在过去几年中,很多IT部门经历了重大的变化,特别是对于设备和应用的支持和管理。移动用户、分散的办公室以及各种虚拟化解决方案让IT专业人员几乎无法维持传统的现场支持。
在远处的攻击活动
有些企业使用远程管理软件来升级其IT支持模式。这些工具最近屡次成为头条新闻,攻击者通过远程控制IoT设备来构建僵尸网络以执行大规模破坏性攻击。对于IT团队来说,重要的是检测和管理远程管理软件及设备来保护它们抵御攻击者。远程管理软件(有时候被称为远程访问软件)让用户可远程控制计算机。纯粹的远程管理和远程访问之间有着略微的区别。管理部分可以包括远程补丁管理、远程配置管理或监控选项,而在大多数情况下,IT专业人员将远程管理成为从远处控制计算机的活动。
远程管理软件让IT团队可以:
- 向更多的客户群提供支持
- 减少旅行的开支
- 从中央工作场所运行
- 随时随地通过互联网连接提供支持
但这些功能也需要付出代价。在大多数情况下,远程管理软件必须连接到客户端来运行。如果你具有安全意识,“远程控制”一词几乎总是会标记为红色,因为很多网络攻击活动都涉及远程控制设备。
远程管理软件的危害
远程管理软件可能在很多方面让你的企业面临风险。为了保护你的网络,务必要注意这些风险以及如何检测这些风险。
登录凭证
只有提供正确访问凭证的授权用户才可远程控制计算机。这些访问凭证通常存储在中央身份验证数据库,企业应该对这些远程可访问的账户使用良好的密码政策或证书管理政策。
为了防止对远程管理软件的未经授权使用,IT管理人员应该:
- 要求采用高强度密码并提示用户定期更改
- 使用双因素身份验证进行远程登录
- 需要用户同意来开启远程管理会话
- 仅允许受控制用户访问
- 部署撤销程序来阻止账户或撤销证书
- 密切监控活动
糟糕的控制
没有理由允许整个互联网访问你的远程访问工具,而应该限制对受信网络的远程访问,这可有效防止攻击者渗透入你的网络。IT管理人员应该限制从少量网络设备进行远程管理,使用跳转主机来发起远程访问并监控网络活动。
易受攻击的应用
在过去,很多主流远程管理工具存在漏洞,这使得恶意攻击者可访问系统而不需要正确的凭证。IT管理人员应该定期更新其远程管理工具,部署适当的补丁管理和漏洞管理程序以避免这些漏洞。
未经授软件
远程访问软件最大的问题源自你无法控制的工具。有时候,远程分支机构会通过低成本路由器连接到互联网。有些路由器具有远程管理功能,如果配置正确的话,远程访问功能将只能从受控网络使用。
但是,并不总是这样。例如,Mirai僵尸网络利用家庭路由器和物联网(IoT)设备来构建大规模僵尸网络,进行破坏性攻击。Mirai发现很多设备使用常见默认用户名和密码,便使用Mirai恶意软件感染这些设备。这些设备可正常运作,很多受害者没有意识到他们的设备正在被未经授权攻击者访问。
最终用户也可安装远程访问软件来远程访问其桌面。大多数这种软件是出于好的意图而安装。在某些情况下,网络攻击者会安装远程管理工具作为恶意软件来窥探用户的活动。有些操作系统甚至有内置远程访问工具,在部署计算机时应该禁用这些工具。
为了检测未经授权远程管理软件,IT管理人员应该:
- 提高用户对潜在安全问题的认识
- 扫描内部网络中是否存在未经授权软件
- 从公共互联网扫描
- 使用软件管理来检测未经授权软件
- 采用白名单做法防止未经授权软件
- 查看出站网络流量以发现未经授权远程管理流量
- 部署适当的防火墙和网络分段
事件响应
如果你发现未经授权远程访问软件在网络中运行,不要惊慌,并尽量不要破坏证据。你可能会试图断开远程连接,但这将让你无法了解实际发生了什么。你先不要切断连接,而应该尝试观察情况和考虑应该做什么。你还可以与HR团队合作来收集尽可能多的数据:
- 连接来源
- 所使用的软件类型以及通信协议类型
- 涉及的用户、账户或设备数量
- 远程连接时间框架
- 潜在数据泄露
请尝试重新路由该远程连接到你控制的主机,你可以这样做:重新镜像原始目标、部署网络重新路由或过滤器或引诱远程用户或攻击者到另一个受控制的隔离系统。保护目标系统所有相关应用日志、网络捕捉、内存和磁盘镜像。
有了所有这些信息,你应该能够确定远程管理软件是否没有危害或者是否预示着更严重的问题。
作者:邹铮
来源:51CTO
