# TrustONE :::success ## 資安攻擊事件-網頁竄改攻擊/非法入侵 > - 非法入侵 : 駭客透過入侵遠端操作工具，橫向攻擊營運主機、老舊主機或產線機台，以加密或竊取資料庫/備份資料。 > - 網頁攻擊 : 駭客入侵網站網頁資料、進行惡意至換頁面、植入後門程式，或是竄改設定檔指向假網頁。 > - AD惡意派送 : 駭客入侵AD帳號系統，竄改AD GPO資料派送惡意程式，短時間內大量攻擊多台核心主機資料。 ::: :::info ## TrustONE 防網頁竄改 - WAF+弱點掃描(防火牆): - 使用特徵馬比對及行為模式分析技術。 - 針對新型態駭客攻擊會有漏網之魚。 - 防網頁竄改(網站伺服器) - 零信任安全代理(伺服器/主機): - 零信任確認身分、應用程式擊IP網段的隔離機制。 - SQL/備份主機 匿蹤區域防禦(營運主機/老舊主機/產線機台) - 防AD惡意派送(AD) - XDR(端點) ::: :::warning ## TrustONE Server系統需求 - 安裝環境(VM亦可) - Windows : Server 2012 R2-2022 Standard以上 - Linux : Ubuntu 20(含)以上、Cent OS 7(含)以上、Red Hat 7.9(含)以上、Oracle Linux 7.9(含)以上-需關閉Secure Boot - 建議硬體設備 - CPU:4核心 - RAM:16GB or above - Disk:100GB可用硬碟空間 ::: ## 零信任主動防禦(Zero Trust) - 網站管理員雙因子驗證:透過Email或手機APP提供一次性驗證。 - 持續監控網頁&通報:以事件紀錄器的方式，持續監控包括人/事/時/地/物各類可疑資訊。 - 網頁資料隱形化:對於內部機敏資料應採取適當保護措施，不輕易暴露或被存取。 ## TrustONE防網頁竄改五大護法 #### 一、隱藏:隱藏保護網站資料夾 - TrustONE防護功能優勢: - 可有效阻絕駭客通過"上傳資料功能的動態網頁"進行攻擊。 #### 二、管理者OTP:管理者雙因子身分驗證 - TrustONE防護功能優勢: - 與作業系統管理者權限脫鉤。 #### 三、唯讀:防寫入強化防護 - TrustONE防護功能優勢: - 唯讀功能可抵禦駭客新型態惡意攻擊手法。 - 駭客攻擊模式一:從內部入侵主機，隱藏網站網頁資料夾(jsp、php、asp、aspx...)安全程序&資料夾:設為唯讀，駭客無法修改網頁資料。 - 駭客攻擊模式二:從外部入侵網站，隱藏網站網頁資料夾(jsp、php、asp、aspx...)安全程序&資料夾，駭客無法修改網頁資料。 - 建議保護方式: - 網頁程式:設定「隱藏唯讀」。 - 網頁資料夾:若這些資料除了上版之外不會更動，設定「隱藏唯讀」。 - 具有上傳功能網頁資料夾:設定「隱藏+定時唯讀」。 - TrustONE 防網頁竄改保護對外及對內網站。 #### 四、復原:網頁異動偵測回覆 - TrustONE防護功能優勢: - 符合「行政院資安警戒專案」規定。 - 提供自動還原功能。 - 搭配多層防護達到攻守兼備的效果。 #### 五、通報(警示):威脅情資主動告警&紀錄 - 通報: - 記載詳盡事件紀錄 - 可依照特定條件設定 - 即時通報告警功能(Email、Line Notify) ## 網頁竄改攻擊除了惡意置換網頁或植入惡意程式之外，駭客還能竄改IIS 設定檔，指向到另一個假網頁(惡意置換網頁或釣魚網頁)該怎麼辦？ - 駭客入侵網站 > 惡意置換網頁 > 植入惡意程式導向惡意網站 > 竄改IIS設定檔指向假網站 ### 防竄改網站IIS設定檔 - (1)管理員雙因子認證 (2)隱藏保護IIS設定檔 - 設定隱藏IIS設定檔，管理員透過TrustONE雙因子認證始能使用管理介面，避免駭客設定IIS指向另一個資料夾，達到改變網頁內容的目的。(找不到IIS設定檔就無法竄改) ## Stealth Defense (Server)程式安裝 1. 點選「SDControlSvr_x64.exe」安裝程式，以系統管理員執行。  2. 點選「下一步｣開始安裝 TrustONE Stealth Defense Server x64。  3. 選擇「我接受該授權合約中的條款｣後，點選「下一步｣。  4. TrustONE 會要求先安裝「Microsoft Windows Desktop Runtime｣，請勾選後按「下一步｣。  5. 如果需同時安裝 TrustONE 的 Control Server（中控中心）、Tunnel Server（安全通道伺服器）和 Log Server（事件紀錄伺服器）與 Identity Server（身分認證伺服器），請點選「完整安裝｣後點選「下一步｣。  - 如果目前不需要安裝完整功能，請點選「自訂｣後點選「下一步｣。  - 選擇目前不需要安裝的功能，點選「此功能將不能使用｣後，點選「下一步｣。  6. TrustONE 的完整保護需同時安裝 Control Server/Tunnel Server/Log Server/Identity Server 這四台Server，安裝程式會預先指定每台Server的IP位址（預設為本機的IP），與其相對應的連線Port資訊。如果預定會將其中某幾台Server分開安裝在其他機器上，請自行輸入機器的 IP 位址。  7. 如果剛才有選擇安裝Log Server（包括選擇「完整安裝｣），會需要連動至Postgresql資料庫。若系統已安裝過Postgresql資料庫，請指定到相關路徑並輸入Postgresql管理者密碼後，點選「下一步｣。若不曾安裝過的話，自行定義一組Postgresql管理者密碼後，點選「下一步｣將會自動安裝。  8. 如果未來會開放其他機器連線到TrustONE Server的話，則建議為各伺服器新增防火牆規則，請先勾選欲新增防火牆規則的伺服器，再點選「下一步｣。  9. 點選「安裝｣開始安裝程式。  10. 一開始會先安裝「Microsoft Windows Desktop Runtime 5.0.13(x64)｣。   11. 完成後繼續執行「Postgresql｣安裝檔。  12. 點選「完成｣以結束TrustONE Stealth Defense安裝程序。 ## 新增Server管理者帳號 1. 首次登入請使用 TrustONE 的預設帳號/密碼均為 admin 的名稱來登入。  2. 在「註冊您的資料｣畫面中輸入電子郵件、帳號名稱、手機號碼、密碼(並再次確認密碼)。下方的「啟用動態驗證碼｣可選擇「無驗證｣，或是「電子郵件｣與「手機APP驗證｣任一種雙因子驗證方式。  - 「啟用動態驗證碼｣選擇「電子郵件｣的情況：   ## Control Server 設定 :::info > - 授權數量 > - 系統設定 > - STunnel設定 > - 程序偵測紀錄 > - 使用者端設定 ::: :::warning ### 輸入授權 - Control Server > 授權管理 - 選擇license檔案（副檔名為.vwkd格式）後匯入，會顯示出此次授權的截止日期，以及 Tunnel Server/Passport/保護 IP/PassportPlus/Server Defense的用量。  ::: :::success ### 設定防止使用者端卸載程式密碼 - Control Server > 系統設定 - 在「基本設定｣功能中，「使用者端卸載設定｣區域選擇「驗證方式｣。  1. 雙因子驗證: > - Email驗證 ─ 請在「OTP Email｣欄位中填上用來接收一次性驗證碼的Email信箱，輸入密碼並確認密碼後，按下 未驗證 按鈕進行驗證。請輸入您所收到的OTPService電子郵件上的驗證碼完成驗證。 > - 手機APP驗證 - 請勾選「是否使用 TOTP｣，輸入密碼與確認密碼後，再完成手機的驗證動作。 2. 密碼驗證：請輸入密碼並確認密碼後，按下 確定 按鈕即可。 3. 無驗證：不須輸入任何資料，直接按下 確定 按鈕即可。 - 注意：為了系統主機的安全，建議至少加上密碼驗證或雙因子驗證方式強化保護。 ::: ### 設定OTP Server、Log Server、ID Server、Time Server和Proxy Server的位置 - Control Server > 系統設定 - [ ] OTP Server:輸入OTP Server的位址（若未修改則預設為TrustONE雲端OTP Server位址） - [ ] Log Server:輸入Log Server的位址（若未修改則預設為本機IP) - [ ] ID Server:輸入Log Server的位址（若未修改則預設為本機IP) - [ ] Time Server - [ ] Proxy Server