現時市面上的 SIEM 一般都是以大包圍方式向企業 IT 團隊發出警示，數量多而且當中缺乏有用分析。但 Fortinet 所研發的 SIEM，憑藉自家龐大、而且最 Update 的網絡威脅數據庫（FortiGuard），再加上AI Intelligence，令 FortiSIEM 能夠自動，同時有效分辨出真正的網絡攻擊，再按嚴重性，發出不同等級的警示。如此一來，IT 團隊就可以優先處理重要項目，採取最有效的行動去防止網絡攻擊。

iCON 將會以提升 SIEM 執行效率為主題，舉辦一場網上研討會，如果想了解更多，就立即報名參加吧。

網上研討會詳情
主題：Fortinet FortiSIEM – Your Best Weapon to Detect & Respond to Cybersecurity Threats
日期：2021 年 12 月 8 日
時間：3pm – 4pm
語言：廣東話

疫情下勒索軟件攻擊暴增，但很多企業只專注在外來網絡攻擊，例如 Firewall 或 Antivirus，忽略了保護 Active Directory 的重要性。當 Ransomware Attack AD 的時候，往往會連 Database 也加密了，以致很多 Applications 都沒有辦法Login，令公司突然停止運作。這個時候大家會想，可否使用 Backup Software 去 Recover，但其實沒有辦法的，只可以 Recover OS。

Quest Solution 於 AD Security And Protection 方面，能夠提供一些 Native Tools 沒辦法做到的 Functions。Quest Regional Technical Manager Eric Chan 表示，「我們的 Change Auditor 可以 Detect 到異常活動，例如收工後突然很多 Logon Fail，它會 Block 了這個 Account 並 Send Alert。」

Change Auditor 針對性保護

他續稱，「除了 Audit 之外，Change Auditor 亦會提供一些 Protection 功能，針對重要的 Group、Privileged Account 進行保護，即使黑客偷取了 Domain Admin，亦都沒辦法為所欲為，所有 Log都會記下來，日後都可以 Audit。」

Recovery 方面，如果根據 50 多頁 Microsoft Guideline 去做，會很花費時間。Quest 的 Recovery Manager 可以一 Click 便自動 Recover，令 Downtime 由一至兩日，縮短到一至兩小時之內。

「我們可以縮短 Recover 時間，無論 Recover 整個 Forest 去到 Domain，甚至 AD 中的 Object，都能做到 Granular Restore，讓受影響 User 能夠盡快恢復工作，亦不用 Reboot Domain Controller。」Eric Chan 表示。

做到 Azure AD Backup And Recovery

除了On-Prem之外，Quest 的 Solution 亦延伸至 O365 層面，可以做到 Azure AD Backup And Recovery。Eric Chan 說：「大家可能覺得 Azure 的 Recylcle Bin 可以 Keep 30 日，或者 On-Prem Sync上 Cloud，但其實 Azure AD 有特別的 Attribute，AAD Groups、Group Membership 都沒辦法由 Recycle Bin Recover。」

Quest 的 SaaS Solution 可以解決以上限制，連同 Recovery Manager，可以一次過保護客戶的Hybrid AD Infrastructure。如想了解更多 Quest Solution，可以向 Amidas 查詢，或參加 12 月由 Amidas 和 Quest 舉行的 Webinar。

#網上研討會詳情
主題：Things To Consider For Your Active Directory and Endpoints
日期：2021 年 12 月 9 日
時間：3pm – 4pm
語言：粵語
立即免費報名：https://bit.ly/3FEfzFH

釣魚電郵又有新攻擊手法，黑客利用 Microsoft Exchange 伺服器早前被發現的 ProxyShell 及 ProxyLogon 漏洞，入侵企業帳戶，假扮員工向其他人發送內部回覆電郵，成功避過電郵防護系統的攔截。要成全這種攻擊，最要感謝企業 IT 部門未有為伺服器安裝安全更新檔案。

釣魚攻擊的成功率，取決於電郵能否令收件者相信沒有可疑之處，例如發送者的身份有否被驗證、電郵內的連結或檔案是否可疑等。從人類角度出發，如收件者的安全意識夠高，首先會檢查發送者的電郵地址是否偽裝、電郵內文是否錯字連篇；而從電郵防護系統出發，分析的準則就更多，系統甚至會檢查連結傳導的網頁是否與官方有分別。在眾多因素影響下，釣魚電郵攻擊者便要不斷改變攻擊方法，才能讓電郵落入收件夾及令收件者開啟惡意檔案或連結。網絡安全公司 Trend Micro 研究員最近便發現了一項有趣的攻擊手法，並撰文於網誌上跟大家分享。

研究員指出，黑客這次的目標是入侵企業電郵系統，當取得其中一個員工的電郵帳戶後，便會利用回覆電郵手法，將帶有惡意軟件的電郵發送給其他員工，如有員工信以為真，黑客便可於對方電腦安裝惡意軟件如 Qbot、IcedID、Cobalt Strike 及 SquirrelWaffle 等，當中滲透測試工具 Cobalt Strike 更是勒索軟件集團愛使用的工具，因為它的合法性可避開防護工具的偵測，讓黑客在內部網絡建立立足點。研究員解析，黑客選擇以內部回覆電郵發送惡意軟件的原因在於，這些電郵已通過驗證，而且表面上看來似乎是員工之間的電郵回覆，因此既可獲得電郵防護系統放行，收件者亦較傾向相信電郵的指示，大大提高釣魚電郵攻擊的成功率。

不過，研究員指出攻擊者的入侵第一步，即取得企業員工的電郵帳戶，是借助 Microsoft Exchange Server 兩個已知的漏洞，分別是今年三月及四月被發現的 ProxyLogon 及 ProxyShell 漏洞，雖然 Microsoft 方面已推出了修補檔案超過半年，但從這次事件可見，依然有不少企業仍未安裝安全更新檔案，所以即使購買了多少安全工具也好，如果沒有第一時間堵塞已知漏洞，便等於大開中門，邀請黑客入侵。

資源來源：https://bit.ly/3x8qCEa