检测和阻断进行中的攻击

为了确保网络安全,组织需谨记以下几点:攻击者终将入侵到内部。一旦侵入,攻击者就可通过假冒授权用户潜伏数月进行操作而不被察觉。这种内部访问手段使入侵者可以损坏企业声誉,造成经济损失,并且窃取知识产权,给企业带来无法挽回的损失。通过针对性分析,即使攻击者貌似授权用户,企业也能更早地检测出来,从而让安全团队能够立即做出响应,对正在进行的攻击采取控制措施。
CyberArk Privileged Threat Analytics特权威胁分析 是 CyberArk 特权账号安全解决方案的一部分,是针对特权账号网络攻击进行检测、警报以及响应的一套安全智能系统。该解决方案能实时识别攻击,并立即采取响应措施,以防攻击者发起进一步攻击。该解决方案的核心在于,分析引擎运行一组复杂的专有算法(包括确定性算法和基于行为的算法)来处理用户、特权账号和网络流量,以在攻击周期的早期阶段检测出危险迹象。通过尽早识别攻击者,安全团队可以获得更多宝贵的时间,在攻击中断业务前加以阻止。

  1. 特色
  2. 优点
  • 内置专有算法执行用户、特权账号和网络行为分析,检测以前未被识别的攻击迹象,例如可疑的密码盗窃、攻击者在内网横向移动以获得权限提升。
  • 自学型分析引擎随时间而调整,以适应特权账号行为模式的变化。
  • Kerberos 攻击检测让组织能检测到利用 Windows 身份验证协议的漏洞而发起的潜在灾难性攻击,并采取响应措施。
  • 威胁分数为每个个体事件分配一个威胁分数,从而优先处理风险最大的事件。
  • 针对性的可操作警报包括详细的事件信息,以便事件响应团队能够立即对检测到的可疑活动采取措施。
  • 自动响应检测到的威胁,简化事件响应的流程,让安全团队可立即吊销怀疑被盗的特权密码,不需要人为干涉。
  • 详情仪表盘对事件和威胁级别进行可视化呈现,使事件响应团队能够快速审查历史事件,并在必要时立即采取行动。
  • 与 SIEM 解决方案双向集成使安全团队可利用现有的 SIEM 部署,聚合数据用于针对性分析,并发送警报,将涉及特权账号的事件优先处理。
  • 将威胁检测重点放在特权账号活动以及重要攻击向量方面,极大地缩短了攻击者的时机,减少了损失。
  • 利用由特权账号安全专家所编写并不断更新的内置算法进行分析,快速检测攻击。
  • 采用机器学习算法,根据特权账号行为随时间的变化而不断调整基线行为配置文件,使威胁检测适应持续变化的风险环境。
  • 对怀疑被盗的特权密码自动采取响应措施,以防攻击者继续使用已被盗用的密码。
  • 即时访问与检测到的事件相关的详细信息,加快修复速度。
  • 利用 SIEM 解决方案中现有的网络分流聚合器和端点连接器进行无缝的数据收集,利用现有基础设施,缩短实现价值的时间。
  • 提供简便易懂的图形和表格,快速评估基线文件和警报。