在過去幾年中，很多IT部門經(jīng)歷了重大的變化，特別是對(duì)于設(shè)備和應(yīng)用的支持和管理。移動(dòng)用戶、分散的辦公室以及各種虛擬化解決方案讓IT專業(yè)人員幾乎無法維持傳統(tǒng)的現(xiàn)場(chǎng)支持。

[[182611]]

在遠(yuǎn)處的攻擊活動(dòng)

有些企業(yè)使用遠(yuǎn)程管理軟件來升級(jí)其IT支持模式。這些工具最近屢次成為頭條新聞，攻擊者通過遠(yuǎn)程控制IoT設(shè)備來構(gòu)建僵尸網(wǎng)絡(luò)以執(zhí)行大規(guī)模破壞性攻擊。對(duì)于IT團(tuán)隊(duì)來說，重要的是檢測(cè)和管理遠(yuǎn)程管理軟件及設(shè)備來保護(hù)它們抵御攻擊者。遠(yuǎn)程管理軟件(有時(shí)候被稱為遠(yuǎn)程訪問軟件)讓用戶可遠(yuǎn)程控制計(jì)算機(jī)。純粹的遠(yuǎn)程管理和遠(yuǎn)程訪問之間有著略微的區(qū)別。管理部分可以包括遠(yuǎn)程補(bǔ)丁管理、遠(yuǎn)程配置管理或監(jiān)控選項(xiàng)，而在大多數(shù)情況下，IT專業(yè)人員將遠(yuǎn)程管理成為從遠(yuǎn)處控制計(jì)算機(jī)的活動(dòng)。

遠(yuǎn)程管理軟件讓IT團(tuán)隊(duì)可以：

• 向更多的客戶群提供支持
• 減少旅行的開支
• 從中央工作場(chǎng)所運(yùn)行
• 隨時(shí)隨地通過互聯(lián)網(wǎng)連接提供支持

但這些功能也需要付出代價(jià)。在大多數(shù)情況下，遠(yuǎn)程管理軟件必須連接到客戶端來運(yùn)行。如果你具有安全意識(shí)，“遠(yuǎn)程控制”一詞幾乎總是會(huì)標(biāo)記為紅色，因?yàn)楹芏嗑W(wǎng)絡(luò)攻擊活動(dòng)都涉及遠(yuǎn)程控制設(shè)備。

遠(yuǎn)程管理軟件的危害

遠(yuǎn)程管理軟件可能在很多方面讓你的企業(yè)面臨風(fēng)險(xiǎn)。為了保護(hù)你的網(wǎng)絡(luò)，務(wù)必要注意這些風(fēng)險(xiǎn)以及如何檢測(cè)這些風(fēng)險(xiǎn)。

登錄憑證

只有提供正確訪問憑證的授權(quán)用戶才可遠(yuǎn)程控制計(jì)算機(jī)。這些訪問憑證通常存儲(chǔ)在中央身份驗(yàn)證數(shù)據(jù)庫，企業(yè)應(yīng)該對(duì)這些遠(yuǎn)程可訪問的賬戶使用良好的密碼政策或證書管理政策。

為了防止對(duì)遠(yuǎn)程管理軟件的未經(jīng)授權(quán)使用，IT管理人員應(yīng)該：

• 要求采用高強(qiáng)度密碼并提示用戶定期更改
• 使用雙因素身份驗(yàn)證進(jìn)行遠(yuǎn)程登錄
• 需要用戶同意來開啟遠(yuǎn)程管理會(huì)話
• 僅允許受控制用戶訪問
• 部署撤銷程序來阻止賬戶或撤銷證書
• 密切監(jiān)控活動(dòng)

糟糕的控制

沒有理由允許整個(gè)互聯(lián)網(wǎng)訪問你的遠(yuǎn)程訪問工具，而應(yīng)該限制對(duì)受信網(wǎng)絡(luò)的遠(yuǎn)程訪問，這可有效防止攻擊者滲透入你的網(wǎng)絡(luò)。IT管理人員應(yīng)該限制從少量網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理，使用跳轉(zhuǎn)主機(jī)來發(fā)起遠(yuǎn)程訪問并監(jiān)控網(wǎng)絡(luò)活動(dòng)。

易受攻擊的應(yīng)用

在過去，很多主流遠(yuǎn)程管理工具存在漏洞，這使得惡意攻擊者可訪問系統(tǒng)而不需要正確的憑證。IT管理人員應(yīng)該定期更新其遠(yuǎn)程管理工具，部署適當(dāng)?shù)难a(bǔ)丁管理和漏洞管理程序以避免這些漏洞。

未經(jīng)授軟件

遠(yuǎn)程訪問軟件最大的問題源自你無法控制的工具。有時(shí)候，遠(yuǎn)程分支機(jī)構(gòu)會(huì)通過低成本路由器連接到互聯(lián)網(wǎng)。有些路由器具有遠(yuǎn)程管理功能，如果配置正確的話，遠(yuǎn)程訪問功能將只能從受控網(wǎng)絡(luò)使用。

但是，并不總是這樣。例如，Mirai僵尸網(wǎng)絡(luò)利用家庭路由器和物聯(lián)網(wǎng)(IoT)設(shè)備來構(gòu)建大規(guī)模僵尸網(wǎng)絡(luò)，進(jìn)行破壞性攻擊。Mirai發(fā)現(xiàn)很多設(shè)備使用常見默認(rèn)用戶名和密碼，便使用Mirai惡意軟件感染這些設(shè)備。這些設(shè)備可正常運(yùn)作，很多受害者沒有意識(shí)到他們的設(shè)備正在被未經(jīng)授權(quán)攻擊者訪問。

最終用戶也可安裝遠(yuǎn)程訪問軟件來遠(yuǎn)程訪問其桌面。大多數(shù)這種軟件是出于好的意圖而安裝。在某些情況下，網(wǎng)絡(luò)攻擊者會(huì)安裝遠(yuǎn)程管理工具作為惡意軟件來窺探用戶的活動(dòng)。有些操作系統(tǒng)甚至有內(nèi)置遠(yuǎn)程訪問工具，在部署計(jì)算機(jī)時(shí)應(yīng)該禁用這些工具。

為了檢測(cè)未經(jīng)授權(quán)遠(yuǎn)程管理軟件，IT管理人員應(yīng)該：

• 提高用戶對(duì)潛在安全問題的認(rèn)識(shí)
• 掃描內(nèi)部網(wǎng)絡(luò)中是否存在未經(jīng)授權(quán)軟件
• 從公共互聯(lián)網(wǎng)掃描
• 使用軟件管理來檢測(cè)未經(jīng)授權(quán)軟件
• 采用白名單做法防止未經(jīng)授權(quán)軟件
• 查看出站網(wǎng)絡(luò)流量以發(fā)現(xiàn)未經(jīng)授權(quán)遠(yuǎn)程管理流量
• 部署適當(dāng)?shù)姆阑饓途W(wǎng)絡(luò)分段

事件響應(yīng)

如果你發(fā)現(xiàn)未經(jīng)授權(quán)遠(yuǎn)程訪問軟件在網(wǎng)絡(luò)中運(yùn)行，不要驚慌，并盡量不要破壞證據(jù)。你可能會(huì)試圖斷開遠(yuǎn)程連接，但這將讓你無法了解實(shí)際發(fā)生了什么。你先不要切斷連接，而應(yīng)該嘗試觀察情況和考慮應(yīng)該做什么。你還可以與HR團(tuán)隊(duì)合作來收集盡可能多的數(shù)據(jù)：

• 連接來源
• 所使用的軟件類型以及通信協(xié)議類型
• 涉及的用戶、賬戶或設(shè)備數(shù)量
• 遠(yuǎn)程連接時(shí)間框架
• 潛在數(shù)據(jù)泄露

請(qǐng)嘗試重新路由該遠(yuǎn)程連接到你控制的主機(jī)，你可以這樣做：重新鏡像原始目標(biāo)、部署網(wǎng)絡(luò)重新路由或過濾器或引誘遠(yuǎn)程用戶或攻擊者到另一個(gè)受控制的隔離系統(tǒng)。保護(hù)目標(biāo)系統(tǒng)所有相關(guān)應(yīng)用日志、網(wǎng)絡(luò)捕捉、內(nèi)存和磁盤鏡像。

有了所有這些信息，你應(yīng)該能夠確定遠(yuǎn)程管理軟件是否沒有危害或者是否預(yù)示著更嚴(yán)重的問題。