SOLUTION
問題情境
安裝代理軟體的終端安全方案仍存在死角,多數企業環境內,無法完善安裝的裝置數量在持續增長:
• 企業內部許多在線裝置常因未定期更新版本,容易形成外部入侵的節點,如何確保企業防毒軟體及應用程式能如實運作?
• 不明的外接設備(如:USB)進行資料存取,造成極大的機密資料外洩及勒索風險。
• 如何確保企業及單位內部設備符合政府規範,同時也針對其健康度來把控?
解決方案
UPAS ITAM全面資產管理與安全監控,自動掃描終端設備,收集軟體及系統資訊,監控USB及外接設備,設定權限以防止資料外洩,整合弱點資料庫,自動識別及修補系統漏洞,提升系統安全性; 遠端運維和管理,提供遠程桌面管理和檔案派送、訊息推送和群組廣播功能,有效管控和維護設備;強化信任評估與存取控制,根據設備安全性資料及身分鑑別,評估存取時的信任分數,決定存取權限;提供設備安全性檢視、信任分數資訊和存取歷史紀錄,協助管理者做出適當的存取決策。
特色功能
安裝軟體合規與版權清查
能對Windows、macOS及Linux作業系統進行檢查:包含Windows OS Patch、防毒軟體、病毒碼、應裝軟體安裝/更新、軟體版權數量檢查,如不符規範則強制斷網並要求進行修補
自動化的軟體禁用政策
可自訂禁用軟體安裝清單和使用清單(包括免安裝綠色軟體),並對Windows作業系統設備進行偵測,偵測到安裝則強迫卸載,偵測到運行則強制關閉,減少不安全軟體所帶來的風險
自訂USB存取管理政策
有效管理隨身碟、記憶卡、行動裝置、網路卡以及外接光碟機等USB外接設備,可設定存取權限,防止來路不明的外接設備進行資料傳輸與存取
掌握漏洞及時修補
透過介接NVD資料庫,同步更新所有已知安全漏洞,當環境有設備安裝風險軟體或Windows KB沒有更新到安全版本,將顯示於管理頁面,及時通知管理人員處置
提升設備合規比率
及時找出不符合防毒與Windows更新設備,並支援自動修補,當修補完成後才允許使用網路,避免企業內網暴露在違規所造成的風險之中
找出未納管設備避免風險
透過掃描設備的軟體安裝情況,找出未安裝/更新指定軟體的設備,讓管理人員能夠盡早透過重導網頁派發軟體安裝/更新檔,告知員工盡速修補漏洞
隔離檢查所有新接入設備
當新設備第一次接入網路時,立即阻斷其連網能力,同時對其進行安全檢查、修補,直至其達成所要求的安全規範後,才重新給予權限,避免新設備所帶來的風險
遠端完成設備維運、軟體安裝
當設備有維運需求或是軟體版本有漏洞需要更新,可在管理頁面中達成遠端連線及檔案指令派算、軟體移除、訊息公告,一次完成多台設備的安全維護
輕鬆設定設備GCB,維持網路安全
目前公部門GCB原則,使用者根據需求自訂規範、支援匯出例外原則。設定完後即可將其套用至指定設備中,並透過持續檢查避免設備私自修改原則,維持網路安全
涵蓋模組
補丁管理模組
透過在終端設備部署Agent,PM補丁管理模組定時掃描獲得內網連線設備軟體總表、Windows作業系統版號/KB、防毒軟體資訊與病毒碼版本;藉由軟體總表搜集可進行檢查:應裝軟體、禁用軟體、軟體使用版權數量、軟體版本、是否回報WSUS Server等;若有違規情形發生(應安裝卻未安裝、不該裝卻安裝、使用盜版軟體等),可對其斷網並重導頁面告知管制原因,於修復後才恢復其連網能力。
設備管理模組
透過在終端設備部署Agent,DM設備管理模組識別並控管 USB儲存設備、記憶卡等USB外接裝置,可設定電腦對於接入裝置的權限,像是可否接入裝置和有無權限修改,避免機敏資料外洩;建立USB儲存裝置白名單,防止未經驗證的不明USB儲存裝置進行資料傳輸與存取;偵測並禁止設備使用無線網路或藍牙,防止繞過企業網路使用私人網路傳輸機敏資料。
遠程運維模組
在終端設備部署Agent,ROM遠程運維模組搜集設備各項軟硬體型號與規格等資訊,並進行遠程運維管理。具備遠端桌面管理功能及檔案派送、軟體刪除功能。搭配參數指令,可實施檔案靜默安裝。並提供訊息推送及群組廣播功能,讓管理人員便於對終端設備進行管控、維護。使用者也可以自行向管理人員發出遠端桌面需求,透過Agent UI說明問題,讓管理人員及時協助處理。
信任推斷模組
信任推斷模組透過盤點設備資訊(包括OS、防毒、安裝軟體以及潛在風險漏洞),作為設備安全性評估的依據。收集的安全性資料結合身分鑑別、設備鑑別,能作為於資源存取時信任分數評估之標準,並由決策控制器決定存取結果。此模組功能包含設備安全性檢視、信任分數資訊、儀表板統計數據以及歷史紀錄。
GPO 檢測模組
GPO管理模組支援最新版本的TWGCB,在高完成度的資產盤點下,不需要擁有WMI網域最高權限,即可對網域內設備進行GPO套用檢測,針對GPO不合規設備可進行自動修補或手動修補,並自動回報套用結果、提供修補紀錄。具備組態一鍵還原功能,能將設備還原至套用GPO之前的組態,以免設備套用GPO後無法正常運作。
弱點修補系統
整合NVD弱點資料庫,自動比對環境內電腦軟體資產弱點,統一查詢企業電腦軟體資產是否有NVD公布之CVE漏洞。可由CVE檢視微軟類弱點以及非微軟類弱點,或是由設備KBID檢視設備是否有安裝修復相關 CVE弱點的KB、由設備軟體檢視有多少設備安裝具有CVE漏洞的軟體,透過軟體更新檢查、軟體派送、Agent UI、重導頁面等方式修補漏洞。並支援CPE清單匯出,一鍵上傳資安院VANS系統,輕鬆完成稽核。
