核心洞察
- 大多數端點入侵成功的原因在於特權濫用,而非技術性漏洞。
- 身分是新的防禦邊界;端點特權是攻擊者橫向移動的「核心目標」。
- 端點特權管理 (EPM) 可對特權在運行時「如何」及「何時」被使用進行精細控制。
六大主要的特權攻擊向量
攻擊者依賴過度授權與管理盲點來推進其目標。常見技術包括:
本地特權提升 (LPE)
利用漏洞從標準使用者帳戶提升至完整的管理員存取權限。
利用漏洞從標準使用者帳戶提升至完整的管理員存取權限。
憑證竊取
從記憶體中提取憑證(如使用 Mimikatz),以便跨系統冒充使用者。
從記憶體中提取憑證(如使用 Mimikatz),以便跨系統冒充使用者。
離地攻擊 (LotL)
濫用 PowerShell 和 WMI 等受信任的系統工具,在不被察覺的情況下執行惡意操作。
濫用 PowerShell 和 WMI 等受信任的系統工具,在不被察覺的情況下執行惡意操作。
濫用本地管理員權限
透過受侵害的管理員帳戶,獲得對系統設定和敏感數據的無限制控制權。
透過受侵害的管理員帳戶,獲得對系統設定和敏感數據的無限制控制權。
無檔案與腳本攻擊
利用提升的權限直接在記憶體中執行惡意代碼,規避磁碟鑑識。
利用提升的權限直接在記憶體中執行惡意代碼,規避磁碟鑑識。
應用程式誤用
利用受信任的應用程式情境,透過修改過的二進位檔案繞過安全控制。
利用受信任的應用程式情境,透過修改過的二進位檔案繞過安全控制。
由 Segura® EPM 驅動的防禦模型
Segura® EPM 與零信任原則完全對齊,確保每一項特權操作都經過驗證與監控。
| 防禦維度 | Segura® EPM 能力 | 預期成效 |
|---|---|---|
| 本地管理員權限 | 消除永久性管理員身分;將存取轉化為受監控的提升請求。 | 大幅減少攻擊面,中斷勒索軟體傳播。 |
| 即時 (JIT) 提升 | 僅針對特定任務授予臨時特權,並在完成後自動過期。 | 抵銷攻擊者對持續性特權的依賴。 |
| 應用程式控制 | 動態白名單防止未經授權的腳本和二進位檔案以高權限執行。 | 阻斷離地攻擊 (LotL) 和 DLL 側載。 |
| SOC 可視化 | 將提升嘗試與異常模式的即時遙測數據發送至 SIEM/XDR。 | 將特權濫用轉化為高保真度的偵測訊號。 |
保護機器身分
服務帳戶和機器身分經常被忽視,卻是常見的橫向移動向量。Segura® 對自動化工具實施最小權限原則,防止機器令牌被利用於特權提升。
結論
在混合與 SaaS 主導的環境中,傳統的 EPP 和防毒軟體已不足夠。Segura® 端點特權管理透過將特權從弱點轉化為受控、可審計且具韌性的安全資產,提供關鍵的防禦層。
探索 Segura® EPM
在不中斷營運的情況下減少本地管理員風險,支援零信任策略。
關於 Segura®
Segura® 致力於確保企業對其特權操作與資訊的自主掌控。為此,我們透過追蹤管理者在網絡、伺服器、資料庫及眾多裝置上的操作,有效防範資料竊取。此外,我們也協助企業符合稽核要求及最嚴格的標準,包括 PCI DSS、沙賓法案(Sarbanes-Oxley)、ISO 27001 及 HIPAA。
關於Version 2
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
