終端設備安控目標
-Rasomware勒索病毒防護,防止重要資料被加密
-應用程式控制與集中化管理
-端點防護與威脅偵測
-產出應用程式相關報表,方便管理審查

Forrester 估計 80% 的資安外洩事件與特權帳密有關,每一台終端裝置都有特權的問題,在近期發生的案例問題中指出企業或機關對資訊系統的權限管理訂有內部SOP,規範系統主機以及應用系統帳戶的授權,但卻未落實遵循,即在資安管理上,沒有符合最小授權原則,造成高權限的SWIFT(環球財務通訊系統)帳號、密碼遭盜取。
所謂最小授權原則,即系統管理超過授權範圍時,須經過內部一定的控制程序後,才能一步步開放局部的權限,但往往企業或機關一開始給的管理權限卻是最高權限,因此,一旦系統遭駭時,就會做出很多高權限的行為。

濫用特權的攻擊路徑



Gartner: 採用端末特權管理降低本機管理者的存取,資訊管理人員應針對本機管理性存取實作最小授權原則,大多數的用戶在現代的Windows作業系統是不需要本機管理者存取權限的;當一個應用程式或服務需要管理特權,用戶應以一班使用者登入,再依據政策提權。
問題原因: 用戶有管理權限的話, 可以…改變系統設定、安裝惡意軟體、存取與變更帳戶,根據調查統計87% 的公司並未移除本機管理權限
移除本機管理權限難處 – 資訊安全 vs. 資訊作業的影響



資訊管理的目標



CyberArk Endpoint Privilege Manager 鎖定端末的特權存取,在攻擊一開始就能遏止其作為



遏止端末的惡意軟體



預防導入效益
透過EPM,可針對企業中需保護的檔案類型,限制僅信任應用程式存取修改,避免使用者因Email或是網頁下載惡意程式對企業中的文件做加密行為。
一般資產管理軟體,僅能透過黑白名單機制,來限制已安裝之應用程式可否執行,但EPM能對已安裝應用程序除了執行與否外,也可以針對免安裝軟體做管控,並對其行為做管控、監控。
1.針對免安裝軟體,如Teamviewer、Anydesk等,可做管控,限制使用者執行。
2.針對應用程式的”行為”做管控,例如:允許特定應用程式執行,但限制該應用程度存取Internet或Intranet以及共用資料夾、本機資料夾等,均可以做細部設定管控,讓管理應用程式不再只有能否執行可以,更具彈性。
3.File Passport,可查看應用程式詳細資訊,如時間軌跡、存取過的資源、來源,信譽評比等,可完整查看應用程式軌跡紀錄。
環境內的威脅、攻擊行為(如:Pass The Hash Attack、Kerberos Ticket Hash Harvesting等),主動偵測,進而通知或是阻擋。 可以不同的角度去產出應用程式相關報表,方便日後管理及審查。整合各家公信力平台(如Cyberark ARA、Virustotal等),可對環境內應用程式執行檔做分析效驗及信譽評比。