Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Identity Exposure

保障 Active Directory 的安全並消除攻擊路徑

掌控 Active Directory (AD) 和 Azure AD 的安全性,在缺陷成為影響業務的問題之前,找到並修復這些缺陷。

Tenable Identity Exposure 是一套快速的無代理程式型 Active Directory 安全解決方案,它能讓您查看複雜的 Active Directory 環境中的一切、預測最重要的事以降低風險、並且在攻擊者刺探利用之前消除攻擊路徑。

申請示範
Tenable Identity Exposure

不會產生

權限提升

橫向移動

攻擊者的下一步

在攻擊發生前搜尋與修復 Active Directory 的脆弱環節

利用 Tenable 的 Identity Risk Score 發現 Active Directory 中的曝險,並對這些曝險排定優先順序。利用修復的逐步指南降低您的身分風險。

即時偵測與回應 Active Directory 攻擊

偵測 Active Directory 攻擊,如:DCShadow、Brute Force、Password Spraying、DCSync 等等。 Tenable Identity Exposure 能利用攻擊深入解析豐富您的 SIEM、SOC 或 SOAR,因此您就能迅速回應並阻止攻擊。

消除攻擊路徑

攻擊路徑指的是攻擊者成功利用環境中不良的網路安全而獲利的途徑。 Tenable 藉由結合風險型弱點管理與 Active Directory 安全性,能讓您消除攻擊路徑,確保攻擊者難以找到立足點,也無法採取下一步行動。

初始立足點

透過網路釣魚或弱點

攻擊路徑

提升

取得特殊權限存取

迴避

隱藏鑑識足跡

建立

安裝程式碼永久立足

洩漏

洩漏資料或綁架目標以便勒索

探索

在目標環境中橫向移動

客戶成功案例

製藥業龍頭 Sanofi 如何成功保護其全球 Active Directory 基礎架構

製藥業龍頭 Sanofi 如何成功保護其全球 Active Directory 基礎架構

閱讀案例研究
Vinci Energies 如何在其瞬息萬變的 Active Directory 基礎架構上達到強大的安全性

Vinci Energies 如何在其瞬息萬變的 Active Directory 基礎架構上達到強大的安全性

閱讀案例研究
Lagardère 的小型經營實體如何以有限的資源保護其 Active Directory 基礎架構

Lagardère 的小型經營實體如何以有限的資源保護其 Active Directory 基礎架構

閱讀案例研究
「拜 Tenable 解決方案之賜,我們不再擔憂 Active Directory 的安全問題,只要把全副心力放在新業務的整編就好。」 Dominique Tessaro Vinci Energies 資訊長

透過 Tenable One 曝險管理平台取得

Tenable One 是一套曝險管理平台,專為協助貴公司取得現代攻擊破綻的能見度、致力於防範可能的攻擊,同時準確地傳達網路風險,使企業發揮最佳績效而設計。Tenable One 平台涵蓋廣泛的弱點範圍,橫跨 IT 資產、雲端資源、容器、Web 應用程式與身分系統。

深入瞭解

保障 Active Directory 的安全

  • 搜尋威脅您 Active Directory 安全性的底層問題
  • 找出危險的信任關係
  • 使用 Identity Risk Score 對曝險評分並排定修復工作的優先順序
  • 掌握您 Active Directory 和 Azure AD 的每個變動
  • 建立 Active Directory 變更與惡意行動的連結
  • 統一 Active Directory 和 Azure AD 的身分
  • 視覺化攻擊的深度細節
  • 直接從資安事端詳細資訊中探索 MITRE ATT&CK 的說明
觀看網路研討會

持續偵測並防止 Active Directory 攻擊

無需代理程式、無需特殊權限、沒有延遲

無需代理程式、無需特殊權限、沒有延遲。

無需代理程式和特殊權限,就能防止並偵測複雜的 Active Directory 攻擊。

在任何地點部署

在任何地點部署

Tenable Identity Exposure 可提供彈性的架構設計:內部部署能讓您將資料保留在您的營運據點並受到您的掌控,而 SaaS 則可充分運用雲端帶來的好處。支援 Active Directory 和 Azure Active Directory。

常見問題

Tenable Identity Exposure 有哪些主要功能?
Tenable Identity Exposure 能讓您即時偵測與應變攻擊,並且在攻擊者刺探利用之前發現與修正弱點。Tenable Identity Exposure 的主要功能包括:
  • 找出任何潛藏在您 Active Directory 組態中的脆弱環節
  • 搜尋威脅您 Active Directory 安全性的底層問題
  • 以簡易的詞彙說明來剖析每一個不當設定
  • 最新的 Asset Exposure Score 功能結合了弱點、曝險量和身分權限,可量化資產風險cap (Tenable 的人工智慧和資料科學引擎為後盾)
  • 取得每一個問題的建議修復方式
  • 建立自訂儀表板,以管理您的 Active Directory 安全,進而降低風險
  • 找出危險的信任關係
  • 最新 - 從 Active Directory 和 Azure AD 檢視統一的身分
  • 掌握您 AD 中的每一個變更
  • 找出您 Active Directory 中每個網域的重大攻擊
  • 從精確的攻擊時間表中將每一個威脅視覺化
  • 在單一檢視畫面中彙整攻擊散佈情形
  • 建立 Active Directory 變更與惡意行動的連結
  • 分析 Active Directory 攻擊的深入細節
  • 從偵測到的資安事端直接探索 MITRE ATT&CK ® 的說明
Tenable Identity Exposure 能偵測哪些 Active Directory 攻擊和伎倆?
Tenable Identity Exposure 可偵測出網路攻擊中用來取得提升特權及進行橫向移動的多數手法,包括 DCShadow、暴力密碼破解、密碼噴濺、DCSync、Golden Ticket 等。
Tenable Identity Exposure 能判別哪些 Active Directory 上的特殊權限攻擊媒介?
Tenable Identity Exposure 擁有豐富的資料庫,當中詳細列出攻擊者用來獲取特權的已知攻擊媒介。 包括:

攻擊媒介

說明

已知的侵犯工具

Mitre 攻擊對照表

執行 Kerberos 服務的特殊權限帳號

使用可暴力破解的 Kerberos Service Principal Name 之高度特殊權線帳號

Kerberom

權限提升、橫向移動、持續性

危險的 Kerberos 委派動作

檢查以確認沒有授權危險的委外動 (不受限、通訊協定轉換等)

Nishang

權限提升、橫向移動、持續性

Active Directory PKI 使用脆弱的加密演算法

在內部 Active Directory PKI 上部署的 Root 認證絕對不能使用脆弱的加密演算法

ANSSI-ADCP

持續性、權限提升、橫向移動

重要物件上的危險存取權限委派

我們發現某些存取權限會允許非法使用者控制重要的物件

BloodHound

洩漏、橫向移動、指令與控制、存取認證、權限提升

密碼原則中的多種問題

在某些特定的帳號上,目前所使用的密碼原則應不足以確保認證受到可靠的保護

Patator

規避防禦、橫向移動、存取認證、權限提升

危險的 RODC 管理帳號

負責管理唯讀網域控制器的系統管理群組中含有不正常的帳號

Impacket

存取認證、規避防禦、權限提升

與重要物件連結的敏感 GPO

某些由非系統管理帳號所管理的 GPO 會連結至敏感的 Active Directory 物件 (例如:KDC 帳號、網域控制器、系統管理群組等)

ANSSI-ADCP

指令與控制、存取認證、持續性、權限提升

系統管理帳號能連接至除了網域控制器以外的其他系統

受監控的基礎架構上所部署的安全原則無法防止系統管理帳號連接除了 DC 以外的資源,導致敏感的認證洩漏

CrackMapExec

規避防禦、存取認證

危險的信任關係

不當設定的信任關係屬性會降低目錄基礎架構的安全性

Kekeo

橫向移動、存取認證、權限提升、規避防禦

GPO 中可還原的密碼

驗證 GPO 中包含的密碼不是以可還原的格式儲存

SMB 密碼編目程式

存取認證、權限提升

執行已過時作業系統的電腦

已過時的系統已不再受到廠商的支援,因此會大幅增加基礎架構的弱點

Metasploit

橫向移動、指令與控制

使用 Windows 2000 之前版本相容存取控制的帳號

Windows 2000 之前版本的相容存取群組的帳號成員可迴避特定的安全措施

Impacket

橫向移動、規避防禦

本機系統管理帳號的管理

確保本機系統管理帳號使用 LAPS 集中且安全地受到管理

CrackMapExec

防禦規避、存取認證、橫向移動

危險的匿名使用者組態

在受監控的 Active Directory 基礎架構上啟用匿名存取將會導致敏感資訊外洩

Impacket

洩漏

不正常的 RODC 篩選屬性

套用在某些唯讀網域控制器的篩選原則會造成敏感資訊被快取處理,進而允許權限提升

Mimikatz (DCShadow)

權限提升、規避防禦

在橫向移動攻擊情境中缺少限制

在受監控的 Active Directory 基礎架構上沒有啟用橫向移動限制,讓攻擊者能夠以同樣的權限層級從一台機器跳到另一台機器上

CrackMapExec

橫向移動

DC 共享區中儲存的純文字密碼

在 DC 共享區上的某些檔案可以被任何經授權的使用者存取,而其中可能會包含純文字密碼,進而允許權限提升

SMBSpider

存取認證、權限提升、持續性

登入指令碼上的危險存取控制權限

某些在電腦或使用者登入時執行的指令碼擁有危險的存取權限,進而導致權限提升

Metasploit

橫向移動、權限提升、持續性

GPO 中使用了危險的參數

某些危險的參數 (例如:限制的群組、LM 雜湊運算、NTLM 認證層級、敏感參數等等) 是由 GPO 所設定,這些參數會造成安全漏洞

Responder

搜尋、存取認證、執行、持續性、權限提升、規避防禦

使用者帳號控制 (User Account Control) 組態中所定義的危險參數

某些使用者帳號的使用者帳號控制屬性會定義危險的參數 (例如:PASSWD_NOTREQD 或 PARTIAL_SECRETS_ACCOUNT),這些參數會危害這些帳號的安全性

Mimikatz (LSADump)

持續性、權限提升、規避防禦

沒有更新應用程式安全修補程式

某些在 Active Directory 中登錄的伺服器最近沒有套用安全更新程式

Metasploit

指令與控制權限升級、規避防禦

對使用者帳號嘗試暴力破解

某些使用者帳號已經被暴力破解攻擊鎖定

Patator

存取認證

使用者帳號上的 Kerberos 組態

某些帳號會使用安全性脆弱的 Kerberos 組態

Mimikatz (Silver Ticket)

存取認證、權限提升

DC 上不正常的共享區或儲存的檔案

某些網域控制器會用來存放非必要的檔案或網路共享區

SMBSpider

搜尋、洩漏

Tenable Identity Exposure 能判別 Active Directory 上的哪些後門程式伎倆?
Tenable Identity Exposure 擁有豐富的資料庫,當中詳細列出攻擊者用來獲取特權的已知後門程式手法。 包括:

後門程式技巧

說明

已知的侵犯工具

Mitre 攻擊對照表

確保 SDProp 一致性

控制 adminSDHolder 物件保持在無毒的狀態

Mimikatz (Golden Ticket)

權限提升、持續性

確保 SDProp 一致性

驗證使用者的主要群組沒有被變更

BloodHound

權限提升、持續性

驗證根網域物件權限

確保根網域物件上的權限設定是合理的

BloodHound

權限提升、持續性

驗證敏感的 GPO 物件與檔案權限

確保 GPO 物件和連結至敏感容器 (如網域控制器 OU) 的檔案權限設定是合理的

BloodHound

執行、權限提升、持續性

RODC KDC 帳號上的危險存取權限

某些唯讀網域控制器上所使用的 KDC 帳號可以被非法使用者帳號控制,導致認證外洩

Mimikatz (DCSync)

權限提升、持續性

對應至使用者帳號的敏感憑證

某些儲存在 altSecurityIdentities 使用者帳號屬性中的 X509 憑證能讓憑證的私密金鑰擁有者以該使用者的身分通過身分驗證

指令與控制、存取認證、權限提升、持續性

正常帳號上的不良 Krbtgt SPN 設定

KDC 的 Service Principal Name 會出現在某些正常的使用者帳號上,進而偽造 Kerberos 工單

Mimikatz (Golden Ticket)

權限提升、持續性

KDC 密碼上次更改

KDC 帳號密碼必須定期更改

Mimikatz (Golden Ticket)

存取認證、權限提升、持續性

帳號擁有危險的 SID History 屬性

檢查在 SID 歷程屬性中使用特權 SID 的使用者或電腦帳號

DeathStar

權限提升、持續性

流氓網域控制器

確保只有合法的網域控制器伺服器登錄至 Active Directory 基礎架構中

Mimikatz (DCShadow)

執行、規避防禦、權限提升、持續性

非法的 Bitlocker 金鑰存取控制

某些儲存在 Active Directory 中的 Bitlocker 復原金鑰可以被除了系統管理員以外的人員以及連結的電腦存取

ANSSI-ADCP

存取認證、權限提升、持續性

Schema 安全描述項中不正常的項目

Active Directory Schema 被修改為新的標準存取權限或可能危害受監控基礎架構的物件

BloodHound

權限提升、持續性

啟用 DSRM 帳號

Active Directory 復原帳號被啟用,使其曝露在認證遭竊的風險之中

Mimikatz (LSADump)

存取認證、執行、規避防禦、權限提升、持續性

在使用智慧卡時無法更新身分驗證雜湊

某些使用智慧卡身分驗證的使用者帳號無法經常更新其認證雜湊

Mimikatz (LSADump)

持續性

使用者帳號的密碼可還原

驗證不會有參數使得密碼以可還原的格式儲存

Mimikatz (DC 同步)

存取認證

在容器上使用明確的拒絕存取

某些 Active Directory 容器或 OU 會定義明確的拒絕存取,可能會導致後門程式隱藏

BloodHound

規避防禦、持續性

Tenable Identity Exposure 如何稽核 Active Directory?
Tenable Identity Exposure 是市場上唯一不需在網域控制器或端點進行任何部署的解決方案。 Tenable Identity Exposure 甚至只需要使用者層級的權限就能操作。 這套獨特的架構能讓資安團隊快速稽核 Active Directory 的組態,而不會有複雜的部署問題。
Tenable Identity Exposure 是 Active Directory 的時點安全稽核工具嗎?

AD 不當設定隨時都有可能發生,因此只有在 AD 啟動後數分鐘進行、而且只將重點放在不當設定,而沒有包括入侵指標的時點稽核已經過時。

另一方面,Tenable Identity Exposure 這個安全平台可以持續不斷地掃描企業的 AD 是否出現新的弱點和攻擊 - 在問題發生的當下向使用者發出警示。

Tenable Identity Exposure 可以偵測出 Golden Ticket 攻擊嗎?
可以,除了 Golden Ticket 之外,Tenable Identity Exposure 還可以偵測並預防其他多數攻擊手法。 透過數以百計的安全檢查並搭配同步進行的相互關聯分析,Tenable Identity Exposure 可以涵蓋最廣的 AD 安全範圍。
Tenable Identity Exposure 能夠與我的 SIEM / SOAR / 工單系統等整合在一起嗎?

AD 安全性是您資安拼圖中非常重要的一塊,而 Tenable Identity Exposure 能夠將其嚴密地融合在您的安全生態系統之中。

我們的 Syslog 整合性可確保所有 SIEM 及大多數的工單系統與 Tenable Identity Exposure 能夠立即整合。 我們也針對 QRadar、Splunk 和 Phantom 提供原生應用程式。

Tenable Identity Exposure 是雲端型解決方案嗎?
我們的解決方案同時支援雲端型和內部部署方案。這兩種部署方式在功能上沒有任何差異。
Tenable Identity Exposure 能不能擴充以配合 Active Directory 的多組織、多樹系部署環境?
Tenable Identity Exposure 已為某些最大型、最機密的 AD 提供保護。 我們的平台是以企業級解決方案建構,其無代理程式型 AD 原生架構能支援複雜的多組織、多樹系 Active Directory 部署環境。
Tenable Identity Exposure 的授權方式為何?
Tenable Identity Exposure 依啟用的使用者帳戶進行授權。
Tenable Identity Exposure 是否需要具備 Active Directory 的存取特權才能尋找弱點並應變攻擊?
Tenable Identity Exposure 只需要一般使用者帳戶就能稽核組態並分辨出攻擊者可對 Active Directory 發動的攻擊。
如何購買 Tenable Identity Exposure?
若要購買 Tenable Identity Exposure,請與您當地的 Tenable 認證合作夥伴洽談或是聯絡您的 Tenable 業務代表。
Tenable Identity Exposure 有提供試用嗎?
可以,Tenable Identity Exposure 可供試用,只要填寫評估申請表單,就可以立即試用。
Tenable Identity Exposure 真的很令人驚嘆,協助我們即時偵測與應變 Active Directory 攻擊,在弱點被攻擊者刺探利用之前找出並修復弱點。 資安長 旅遊指南平台

相關資源

國王的贖金 (鉅額贖金):如何防止勒索軟體透過 AD 散播

企業面臨的全球風險:AD 攻擊的影響

保障 Active Directory 的安全:如何主動偵測攻擊

開始使用 Tenable Identity Exposure

「藉由部署 Tenable Identity Exposure,我們拉起一條全球封鎖線,在企業網路安全風險方面給予利害關係人他們迫切需要的能見度。」 Sanofi 全球網路安全主管 Jean-Yves Poichotte

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練