Attivo Networks保護AD三部曲── 第一步掃描

為獲取龐大經濟利益，駭客對企業攻擊從來沒有停止過，也對政府、民間組織造成極大傷害。近期台灣民眾印象最深刻的事件，莫過於2020年中油、台塑接連爆發內部系統遭到駭客入侵的案例，除了儲存的檔案均無法開啟之外，內部營運也受到嚴重影響，更導致部分付款機制無法正常使用，讓不少民眾的日常生活受到影響。而2019年爆發22家醫院遭到勒索軟體綁架事件，無疑是對台灣醫療體系投下震撼彈，感染途徑是透過國內的健保VPN網路，當時一度導致系統當機，其中有醫院為了能夠快速復原支付了勒索贖金並取回解密金鑰；也有醫院短時間內即確認資料庫遭受勒索病毒感染，並立即進行網路隔離與清查；同時，也有醫院成功擋下勒索病毒，因此不受此次事件影響。

橙鋐科技技術副總林秉忠表示，這兩起事件表面上看起來似乎沒有關聯，背後策劃攻擊的駭客組織也不相同，但其實都採取相近的攻擊模式，即入侵企業內部網路之後，開始針對Active Directory (AD)發動攻擊，藉此取得高權限帳戶後，偷偷竊取商業機密或入侵合作夥伴。事實上，2021年美國石油運輸管業者遭到入侵的事件，其實也是採取類似的攻擊模式。

AD重要性與日俱增  Attivo Networks提供最佳保護力

數位化程度愈高的企業，對AD仰賴程度日深，便於管理員工的帳號、密碼、資料存取權限等，堪稱是公司內部最重要的數位資產，所以自然也成為駭客鎖定的攻擊目標。市面上存在許多針對AD量身打造的攻擊工具，駭客除了會藉此找出AD機制的弱點和漏洞之外，也能藉此得知哪些服務帳戶有特權、哪台機器可提升帳戶的權限，乃至於哪些憑據可用於建立永久性的權利等。特別是駭客團體之間還能彼此分享情資，對於企業威脅更是難以言喻。

林秉忠指出，現今保護AD安全已經成為企業不容忽視的重要措施，市面上亦有業者推出相關產品，可惜幾乎清一色都是採取偵測惡意程式的作法，在駭客攻擊手法進化下，保護能力多半有限。而專業資安服務供應商–橙鋐科技所獨家代理的欺敵技術領導品牌Attivo Networks採取內部專利設計的掃描、修正屏蔽、誘捕等三階段機制，透過ADAssessor、ADSecure 、TreatDedend等模組之間的搭配，可真正達到保護公司AD環境安全的目的。正因如此，Attivo Networks被Wellington Research列為欺敵技術的領導象限第一名、同時也被Gartner評比為功能 最強大、齊全且易於使用的服務。

活用ADAssessor 挖出AD潛在漏洞

知己知彼、百戰百勝，是千古不變的定律。企業若要避免發生AD遭駭客入侵的憾事，首要工作自然是必須了解現行AD機制存在哪些漏洞，才能採取相對應的修正或改善策略。因此，Attivo Networks保護AD安全的第一個步驟，就是讓資安人員運用ADAssessor 進行掃描，提升對內部網域的可視化程度，了解真正的問題。

林秉忠說，ADAssessor的最大特色之一， 不需要對既有 AD架構進行任何異動，只需在任何一台屬於AD環境中的電腦或虛擬機器中，安裝掃描程式即可。ADAssessor不會對 AD 架構進行破壞性的設定，而是會模擬駭客手法查詢 AD設定。當掃描評估完成，系統會自動產生評估報告，並將資料彙整至管理平台，作為後續改善的參考依據。

資安人員從ADAssessor的管理介面中，即可獲得豐富且多元的訊息，首先是完整掃描後所偵測到的漏洞，以及該漏洞所產生的影響。系統會使用易於理解的說明，協助資安人員逐步進行補救與改善，解決AD環境中的風險。其次，在權限地圖中，系統會提供完整之端點權限可視性，以及標示有高風險權限的端點裝置。資安人員可藉此清楚掌握公司內部權限使用狀況，以及可能遭受駭客利用來攻擊的錯誤設定，也能藉此移除不必要之端點權限，無形中自然可提升AD防護等級。

除了第一次安裝時會執行全系統掃描之外，ADAssessor後續也會透過持續監控與偵測等機制，找出最新發現的漏洞以及攻擊事件；如可能讓攻擊者能橫向移動的漏洞 、容易被攻擊者利用的危險身分識別委派 、即時偵測進階攻擊，以及AD架構的大範圍的異常變更等等。當發現有威脅或漏洞產生，系統會立即發出告警訊息，並且將威脅偵測及告警等資訊，同步發送至雲端 Attivo 管理平台，方便資安團隊在第一時間處理。

現今駭客並非採取針對閘道端的強力攻擊，而是透過社交工程、垃圾郵件等迂迴方式入侵，除能躲避資安設備的偵測外，也能在企業不知情的環境下，逐步控制整個AD環境，並竊取商業機密販售。而 Attivo Networks ADAssessor正是能協助企業找出潛在漏洞，降低資安事件發生機率的最佳解決方案。