遠程訪問工具(如 TeamViewer 和 AnyDesk)以及物聯網(IoT)設備,正越來越普遍地出現在企業網絡中。這些工具有諸多好處,例如支持團隊更高效地工作。
但是,如同任何新技術的爆發一樣,網絡犯罪分子正積極尋找利用這些工具的途徑,在某些情況下,它們甚至能幫助犯罪分子繞過組織原本強大的安全防御。
然而,尋求保護組織攻擊面的團隊往往忽視了保護這些訪問點。在涉及遠程訪問或 IoT 設備時,很少考慮整體安全架構,安全團隊常常堵住一個漏洞卻留下另一個。事實上,許多企業在使用智能設備時,完全沒有采取任何控制措施來緩解其帶來的風險。
本文將討論安全團隊如何確保其組織的安全防御能夠保護整個攻擊面,包括遠程訪問工具和 IoT 設備。
如前所述,遠程訪問工具的安全性常常因追求易用性和部署便捷性而被忽視,而這兩點正是時間和資源緊張的團隊的痛點。
IoT 設備也是如此。然而,并非所有這些工具在構建時都考慮了安全性,這使得組織面臨風險。甚至在某些情況下,用戶可能會盲目地相信他們正在使用的軟件或工具是安全的。
許多工具可能帶有默認密碼和標準的認證系統,這些都需要額外的安全層,如多因素認證(MFA)和零信任網絡訪問(ZTNA)策略來保護。
更重要的是,并非所有用戶都能充分理解未妥善保護的遠程訪問工具和 IoT 設備的安全隱患。盡管員工通常受過關于更傳統攻擊媒介(如網絡釣魚)風險的教育,但遠程訪問軟件的風險可能構成了一個安全知識盲區。
用戶需要理解此類攻擊媒介所帶來的風險的嚴重性,企業可以通過現實生活中的例子讓這類攻擊變得生動具體。
以最近的AnyDesk遠程訪問漏洞利用事件為例,勒索軟件組織Akira通過網絡攝像頭成功部署勒索軟件。
Akira勒索軟件組織最初通過遠程訪問解決方案入侵網絡,隨后部署AnyDesk來維持持續的遠程訪問。他們通過使用遠程桌面協議(RDP)來瀏覽網絡服務器,從而模仿典型的管理員活動。
然后他們在一臺Windows服務器上部署了一個包含“win.exe”勒索軟件二進制文件的受密碼保護的ZIP文件。幸運的是,安全協議進行了干預,端點檢測和響應(EDR)解決方案隔離了文件,從而防止了損壞。
然而犯罪分子并未氣餒,他們通過內部網絡掃描發現了一個易受攻擊的網絡攝像頭作為新目標。經過進一步偵察,他們發現該網絡攝像頭存在未修補的關鍵漏洞,運行在支持命令執行的 Linux 操作系統上,并且缺乏基于設備的行為檢測。犯罪分子迅速部署了基于 Linux 的勒索軟件,選擇 SMB 協議成功實現了與服務器的通信,勒索軟件攻擊開始,加密了整個網絡的文件。
像此案例中的網絡攝像頭這樣的 IoT 設備,通常像遠程訪問工具一樣,在安全防護方面容易被忽視,使其易于被利用。此事件凸顯安全團隊三點問題:遠程工具配置缺陷、物聯網設備防護真空、以及威脅響應不徹底性。
三.回歸基礎:不斷演變的TTP不一定需要新穎的解決方案
很大程度上,勒索軟件團伙的行為是連貫的。他們堅持使用有效且有利可圖的方法。在許多情況下,做好基礎工作,如徹底的網絡監控和定期打補丁,就可以降低額外風險。
組織應通過定期外部掃描識別高風險漏洞,如暴露的物聯網設備及未防護的遠程訪問工具,這些掃描從外部世界的視角展示了組織的安全態勢,類似于威脅行為者會如何尋找合適(且容易)的“入口”。
同樣,未正確修補的舊漏洞仍在被利用。在許多情況下,網絡犯罪分子無需在開發新技術、戰術和程序(TTPs)上重新發明輪子,因為舊方法持續帶來成功。
同時還必須摒棄"攻擊失敗即終止"的誤區,上述案例證明犯罪者會轉向薄弱環節(如未打補丁的Linux網絡攝像頭)。當回報豐厚時,網絡犯罪分子會不擇手段地試圖侵入網絡并部署勒索軟件,因此最好始終假設攻擊者會轉變策略。所以組織采取多層防御策略至關重要。例如,正確地進行網絡分段是一個重要步驟,在此案例中,本可以阻止勒索軟件團伙在系統內橫向移動。
最后,緊跟當前的威脅情報對安全團隊很重要。但世界上情報如此之多,因此去偽存真至關重要。這進一步涉及到警報疲勞(因警報和誤報過多而應接不暇,導致真正的威脅被或可能被遺漏)以及需要管理的工具過多。
有時,少即是多!優先處理重要的威脅是關鍵。大多數時候,關于勒索軟件團伙及其常見 TTPs 的信息是公開的,讓團隊能夠了解勒索軟件團伙如何運作以及如何最好地防御他們。
隨著威脅行為者變得更加執著,我們必須在整體防護方面更加細致定期掃描、映射和監控網絡至關重要,確保攻擊面上的所有設備和軟件都被納入管理——包括 IoT 設備和遠程訪問工具。
監控網絡上的所有智能設備尤其關鍵,需要專門的關注。組織若不鎖定源自 IoT 設備以及發往 IoT 設備的流量,就是在冒重大風險。如果這些設備沒有得到適當的分段、監控和保護,它們就可能成為攻擊者的敞開門戶。
前述勒索軟件攻擊事件響應凸顯了另一個令人擔憂的領域,當勒索軟件攻擊被中途攔截時,應觸發全員響應的機制。這包括全面調查威脅最初是如何進入網絡的,并迅速實施預防措施以避免未來的攻擊嘗試。
RDP 仍然是威脅行為者的首選戰術。它使他們能夠混入合法的管理員活動中,使檢測更困難,橫向移動更容易。因此,安全團隊必須重新評估其關于 RDP 使用的內部策略。絕不允許在缺乏密切監控和額外驗證層的情況下使用 RDP 訪問。
此外,零信任原則應在組織內全面應用,特別是對于域特權賬戶(domain-privileged accounts),這些賬戶一旦被攻陷,可能造成最大的損害。
總之,網絡攻擊面之廣超出許多組織認知,攻擊者也正利用此點展開偷襲。因此一種多層次、主動的安全方法,包括全面可見性、強大的訪問控制和對所有連接設備的實時監控,不僅是最佳實踐,也是至關重要的。
參考鏈接:
/https://www.infosecurity-magazine.com/opinions/remote-access-tools-risk/
浙公網安備 33010502006954號 
