网星安全Exchange集权安全解决方案_ITDR身份威胁检测与响应系统

网星安全Exchange集权安全解决方案

网星安全Exchange集权安全解决方案，融合ITDR身份威胁检测与响应系统及统一身份认证管理系统。实时监测Exchange环境下的身份异常行为，精准阻断威胁攻击，同时实现多场景统一认证与权限集中管控。通过动态风险分析与智能响应机制，强化邮件系统安全防护，为企业构建高效、安全的Exchange集权管理体系。

立即咨询

Exchange安全痛点 icon

未授权访问

缺乏有效的身份认证和授权措施可能导致未经授权的用户或攻击者访问系统资源和敏感数据。如果邮件和邮件附件的访问权限管理不当，可能导致敏感信息泄露。

漏洞攻击

Exchange作为微软生态中非常重要的一员，其爆发出的漏洞也是最多的。比如Exchange server的ProxyLogon系列、ProxyShell系列、CVE-2018-8581、CVE-2020-0688、CVE-
2021-24085等。

接口服务利用

Exchnage暴露多个接口，比如EWS、Powershell等常常被攻击者利用。通过EWS接口能够窃取用户邮箱敏感信息，很多漏洞基于Powershell接口进行利用，造成命令执行攻击。

身份冒用

身份冒用是攻击者向Exchange发起攻击最常用的攻击手法之一。攻击者可能伪造或盗用其他用户的凭据，或者伪造管理员的身份来登录到Exchange服务器或系统。

突破AD域的关键入口 icon

服务暴露

Exchange部署在AD域中，同时也向外网提供服务,因此一般Exchange被控制，攻击者就能直接进入AD域。

自身权限

Exchange机器账户本身具有高权限，常常被攻击者用于权限提升。

接口滥用

Exchange暴露的接口多，像EWS、Powershell、Autodiscover等经常被利用。

漏洞持续爆出

Exchange漏洞不断爆出，一般情况下攻击者只需一个普通邮箱账户凭据即可利用漏洞获取Exchange权限。

Exchange攻击案例 icon

针对Exchange的攻击已经体系化

安全理念

事前：脆弱性梳理

事中：威胁监测

威胁监测基于MITRE ATT&CK威胁模型矩阵设计。MITRE ATT&CK是一个基于真实网络攻击的战术和技术知识库模型，该模型将已知攻击的行为汇总成战术和技术的一种结构化列表，由于此列表相当全面的呈现了攻击者再攻击网络时所采用的行为，因此对于各种进攻性和防御性考量机制十分有用。

事后：威胁阻断

威胁阻断案例

攻击者利用木马获取某台办公主机控制权

攻击者通过信息收集获取敏感用户账号密码

攻击者使用高权限账号在非常用地址登录

攻击者登录后，集权设施发送登录日志给ITDR

ITDR分析用户行为后判断为威胁行为，联动集权

设施阻断IP及账号台

特色功能：身份威胁诱捕 icon

ITDR独特的提供了与集权设施的集成，可以重定向身份认证流量到蜜网以实现身份安全，并分析攻击者行为进行溯源反制。

创建蜜罐账户（高强度无规则密码48位字符密码穷举时间超过200年，无任何业务使用此账户）

域控、桌管、EDR下发脚本将蜜罐账户凭据写入到主机内存、浏览器、凭据管理器等位置

实时监测身份蜜罐账户行为，捕获攻击者所在位置与攻击方式

管理视角威胁分析

管理视角威胁分析

管理视角威胁分析

产品形态

ITDR分析运营中心

部署在客户安全管理网络中，对采集到的数据进行分析，识别脆弱性，发现威胁行为，联动域控进行处置指令下发
可拆分为分析中心与管理运营中心，做集群分布式部署
可虚拟化部署台

域控传感器

软件形态，部署在域控上采集日志与流量数据
性能消耗不影响域控业务
平台侧可监控域控性能，配置阈值

、

分级部署

分支Exchange安装Agent，将原始数据发送到本地分析运营中心进行告警与处置，各分支分析运营中心将分析后的日志数据发送给总部进行统一汇总，实现集团Exchange安全态势展示与数据归档的目的。

解决方案-客户案例（Exchange未打补丁遭受攻击） icon

案例背景

2023年9月，某企业Exchange未打补丁，导致重要信息泄露。经过专业团队进行调查取证，发现攻击者首先通过信息收集，获得了目标企业的员工的邮箱账号,通过批量给企业内部员工发送钓鱼邮件,控制了目标企业办公网的一台员工电脑。

攻击者以控制的电脑为据点，在内网进行信息收集，通过内网定位发现Exchange,并对Exchange进行信息收集，发现Exchange存在漏洞CVE-2018-8581。攻击者结合CVE-2018-8581漏洞和NTLMrelay攻击，给指定邮箱账户添加DCSync权限，最终获取域管权限。通过查询LDAP结构，攻击者发现了研发相关的机器以及账户,并且重置研发的账户密码，最终登录到研发机器，窃取相关重要源码。

解决方案

事前-基线排查:发现4条中高危项基线并对其进行了整改。
事中-事件监测:攻击者再次发起攻击，信息收集（内网ip探测、版本探测）、权限获取（Proxylogon、Proxyshell、）、后门持久化（邮箱委托）。
事后-应急处置:定位失陷Exchange以及失陷终端、分析相关安全日志、全盘杀毒、全公司防病毒软件状态排查、安全意识培训

客户价值

事前：全面梳理Exchange的攻击面与风险点.
事中：实时监测，协助客户发现了针对Exchange的攻击者。
事后：协助客户对Exchange进行全面加固，针对Exchange防护弱点进行持续改进。

关于我们

北京中安网星科技有限责任公司（以下简称“网星安全”），创立于2020年，作为专业解决企业身份安全威胁的网络安全公司，网星安全始终秉持“创建一个防御者比攻击者更有优势的网络世界”愿景，以更快的速度、更大的规模覆盖和更高的准确性击败攻击者的每一次攻击。
公司聚焦于“身份威胁检测与响应（ITDR）”，以AD安全防护问题切入身份安全治理，延伸覆盖Exchange、Jumpserver、Vcenter、K8S、公有云等场景，为身份安全检测与响应（ITDR）解决方案的落地打下了坚实的基础。网星安全将客户放在首位，将传统的客户关系转变为真正的合作伙伴关系，为用户提供更立体的身份安全体系。凭借扎实的技术研发实力，现已横向覆盖各行业多个领域，包含金融、交通、能源、科技、消费等超100家大型企业。

产品推荐

云语智能AI外呼系统

云语智能 AI 外呼系统，搭载最新一代 AI 大模型电话机器人，是智能电销优选方案。集成话术编辑器、ASR 流接口等多功能模块，支持真人录音与 TTS 混合放音、NLP 知识库及流程管控，适配多样化外呼场景。依托 ChatGPT、DEEPSEEK 大模型开发的意向标签功能，精准度提升 40%+，人力成本降低 30%+，助力企业高效触达客户、挖掘商机，重塑智能外呼新效能。

免费试用

查看详情