偵測與阻斷進行中的攻擊

組織選擇安全防護時必須謹記一點:攻擊者會入侵。一旦攻擊者順利滲入內部後,就能假冒授權使用者進行長期操作而不被發現。此類內部入侵活動讓攻擊者得以進行無法挽回的傷害,不但破壞組織聲譽、造成經濟損失,還能竊取智慧財產權。組織可以運用有針對性的分析技術及早偵測到攻擊者的存在,即使攻擊者偽裝成授權使用者,也無所遁形,資安團隊也能夠立即反擊並遏止進行中的攻擊。

CyberArk Privileged Threat Analytics 屬於 CyberArk Privileged Account Security Solution,這是一套資安情報系統,能夠偵測、警告以及回擊以特權帳戶為目標的網路攻擊。這套解決方案能夠即時識別攻擊並馬上採取因應措施,從而阻止攻擊者繼續發動更進一步的攻擊。分析引擎是這套解決方案的核心,能夠針對使用者、特權帳號以及網路流量執行一組精密的專利演算法 (包括決定性演算法和行為模式演算法),藉以在攻擊週期的初期階段及早偵測到漏洞。若能及早識別攻擊者的身分,資安團隊就能掌握更多關鍵時間,在攻擊活動癱瘓組織運作之前加以制止。

  1. 特色
  2. 好處
  • 內建專利演算法能夠進行使用者、特權帳號和網路行為分析,偵測出過去無法識別的可疑攻擊活動,例如疑似盜用密碼、橫向擴散以及權限升級。
  • 自學式分析引擎會隨著時間進行調整,負責偵測特權行為模式的變化。
  • 偵測 Kerberos 攻擊能夠讓組織偵測可能會利用 Windows 驗證通訊協定漏洞引發重大災難的攻擊,並且即時採取因應措施。
  • 為個別事件打威脅分數,協助按照優先順序找出可能會造成最大風險的事件。
  • 有針對性的可行警示包含詳細的事故資訊,因此,事故因應團隊能夠在偵測到可疑活動時立即採取因應措施。
  • 自動反擊偵測到的威脅,讓資安團隊能夠立即將疑似遭到盜用的特權認證取消,不需人工操作,大幅簡化事故因應流程。
  • 詳細的主控台透過視覺呈現方式顯示事故和威脅等級,讓事故因應團隊能夠快速查看歷來事故,並且視必要性即時採取措施。
  • 能與 SIEM 解決方案雙向整合,因此資安團隊能夠充分運用現有的 SIEM 部署彙整資料進行有針對性的分析,同時也能傳送與特權帳戶相關之事故的優先順序通知。
  • 側重於對於特權帳戶活動及重要攻擊層面的威脅偵測,大幅縮短攻擊者能夠利用的空窗期並降低損失。
  • 運用特權帳戶資安專家所撰寫並持續更新的內建演算法進行分析,快速偵測攻擊活動。
  • 運用機器學習演算法根據多變的風險環境調整威脅偵測方式;機器學習演算法能夠隨著授權行為在一段時間之後的變化持續調整基準行為設定檔。
  • 可在特權認證疑似遭到盜用後自動採取因應措施,防止攻擊者繼續使用有問題的認證。
  • 能夠立即取得關於所偵測到的事故的詳細資訊,從而加速進行補救。
  • 充分運用 SIEM 解決方案中現有的網路分流彙總工具及端點連接器,以透過現有基礎架構流暢地收集資料,從而在最短的時間內創造價值。
  • 運用方便易讀的圖形和表格,快速地評估基準設定檔與警示。