對於特權使用者帳號的內部威脅,CyberArk提供了分析平臺Privileged Threat Analytics(PTA),即時偵測這種高權限使用者的異常行為,企業能夠搭配CyberArk的主系統,取回這類帳號的控制權,例如自動變更密碼機制,達到保護的效果。

這個產品,屬於CyberArk特權帳號安全解決方案(Privileged Account Security Solution,PAS)的一個模組,因此企業必須擁有PAS平臺,才能使用。

PTA呈現這類事件的手法,採取極簡風格,主要透過特定天數的間隔為依據,只是沒有提供值得關注的使用者資訊,讓管理者能針對想要調查的指定帳號,進行這種方式的查詢。

在部署架構上,PTA與採取雙層結構的做法,包含了應用程式伺服器PTA Server,並搭配多臺網路資料收集主機PTA Network Sensor,因此或許較能夠分散大量流量對於PTA Server的衝擊。

其中,PTA Server只透過虛擬機器應用程式的型態提供,對於企業而言,也必須擁有VMware ESXi 4.0、VMware Workstation 8.0、VMware Player 4.0或是Hyper-V 2012 R2以上版本的虛擬化平臺,才能夠建置。硬體資源的配置,最低的需求則是包含4核心的處理器、16GB記憶體與500GB的儲存空間。

至於PTA Network Sensor就沒有只能採用虛擬平臺架設的限制,它也能在實體伺服器主機建置。這款資料收集主機可在CentOS 7.x版作業系統上執行,它的最低的硬體需求來說,在處理器的部分需要8核心的規格,較PTA Server來得要高。不過,其他的部分的基準較低,只要8GB記憶體,與200GB的硬碟空間。

以重大事件及整體風險指數,提供管理者關注的方向

這套產品提供了相當簡明的儀表板,主要可分為3個區塊,左方為整體風險指數,中間的圖表為事件(Incidents)與可疑使用者行為的統計,而針對時間軸上的事件,點選之後,便透過右方彈出的區塊,顯示其相關的摘要與關聯行為次數,我們可以再點選詳細內容(Details)檢視完整的資訊。

對於整體的風險指數的描述,是從最輕微的A到嚴重的E,而透過包圍字母的圓環顏色分布,表示近期各種威脅程度不同的事件比例。對於管理人員而言,便能夠透過這個指標,決定需要花費多少時間檢視特權帳號的異常狀態。

而這個儀表板另一個重要的組成,就是中間的2個圖表──上方顯示每日發生的事件,下方則是組成這些事件中,對於所有的疑似異常的行為次數進行統計的直方圖。

這2個圖表能夠切換瀏覽過往的記錄,而圖表的時間週期,PTA以1個星期或是1個月期間兩種模式,提供快速切換顯示按鈕,管理者也可自訂一次顯示指定的天數長度,符合自己的檢視需求。

在儀表板中上方的圖表,以時間為橫軸,與風險指數(0到100)為縱軸,顯示對應發生的事件,其中每個事件都是以指數顯示,因此也相當容易檢視對應的嚴重程度。只是當事件的發生密集程度較高時,這個圖表也變得難以判讀,因此PTA也提供了「只顯示當日最嚴重事件」的切換按鈕,只是採用這個模式之後,想確認發生的頻繁程度,就要倚賴下方的行為統計直方圖。

針對單一事件,管理者只需要點選它的指數值,PTA就會帶出它的摘要,包含這個事件的類型、開始時間點,以及有關的行為次數。假如這個事件並非異常,管理者可以標示已讀取或是刪除。

如果是相當嚴重必須調查的事件,PTA也會很清楚告知整起事件的情況,系統在藉由與過往記錄的記錄比對之後,判讀事件的類型,也提供有關的描述,說明影響的範圍與其嚴重性。

例如,企業疑似遭受APT攻擊時,PTA可能發現某個使用者在內部AD有異常的登入記錄,例如嘗試透過這個帳號,從1臺電腦登入到另1臺主機,但是這個使用者並不屬於這2臺電腦的本機帳戶,因此PTA判斷:這可能是遭到利用Pass-the-Ticket弱點的外部攻擊事件,而且就會說明發生的網域,並提醒管理者這是必須立即回應的高風險事件。

CyberArk Privileged Threat Analytics(PTA)以橫向時間軸顯示最近1個星期發生的異常事件, 並且以分數顯示單一資安事件的嚴重程度(最高風險是100分),整體的狀態則是在左方圓圈以字母表示。

與特權帳號管理平臺整合,提供警示及密碼更換機制

這套軟體在提供對於特權帳號異常行為的偵測之外,PTA也與CyberArk的PAS深度整合,對於上述的Pass-the-Ticket外部攻擊事件,在即時警示,通知管理者儘速處理之外,也能依據PAS的政策,由PTA呼叫密碼管理員,置換新的密碼,避免再次受到駭客利用。

 

 CyberArk Privileged Threat Analytics特色總覽 

PTA的儀表板採用相當簡化的指標,呈現企業整體與指定時間的狀態。而對於特權帳號的管理,也能配合CyberArk PAS系統,在偵測到異常登入行為時,自動更改密碼。

針對單一異常事件,提供簡易說明

對於異常事件,PTA直接以表格顯示其中的個別行為的分數、受影響的帳號、設備位置、可疑事件的來源設備位置、事件類型與時間等較為詳細的資訊。管理者在確認事件為正常行為或異常後,也可以將有關資料,以報表輸出後通報權責主管。

深度與特權帳號管理系統整合

針對特權帳號的行為監控,這套產品可配合CyberArk PAS管理平臺運用,假如使用者未經畫面中的PAS系統,而直接取用企業重要伺服器的管理權限,PTA就會視為異常,發出通知給管理者,甚至會進一步藉由預先設定的政策,執行阻斷。

在偵測到異常登入時,自動置換密碼

PTA可對異常行為的使用者帳號進行反制功能,針對受到CyberArk系統管理的特權帳號,假如未經其平臺取得其使用許可,或是跳過此系統直接登入公司的重要檔案伺服器時,PTA便會將這個帳號權限收回,並自動變更這個帳號的密碼,防止再次遭受不當的利用。

 

 產品資訊 

●      代理商:力悅資訊

●      電話:(02)2507-1601

●      建議售價:150萬元起(未稅)

●      版本:3.0

●      建置方式:VM

●      架構:虛擬應用程式伺服器,以及資料庫主機

●      硬體需求:4個核心處理器、16GB記憶體、500GB硬碟空間

●      作業系統需求:Linux

●      資料庫軟體:N/A

●      設備監控:無需安裝代理程式

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

【相關報導請參考「內部存取行為監控系統」採購大特輯】


Advertisement

更多 iThome相關內容