如何在不影響員工生產力的前提下進行端點防護?
根據 Accenture study 最新研究指出,已有 63% 的高成長企業採用「隨處生產力(Anywhere Productivity)」模式。未來的工作型態,將「
全球企業正快速採用混合辦公模式,
當事件應變(Incident Response)專家正式介入時,
1. 移除本機管理員權限(Local Admin Rights)
Microsoft Windows、macOS 與 Linux 的管理員帳號,通常被用於安裝與更新工作站軟體、
將本機管理員權限從一般使用者移除,並透過安全數位保險庫(
2. 落實最小權限原則(Least Privilege)
員工有時確實需要執行需要管理權限的工作。透過 Just-in-Time(JIT)即時特權存取,可依據政策,
3. 建立應用程式控管政策(Application Control Policies)
要在端點有效阻擋勒索軟體與其他攻擊,不能只依靠允許清單(Al
- 建立灰名單(Greylist)機制
例如將未知應用程式放入 Sandbox(沙箱)執行,允許其運作但禁止對外網路連線,以降低勒索軟體風險。 - 建立進階條件式政策(Conditional Policies)
讓使用者能安全使用可信任應用程式。例如允許 Excel 執行,但禁止其啟動 PowerShell,以防範 BazarBackdoor 等惡意程式的攻擊。 - 建立完整執行檔規則
包含針對特定執行檔(如 Hash、檔名、檔案路徑)以及執行檔群組進行管理。例如允許由特定供應商簽章、具特定產品名稱、 且來源為可信更新來源的應用程式自動執行。
4. 保護快取憑證(Cached Credentials)
憑證竊取(Credential Theft)是目前企業最大的風險來源之一。
攻擊者取得這些被竊取的憑證後,甚至可能繞過 Single Sign-On(SSO)機制。
5. 建立誘捕機制(Deception / Trap)
談到偵測能力,具備特權欺敵(Privilege Deception)功能的端點防護工具,例如建立假的 Honeypot 特權帳號,可有效在攻擊初期即識別潛在攻擊者。
6. 監控特權活動(Privileged Activity Monitoring)
攻擊者通常會長時間潛伏,持續偵查防禦機制並規劃下一步行動。
完整保存特權活動紀錄,也有助於加速法遵稽核(
員工工作站防護不足,是在事件應變工作中最常見的資安缺口之一。
不要等到被攻擊才開始準備,而是現在就假設自己已經遭到入侵。
透過落實以 Identity Security 為核心的風險降低措施,將工作站與伺服器進行隔離,並採用多層式
