近期新聞指出,有員工在公司內部電腦安裝代理伺服器與雲端掛載程式,形同自建「外部通道」,可讓外部電腦直接連入內部網路。若此通道遭不當利用,恐導致客入侵、資料外洩、內部滲透的跳板。
在企業中,資訊部門每天面對的不只是伺服器維運與帳號管理,更大的挑戰是——上百台員工電腦上到底裝了些什麼。電腦數量一多,如何有效控管同仁安裝的程式是否合規合法,成了資安管理中最現實卻也最棘手的問題。有時候,一個看似無害的工具,可能是開發者為了方便測試環境所安裝;但若缺乏審查與監控機制,它也可能成為潛在的「外部連線通道」,甚至成為攻擊者入侵的跳板。像是 PsExec、ProcDump 這類維運工具,經常被駭客利用於內網滲透與權限竊取;又或是 VPN 軟體、遠端桌面程式、免安裝(綠色)軟體,都可能與公司資安規範牴觸,增加資料外洩風險。
那麼,企業該如何確認環境內是否存在這些潛在風險軟體?
ThreatSonar Anti-Ransomware 可以協助企業掌握潛在風險軟體
ThreatSonar Anti-Ransomware 威脅鑑識分析與回應平台除了即時威脅偵測,同時也具備歷史回溯檢查的能力,透過 TeamT5 ThreatSonar 威脅追蹤功能的規則,上述的軟體都可以檢查出來,相關規則集如圖所示。
當然不只有既有規則集,亦可以透過檔案名稱、雜湊值、數位簽章等條件去查找環境內安裝的軟體。下圖範例中,使用數位簽章條件來找尋相關的軟體,甚至可以找出已經檔案名稱已經修改的軟體,進一步也可以查詢該檔案的放置的路徑及相關特徵行為。
ThreatSonar Anti-Ransomware 搭配 TeamT5 威脅偵測與應變服務團隊協助此類事件
TeamT5 威脅偵測與應變服務(MDR)團隊不只被動地等待告警出現才處置,而是主動在企業環境中,運用 ThreatSonar 搜尋潛藏威脅,透過專業的威脅狩獵機制,主動偵測在公司環境「容易遭惡意濫用」的灰色軟體或是牴觸資安規範的軟體,提前發現潛在風險,達到防範於未然。同時,MDR 團隊也提供定期威脅評估報告及說明,協助用戶清楚掌握自身環境中的資安風險。
掌握環境現況,就是資安防禦最好的起點。
參考資料
杜浦數位安全 TeamT5 為網路威脅狩獵專家,團隊具備超過 20 年的惡意程式與進階持續性威脅(APT)的經驗,基於地緣和語言優勢,我們有效掌握亞太地區的駭客攻擊,更經常受邀參加世界級資安會議、發表研究成果。並獲國際顧問公司 Frost & Sullivan 肯定為台灣最佳威脅情資公司(2023- 2024 Taiwanese Threat Intelligence Company of the Year Award)。聯絡我們:連結