APT攻擊之最後防線 CPS Systems特權安控稽核系統
- 吳冠儀/台北
-
目前防禦APT社交攻擊的所有產品都因技術性限制只能達成8~9成辨識率,加上APT常用zero day漏洞來進行攻擊,所以很難100%達到完整阻絕,但可以作為第一道防線,降低攻擊風險。但因為APT善於隱身在主機層內,不易於被安控程式發現,而使用加密連線做內部資源偵查測試和遠端控制是APT必要之行為,所以透過網路不當連線偵測更容易發現APT行為。但當APT取得重要系統帳號及密碼後,一般資安設備就無法順利在第一時間阻擋駭客連線。
亞利安科技代理的產品CPS Systems特權安控稽核系統是新世代的運維安控稽核系統,它採用軟硬體一體化設計,其功能能夠將被保護主機或資料庫在連線前實施統一加強認證,實現對操作設備和資料庫等過程的全程監控與稽核,支援帳號與連線管控的流程管理,以及對違規者操作或連線行為的做第一時間即時阻斷。
該產品採用先進的設計方式,支援各種遠端維護方式的管控,如:遠端存取連線方式(SSH、Telnet)、遠端桌面(RDP)、檔案資料傳輸(FTP、SFTP)或HTTP以及多種主流資料庫的存取操作,並提供稽核報告。
對加密連線CPS內控Proxy代理機制對圖形化及遠端存取使用者的協定進行政策管控,實現多平台的多種圖形及遠端存取操作的稽核,如:Windows的RDP方式圖形化終端操作,SSH的遠端存取連線方式的終端操作。將加密連線操作畫面錄製下來並提供回播功能,稽核管理員可以根據操作畫面回播技術還原出使用者的真實操作,以判定問題出在哪裡,判定用戶的行為是否會對內部網路安全造成深層的危害。
實務上駭客也不會從一般AP聯繫至DB一筆一筆的將資料取走,而是取得管理者權限,再使用一般的通訊協定,如SSH連至系統與資料庫,將整個資料庫撈走並關閉日誌功能與清除日誌軌跡資料。
因為CPS systems UAM系統可以提供用戶認證程式,加強第二層權限和政策管控,即使駭客使用管理者權限身分,也會因連線沒有經過CPS Systems UAM認證授權而被阻斷,當APT透過加密連線方式或想使用FTP來進行資料傳輸時也會因為未認證而無法成功,APT進行內部網路連線時CPS systems UAM將可透過報表和告警及時發現不當攻擊和可疑行為,所以CPS Systems UAM是企業和政府單位在遭受APT攻擊時最堅固和最後的一道防線。
