iT邦幫忙

1

請教關於防駭的解決方案

  • 分享至 

  • xImage

公司是使用卡巴斯基防毒, 但不時還是會發生事件檢示器被清光, 公司電腦被當跳板

目前已知病毒基本上都可以防, 但就是無法防駭, 這個月剛好POC卡巴EDR+sandbox, 主機一樣被駭, sandbox也完全沒感覺, 想請教大家關於自己公司的防駭, 有什麼有效的做法, 或是有什麼產品可以來做預防與協助? 花錢&不花錢的方式都可以分享, 先謝謝大家!

看更多先前的討論...收起先前的討論...
ahfuyeuem iT邦研究生 4 級 ‧ 2022-06-22 16:53:59 檢舉
換防毒吧 CrowdStrike 還可以當SPAM
mathewkl iT邦高手 1 級 ‧ 2022-06-22 16:58:46 檢舉
沒架構很難答,先找廠商抓藥吧,看哪個途徑進來的,是誰一直當跳板..
supermaxfight iT邦研究生 5 級 ‧ 2022-06-23 08:32:20 檢舉
貴公司有無安裝IPGuard之類的軟體...
rofellos iT邦新手 2 級 ‧ 2022-06-23 10:17:17 檢舉
買防火牆 ,例如 fortigate
rb1102 iT邦研究生 3 級 ‧ 2022-06-23 13:42:42 檢舉
防毒只防端點,其他面向沒辦法單靠防毒
bbq925 iT邦新手 5 級 ‧ 2022-06-23 13:50:46 檢舉
公司防火牆是fortigate, 沒有使用IPGuard之類的軟體, 端點PC>防火牆是開wan all連外網
mathewkl iT邦高手 1 級 ‧ 2022-06-23 14:38:27 檢舉
WAN to Client的部分呢? 有deny還是以開放ALL?
idlewu iT邦新手 4 級 ‧ 2022-06-26 10:19:12 檢舉
防火牆可以先把lan->wan all deny,然後只開必要的如HTTP/HTTPS,然後再依需要開Port(同仁反映,可能會黑掉)
防毒軟體建議用企業版的,也就是有管理console的,可以知道所有電腦的狀態,定期檢查每台的狀態
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
mytiny
iT邦超人 1 級 ‧ 2022-06-22 17:48:03

到現在還有人相信只用防毒就有資安???
難道不知道有virustotal這種地方
誰會把已知又能被偵測到的用來攻擊呢

先問問有關架構
1.在內網PC到主機(Server或NAS)的網路中間,有任何防護或安全檢核的系統嗎?
2.當公司允許員工外部連入,有任何的資安檢核或防護嗎?
3.所有LOG有每日常檢視不合理或可疑的地方嗎?

不要怪老闆覺得MIS很閒
駭客並不是神仙,不能短時間就攻破防禦
當其在公司內部竄流的時候
為什麼不能早期發現予以排除
是沒有工具還是因為疏忽
還是整個Infra架構陳舊且沒有資安觀念?

bbq925 iT邦新手 5 級 ‧ 2022-06-23 13:55:28 檢舉

1.在內網PC到主機(Server或NAS)的網路中間,有任何防護或安全檢核的系統嗎?
A: 沒有, 內網PC & server & NAS, 分別接到fortigate不同的port
2.當公司允許員工外部連入,有任何的資安檢核或防護嗎?
A: 沒有, 外部連入需求只有VPN for WFH
3.所有LOG有每日常檢視不合理或可疑的地方嗎?
A: 沒有, 因資料量太多, 且沒有判斷log是否有問題的專業, 主要是看fortigate是否有流量異常 & 卡巴中控是否有阻擋到異常存取

bbq925 iT邦新手 5 級 ‧ 2022-06-23 13:59:19 檢舉

不要怪老闆覺得MIS很閒
A: 除了MIS工作, 還有很多其他運維系統要處理跟監控, 但目前也就只有一人要全包

駭客並不是神仙,不能短時間就攻破防禦
當其在公司內部竄流的時候
為什麼不能早期發現予以排除
A: 有找過一些EDR相關解決方案, 但本人因沒有資安背景, 無法判別有
異常資訊的下一步要怎麼做才能有效果

是沒有工具還是因為疏忽
還是整個Infra架構陳舊且沒有資安觀念?
A: 的確如您所說, 所以目前正在survey有效的資安防範solution

mytiny iT邦超人 1 級 ‧ 2022-06-23 15:28:27 檢舉

請善用手邊既有的資源

  1. Fortigate可以組成資安鐵三角,讓每一個端點接入時,均有防入侵及防毒作用,所以網路橫向通訊也受到資安保護
  2. 如果採用FortiClient SSL_VPN接入,每個進來的流量,防火牆均可以做防入侵防毒的作用,去到內網哪台主機應可受政策限制,同時加購OTP可以確認登入者身分
  3. LOG紀錄需在每條防火牆政策開啟完整記錄,如需長時間觀察,請選購FAZ,如要更增強主動防禦資安、再加購IoC授權
  4. EDR及NDR都需要輔助研判做成MDR,這分析需要額外費用,Forti即將有小數額授權釋出
  5. 一人全包工作是MIS常態,主要應善用SI資源,找到對的SI可大大提升效率,不過好的MIS也需要有能力才找的到適合的SI
  6. 綜上,似乎花費成本並不高,主要是沒有對的SI提供正確的資安知識,比如在建置FGT初期就應該能說明以上全部內容與細節。
1

大約相關的費用給你參考

使用的方法             有效程度        費用       人力成本(NT/月)
==========================================================
防毒系統              15~35%             低          一次性或0~1000/月
防護及防火            40~60%(依人力)   中低         0 或 5000/次 或 30000/月
硬體架設              50~80%(依人力)   中高         10000起/次 
雲端                  50~90%(依人力)   中高         5000~10000/月
專業的「門神」人員     80~99%           高          50000起/月    

以上參考。想要有效的防護,只能找專業的。
當純想靠工具安裝處理。能防住60%就算很了不起了。(至少目前沒看見過)

表列只是人力成本,設備的話,人均每個月請先預估十萬上下,這還是基本價,不是豪華套餐,我們公司十個人而已,之前問過主動式防禦 + 文件安管 + 防毒防駭 一年就要兩百多萬,設備的部分還要在一百多萬,每年的MA還要三十萬左右,設備最多只能五年就要換掉,這只是基本而已,沒說有多好的配置

其實我是忘了將費用的價格範圍給列出來了。
低 < 50000
中 50000 ~ 300000
高 > 300000

只是大約列一些。沒很詳盡評估。
想說先這樣就好了

bbq925 iT邦新手 5 級 ‧ 2022-06-23 14:09:01 檢舉

謝謝提供費用資訊, 目前會走需求導向, 有效益的做法費用都可以再評估

0
打雜工
iT邦研究生 1 級 ‧ 2022-06-23 11:12:47

您沒給提供更精確的資訊,很難給出具體建議。

bbq925 iT邦新手 5 級 ‧ 2022-06-23 14:04:46 檢舉

公司使用fortigate firewall, PC端點連到網際網路是全開, 沒有使用proxy, 端點只有安裝防毒, 有評估做rds & vdi架構來做到隔離外網效果, 但這對IT人員工作上造成極大不便, 我知道愈安全愈不方便, 目前也還在找最適合的資安防範solution

popokoko iT邦新手 3 級 ‧ 2022-06-24 00:53:38 檢舉

對於公司的網路需要做一個健檢,當然不是靠人力,先了解一下network security monitor來查核公司目前網路封包的走向,有哪些異常的封包正在發生進而看見即將發生的事情,在未來也可以針對已經發生的事件進行檢視,把數據圖形化,老闆才會有感,你也才能安心

0
chaocheng
iT邦新手 5 級 ‧ 2022-06-24 11:31:03

Server 接在Fortigate 上的 port,用firewall Policy 先限制那些IP可以連線,做基本的防護。如果方便,可以提供網路架構圖嗎,這樣討論起來比較容易。

我要發表回答

立即登入回答