擬私人網路(VPN)

然而,遠距工作者的特權未必相同。有些可能只需要存取電子郵件及少數業務應用程式,另一些可能需要存取關鍵的業務應用程式,例如薪資、人力資源及銷售與行銷資料。執行委外服務台支援作業的外部 IT 服務商需要與內部 IT 供應商相同的廣泛存取權限。

今天,我們將指明五種經常需要升級系統特權存取的遠距工作者,並說明利用CyberArk Alero執行特權存取管理(PAM)如何協助組織確保能夠安全且輕鬆存取 CyberArk 管理的關鍵系統。

1. 遠距 IT 人員或公司安全人員

這些用戶包括網域管理員、網路管理員等人員,他們以往一般在辦公室內存取關鍵內部系統,但現在可能需要遠端存取。當 IT 或安全人員在辦公室防火牆之外工作時,每天都需要安全管理員費神留意。

確定遠距 IT 和安全人員所需的精確存取級別並實行最小特權以確保他們僅存取所需內容極其重要。傳統的解決方案(例如 VPN)無法提供必要的精細分層、應用程式層級存取,因此不能有效達成這些目標。指派這種精細分層存取權非常重要,因為它有助於防止 Windows 管理員取得根帳戶存取權之類的情況。

您必須提前整合安全工具與目錄服務以自動化提供特定的存取權。如此一來,當計劃外的遠距工作激增時,才能確保在建立安全的在家工作環境時,IT 或安全功能不會出現漏洞。

2. 第三方硬體及軟體供應商

第三方硬體及軟體供應商(包括 IT 服務供應商及外包契約式服務台支援)經常提供遠端服務及維護,因而需要特權升級。這類供應商通常需要管理員級別的存取權,以便在各種 Windows 或 Linux 伺服器或資料庫內執行任務,以及應要求執行修補、系統更新等作業。

他們每個人基本上都等同網域級別的管理員,因此若未適當監控及正確配置權限,可能會對整個環境帶來嚴重禍害。然而,由管理員依個案情況逐一確認這些用戶的身份並評估遠端供應商的個別存取級別可能極為費時。確保驗證所有這些用戶的身份並提供正確的存取權限十分重要。

3. 供應鏈供應商

當支援產品的生產或交付不是組織的生存命脈時,它們通常會委託專門的供應鏈供應商提供協助。這些遠端用戶通常有權存取網路,以監控零售或生產組織的庫存量。他們還可存取與預測產出、品管控制及其他關鍵系統有關的敏感資料,而這些系統可能與工業控制系統及運作技術(ICS/OT)或現場供應鏈流程有關。

這些供應商可能不會被納入安全的第一考量,因為他們沒有資格成為管理員,但供應鏈供應商的存取權可能會被惡意攻擊者利用來危害組織,或因內部不慎誤用而成為嚴重問題。

4. 服務公司

執行法務、公關及薪資等部門工作的服務公司可能需要存取特定的業務應用程式,以便提高效率。確認這類用戶的身份並實行最小特權原則以確保他們未取得其職務範圍之外的存取權,或保留存取權的時間超出所需。讓法律服務公司存取薪資資料沒什麼實質意義,而只會增加潛在風險。

客戶關係管理(CRM)、企業資源計劃(ERP)、雲端主控台等業務關鍵應用程式對於業務的持續性及運作至關重要,若落入有心人手中,保存在這些應用程式內的資料可能就十分危險。確認誰有權存取這些應用程式極為重要,能否將攻擊者在業務應用程式之間橫向移動的能力減至最小,很可能便是導致重大資料外洩或維持業務正常運作的關鍵。

5. 外部顧問

業務及 IT 顧問有時需要特權存取,以確保有效完成依契約執行的專案,但他們僅需取得契約期間的存取權。這類臨時性供應商在每次履行職務時通常只需要數天、數週或數月的存取權。但在期間內,外部顧問通常擁有對特定業務領域的廣泛存取權限。

及早確認這些顧問的身份及他們需要的存取權類型(以及存取目標和時間)將有助於降低風險及保護業務。此外,外部顧問的存取權應在其有效期間受到嚴密監控及保護並在任務結束之後自動移除。

想像這個情境:一名顧問在參與一個為期三週的專案之後收到差評,收到的酬勞也令他不滿意。如果他們的存取權未自動移除,很可能在契約期滿之後仍持有高級別的存取權,然後為了報復而利用存取權對組織造成無法彌補的損害。雖然看似不太可能發生,但可說明高級別的存取權若未定期加以監控及更新將可能造成的傷害。

隨著越來越多公司倚賴遠端用戶作為其日常業務營運的一員,他們必須了解在辦公室以外登入其系統的各種用戶類型,更重要的是管理、監控及保護該存取權。

雖然感覺是一項艱鉅的任務,但 CyberArk Alero 這個軟體即服務 產品可協助組織為需要存取 CyberArk 管理下的關鍵系統的遠端用戶提供及配置安全存取。它可針對任何數量的遠端用戶輕鬆部署且無需使用 VPN、代理程式或密碼。

]]>
安全支援遠距工作的 7 項最佳實踐做法 https://www.cyberark.com/zh-hant/blog/7-best-practices-for-securely-enabling-remote-work/ Tue, 06 Oct 2020 18:46:40 +0000 https://www.cyberark.com/blog/%e5%ae%89%e5%85%a8%e6%94%af%e6%8f%b4%e9%81%a0%e8%b7%9d%e5%b7%a5%e4%bd%9c%e7%9a%84-7-%e9%a0%85%e6%9c%80%e4%bd%b3%e5%af%a6%e8%b8%90%e5%81%9a%e6%b3%95/ Remote Work

在 Impact Live 2020 研討活動上,我們花了許多時間討論在遠距工作時代保持強大網路安全態勢的策略。今日的用戶需要能夠讓他們隨時隨地存取業務系統的靈活性,以高效率完成工作。但是,新的工作方式也帶來了新的安全挑戰,需要現代化的解決方案。

以下這七項最佳實踐做法可保持遠距工作者的生產力與安全性,同時不會損害營運或既有的業務實踐做法。

  1. 部署單一登入(SSO)及多重要素驗證(MFA)。 透過 SSO,您可以讓中央身份提供者管理用戶身份驗證,並使用一組登入憑證授予對應用程式及資源的存取權。這可讓您透過更強大的密碼政策提高安全性,簡化員工對工作所需各個應用程式的存取來提高生產效率,並讓您的 IT 部門更輕易滿足存取方面的合規要求。MFA 則可為公司資源增添多一層保護。透過 MFA,您可要求用戶通過多種身份驗證挑戰來確定其真實身份。例如您可以要求用戶提供他們知道的資訊(例如密碼)及他們擁有的資訊(例如發送至其行動裝置的一次性密碼)。您可利用 MFA 保護對應用程式、工作站、虛擬桌面、VPN 等的存取。對於未直接從公司網路內部連線的用戶,MFA 是防止遭受洩露的憑證被用來存取受保護資源的必要安全措施。
  2. 在終端上實行 最小特權,以保護敏感資料和應用程式。僅向最終用戶及管理員提供他們所需的絕對最低特權存取級別(又稱最小特權原則),可大大減少攻擊面。其中一個方法是清除工作站上不必要的本機管理員權限,以防止終端被滲透並容許惡意的橫向移動。這可降低將惡意軟體或勒索軟體引入環境進而輕易擴散的風險。
  3. 防止 從工作站暴露RDP。遠端桌面協定(RDP)暴露 是多宗備受曯目的資料外洩事件的源頭 – 尤其現今遠距工作的員工日益增多。隔離連線可減少終端(素來最弱的網路存取連結)暴露關鍵系統的可能性。此外,在每個連線的自動記錄內進行分層,並即時分析行為,可幫助快速偵測可疑行為並在出現可疑行為時做出補救。​
  4. 減少對 VPN 的整體依賴。遠距工作的激增導致VPN的使用量急劇增長。在 CyberArk 近期的一項調查中,63% 的員工回報他們使用 VPN 存取關鍵業務系統。VPN 一直是攻擊者的目標,因為它們可以存取整個內部網路。 VPN 的設計顯然不適於提供關鍵系統及應用程式的精細分層存取,而且可能需要很長的時間來設置。這些工具的設置與操作通常需要大量的人工處理,導致安全團隊無法專注於其真正的目標–降低風險。
  5. 制訂允許、封鎖或限制應用程式的政策。在遠距工作時代,不必要的服務台呼叫數量急速暴增。透過允許/封鎖/限制政策,管理員可讓遠距用戶存取其工作所需的系統,省去許多麻煩。減少服務台呼叫的另一種方法是允許用戶存取可信賴的應用程式而無需呼叫服務台。這將可釋出 IT 資源以專注於更具戰略意義的措施,並有助於最終用戶提高其工作效率及效益。
  6. 依適用情況部署自助服務措施。與前段所述相同,組織為減少不必要的服務台呼叫而付出的努力都可節省大量時間與人力。建立受 MFA 保護的自助式密碼重設及帳戶解鎖,可讓最終用戶重設自己的公司密碼及解鎖自己的帳戶。自助服務應用程式及伺服器存取請求 還可讓最終用戶及遠距供應商發出存取應用程式、伺服器和其他關鍵內部系統的請求,讓 IT 和管理部門無需填寫服務台工作單即可批准存取。自助式 MFA 註冊/替換可讓最終用戶註冊新的身份驗證器及替換和重設密碼。最終用戶無需提交工作單即可替換遺失或被盜的密碼。最後,自助服務也賦予用戶在不增添服務台負擔的情況下請求存取應用程式或伺服器的能力。
  7. 為第三方用戶提供即時配置。勞動力行動化的趨勢也對組織所依賴的第三方供應商數量產生明顯影響。由於這類用戶未列入公司目錄而難以管理及追蹤,因此可能構成新的挑戰。您可以引入解決方案,透過一次性引導流程自動配置及撤除存取,從而大大減少攻擊面。如此一來,供應商將可取得即時存取權 — 僅在所需時間內存取所需的權限 – 而無需安全人員或 IT 管理員以手動操作配置及撤回對攻擊面的存取權。

遠距工作時代,如何兼顧安全與便利對組織而言是艱難的任務。員工多數已經採取遠距工作方式,而且似乎還會持續下去,解決這一難題成了當務之急。遵循這些最佳實踐做法,組織將可為其遠距員工提供不影響生產力或業務實踐做法的安全存取。

無法參加 Impact Live嗎?沒問題。訂閱 Impact Live 隨選點播,即可在您方便時觀看所有影片。

]]>
聽說過社交隔離嗎? 現在來了解何謂風險隔離 https://www.cyberark.com/zh-hant/blog/youve-heard-of-social-distancing-now-try-risk-distancing/ Tue, 30 Jun 2020 18:31:36 +0000 https://www.cyberark.com/?p=95005

這幾個月來,社交隔離政策幾乎佔據了我們生活及工作。現在大多數的人都在家工作。父母在忙於工作之餘,也得兼任老師和全職照顧者。上街快速採買之前必須仔細計劃:面罩戴了嗎?檢查一下。手部消毒液呢?檢查一下。虛擬聚會已取代社交活動。

很難想像我們的生活何時甚或是否能夠恢復「正常」狀態。但無論如何,社交隔離現在已成為我們的日常詞彙。那風險隔離呢?社交隔離的做法是遵從建議的最佳實踐程序避免感染或傳播 COVID-19 病毒,而風險隔離旨在提醒我們遵從最佳安全實踐程序,以減輕攻擊風險。

隨著新型冠狀病毒的出現,風險格局也產生巨大的變化。公司為了實現遠距工作 模式而急著推行新的應用程式及服務。危險的在家工作習慣已為關鍵業務系統及敏感資訊帶來危機。根據一項近期調查,77% 的遠距員工使用不受管控、不安全的「自攜裝置」(BYOD) 來存取公司系統。66% 的遠距員工使用Microsoft Teams 和 Zoom 等已知存在安全漏洞 的通訊及協作工具。於此同時,網路罪犯也乘隙而入,大肆攻擊,從鎖定 RDP伺服器至啟動複雜的勒索軟體,千方百計要在不確定的時期圖謀不軌。

組織的挑戰在於如何以最佳方式迅速且充分解決基礎設施及生產力的需求,並且體認風險隔離的必要性,尤其是保護分散式公司終端上的遠距員工之特權存取安全方面。

在新常態下實施風險隔離

CNBC指出,包括技術、金融服務及保險等各行各業已投資於遠距工作工具,而且沒有跡象顯示他們日後將回到以往的營運方式。隨著越來越多組織延長在家工作政策,安全團隊應認真研究他們現有的網路資安計劃及優先目標,以確定它們是否仍然足以應付瞬息萬變的局勢。

我們精心策劃出一系列的資源,協助您制訂可有效平衡安全性與生產力的新策略,並為組織未來的工作環境做好更萬全的準備,也讓您能夠為組織推動安全且可歸責的風險隔離策略。

請瀏覽我們的風險隔離資源中心,了解為何特權存取管理(PAM)是保護關鍵資產、工作站與遠距用戶存取的最有效方式之一。閱覽最佳實踐做法、觀看內容豐富的「請教專家」影片,並利用 CyberArk 的免費試用及工具協助您找出及減少您環境內的特權相關漏洞。

準備實行風險隔離策略了嗎?我們最新的部落格文章將指引您的下一步,包括:

 

 

 

 

]]>
克服「新常態」帶來的網路安全挑戰 https://www.cyberark.com/zh-hant/blog/tackling-the-cybersecurity-challenges-of-our-new-normal/ Tue, 28 Apr 2020 18:08:20 +0000 https://www.cyberark.com/blog/%e5%85%8b%e6%9c%8d%e3%80%8c%e6%96%b0%e5%b8%b8%e6%85%8b%e3%80%8d%e5%b8%b6%e4%be%86%e7%9a%84%e7%b6%b2%e8%b7%af%e5%ae%89%e5%85%a8%e6%8c%91%e6%88%b0/

短短一個月,「照常營業」已變成不可能的任務。數以百萬計的工作者轉為遠距工作、隨業務需要改變而轉換部門和職能,有者甚至工作前景茫茫。正當IT團隊晝夜不停地執行業務持續營運計劃時,網路攻擊者也同樣千方百計地想渾水摸魚、乘虛而入。

透過我與技術領導者的定期交談,可以確定的是:要在此新時局下繼續領先已知及新的威脅一步,這項本來就很複雜的任務已變得更為棘手。全球各地企業的資訊長及資安長都在尋求最佳對策來應付這些挑戰,同時又要確保員工的安全與生產力。隨著企業轉向「新常態」的工作方式,關鍵人員、流程和技術這三個基本安全領域已迅速成為安全主管的首要重點:

保護人員

雖然遠距工作因今天的形勢而成為必要之前已經日益普及,但仍有許多人(例如政府、金融及教育工作者)從未試過遠距工作。如今,他們被迫採取完全不同的模式來工作,同時必須監督「在家上學」的孩子、照顧年邁的父母、在網上瀏覽最新情勢發展的訊息,並試圖抓緊時間搶購日常用品。不消說,當心思被各種事務佔據時,安全問題當下很可能就會有所鬆懈,而攻擊者也明白這一點。攻擊者利用混亂及注意力分散的時機,已發起一波網路釣魚、勒索軟體 和社交工程攻擊。有的網路攻擊將本身偽裝得似與工作相關,例如IT發出的偽造電子郵件,要求用戶在設定過程中點擊連結;另一些則發出情感呼籲,尋求「崇高理想」的支持或利用政府刺激措施或其他經濟獎勵作為誘餌

保護設備及應用程式

遠距工作人員遽增,IT團隊可說是猝不及防。一些員工將辦公室電腦帶回家,另一些員工則利用本身的技術自行組裝。新設備及個人裝置的使用量激增已產生許多新的挑戰,特別是對於那些尚未制訂自攜設備(BYOD)政策的企業組織。匆忙建立連線,錯誤設定頻頻發生,將新設備維持其預設(不安全)原廠設定也可能使公司陷入風險。攻擊者會尋找這類狀況以侵入組織取得立足點。

此外,由於我們比以往任何時候都更依賴訊息溝通及電話會議應用程式來保持聯繫,攻擊者也會瞄準有關系統的安全漏洞。無論是「Zoom轟炸(Zoombombing)」攻擊(不請自來的與會者闖入並干擾Zoom會議),或是鎖定 儲存於網路瀏覽器的應用程式憑證,入侵廣受使用的Web應用程式已成為攻擊者有組織且危險的手法。

保護連線及存取權限

根據CNBC 的調查,53%的組織從未針對此類事件在他們的系統進行過壓力測試。隨著成千上萬的員工嘗試使用虛擬私人網路(VPN)連線進行資料收發,許多組織已面臨安全性與可用性方面的挑戰。雪上加霜的是,登入其虛擬私人網路的員工使用的是家庭無線網路,近來由於多人同時進行遠距工作與學習,家庭無線網路通常不安全、不受監控且超出負荷。攻擊者可輕鬆利用惡意軟體感染這些無線網路路由器,進而使家中所有連線設備暴露於危險 – 電視、智慧型調溫器至手機及電腦都不能倖免。

除了為一般員工提供伺服器及系統存取權限之外,許多其他人員工作時還需要存取敏感資訊及資料。儘管這對傳統角色而言理所當然(例如IT管理員需要強大特權來存取關鍵系統),但隨著來自財務及法務等部門的員工也需要存取雲端控制台、機器人流程自動化 控制台及編排工具,特權用戶的數量正持續擴增。

隨著特權用戶的定義迅速擴展,安全團隊很難掌控這些用戶從各種遠距工作位置存取的時間和持續時間之可見性。同時,許多組織已轉移責任並部署員工執行其他或不同的任務,以支援可能人手短缺的部門。這些工作人員之中有些獲得前所未有的特權升級 – 通常未設定好適當的安全政策,例如自動佈建及取消佈建憑證。這使攻擊者可以輕易利用通常授予高階內部人員的存取權來發起及執行攻擊,還可能取得所有基礎設施的控制權。

儘管資安長目前共同面對的安全問題並非新鮮事,但問題比以往都緊迫。雖然我們常說目前的「新常態」只是暫時性的,但在當前危機消退之後仍可能持續很長一段時間。之前不習慣在家工作的員工可能體認到遠距工作有益於他們平衡生活。同樣的,他們的僱主可能會把握其中更好的營運效率和生產力,以及為員工賦權的機會,允許(甚至鼓勵)更多員工遠距工作。

無論未來如何發展,企業組織今日採取的行動可能就是我們集體未來的趨勢。首先必須 保持高度警惕,並維持嚴格的網路安全措施。然後,您可以重新定義如何應對人員、流程及技術的風險,開始為漫長的角力戰儲備彈藥、做好規劃。

]]>