案例分享 - 應用情資聯防技術主動防禦外部惡意入侵行為
應用情資聯防技術主動防禦外部惡意入侵行為
一、案例故事
掃描(Scanning)是駭客蒐集資訊的一個階段,駭客藉由掃描取得環境或主機端一些有用資訊,如特定目標之 IP 位址、作業系統、網路及主機系統架構與主機上所執行的服務等,並且進一步偵測出目標主機上所執行的作業系統類型及版本(OS fingerprinting),最後刺探出目標主機上正在執行或待命的網路服務與目標主機的IP位址之間的關係。
某企業客戶長期對外開放NAS、DB、ERP等重要伺服器,且尚未從防火牆嚴謹限制來源存取或設定最低權限,故導致多個外部來源IP可透過相關工具(NMAP等)對重要伺服器進行探測行為,該企業藉由「雲智維資訊顧問代管代為方案」發現企業資安問題,並成功預防資安事件擴大。
二、解決方案
使用「雲智維資訊顧問代管代維方案」,收集客戶單位中各種網路設備syslog、資安設備syslog、Flow及SNMP,從各式數據搭配AI即時分析,從中查找出重要的關鍵數據,找出客戶環境網路、資安問題所在。
該企業使用「雲智維資訊顧問代管代維方案」,並導入眾多網路設備syslog、資安設備syslog、Flow及SNMP數據,藉由平台AI智慧分析以及情資資料庫比對,快速知曉哪個來源在對重要伺服器進行掃描探測行為,並且透過自動聯防主動防禦外部入侵行為。
 |
| 外部惡意掃描行為 |
 |
| 主動情資聯防於防火牆 |
建議措施:
- 對外開放之服務應採用最小權限為原則。
- 如有重要服務(如SSH、RDP、FTP)需對外開放,應僅允許特定來源存取。
- 儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。
三、結論
該企業使用「雲智維資訊顧問代管代維方案」,發生異常事件時,可以幫助企業主動發現事件,其發現重要伺服器長期對外開放重要通訊埠,且防火牆尚未阻擋,以及藉由情資比對和AI智慧分析發現外部大量入侵掃描探測行為,使用「雲智維資訊顧問代管代維方案」,能夠主動幫企業找出問題點所在,並給予企業相關建議,而該企業逐步進行處理後,將此主機進行處置,成功預防內部資安事件擴大。
