在過去幾年中，很多IT部門經(jīng)歷了重大的變化，特別是對于設(shè)備和應用的支持和管理。移動用戶、分散的辦公室以及各種虛擬化解決方案讓IT專業(yè)人員幾乎無法維持傳統(tǒng)的現(xiàn)場支持。

[[182611]]

在遠處的攻擊活動

有些企業(yè)使用遠程管理軟件來升級其IT支持模式。這些工具最近屢次成為頭條新聞，攻擊者通過遠程控制IoT設(shè)備來構(gòu)建僵尸網(wǎng)絡(luò)以執(zhí)行大規(guī)模破壞性攻擊。對于IT團隊來說，重要的是檢測和管理遠程管理軟件及設(shè)備來保護它們抵御攻擊者。遠程管理軟件(有時候被稱為遠程訪問軟件)讓用戶可遠程控制計算機。純粹的遠程管理和遠程訪問之間有著略微的區(qū)別。管理部分可以包括遠程補丁管理、遠程配置管理或監(jiān)控選項，而在大多數(shù)情況下，IT專業(yè)人員將遠程管理成為從遠處控制計算機的活動。

遠程管理軟件讓IT團隊可以：

• 向更多的客戶群提供支持
• 減少旅行的開支
• 從中央工作場所運行
• 隨時隨地通過互聯(lián)網(wǎng)連接提供支持

但這些功能也需要付出代價。在大多數(shù)情況下，遠程管理軟件必須連接到客戶端來運行。如果你具有安全意識，“遠程控制”一詞幾乎總是會標記為紅色，因為很多網(wǎng)絡(luò)攻擊活動都涉及遠程控制設(shè)備。

遠程管理軟件的危害

遠程管理軟件可能在很多方面讓你的企業(yè)面臨風險。為了保護你的網(wǎng)絡(luò)，務(wù)必要注意這些風險以及如何檢測這些風險。

登錄憑證

只有提供正確訪問憑證的授權(quán)用戶才可遠程控制計算機。這些訪問憑證通常存儲在中央身份驗證數(shù)據(jù)庫，企業(yè)應該對這些遠程可訪問的賬戶使用良好的密碼政策或證書管理政策。

為了防止對遠程管理軟件的未經(jīng)授權(quán)使用，IT管理人員應該：

• 要求采用高強度密碼并提示用戶定期更改
• 使用雙因素身份驗證進行遠程登錄
• 需要用戶同意來開啟遠程管理會話
• 僅允許受控制用戶訪問
• 部署撤銷程序來阻止賬戶或撤銷證書
• 密切監(jiān)控活動

糟糕的控制

沒有理由允許整個互聯(lián)網(wǎng)訪問你的遠程訪問工具，而應該限制對受信網(wǎng)絡(luò)的遠程訪問，這可有效防止攻擊者滲透入你的網(wǎng)絡(luò)。IT管理人員應該限制從少量網(wǎng)絡(luò)設(shè)備進行遠程管理，使用跳轉(zhuǎn)主機來發(fā)起遠程訪問并監(jiān)控網(wǎng)絡(luò)活動。

易受攻擊的應用

在過去，很多主流遠程管理工具存在漏洞，這使得惡意攻擊者可訪問系統(tǒng)而不需要正確的憑證。IT管理人員應該定期更新其遠程管理工具，部署適當?shù)难a丁管理和漏洞管理程序以避免這些漏洞。

未經(jīng)授軟件

遠程訪問軟件最大的問題源自你無法控制的工具。有時候，遠程分支機構(gòu)會通過低成本路由器連接到互聯(lián)網(wǎng)。有些路由器具有遠程管理功能，如果配置正確的話，遠程訪問功能將只能從受控網(wǎng)絡(luò)使用。

但是，并不總是這樣。例如，Mirai僵尸網(wǎng)絡(luò)利用家庭路由器和物聯(lián)網(wǎng)(IoT)設(shè)備來構(gòu)建大規(guī)模僵尸網(wǎng)絡(luò)，進行破壞性攻擊。Mirai發(fā)現(xiàn)很多設(shè)備使用常見默認用戶名和密碼，便使用Mirai惡意軟件感染這些設(shè)備。這些設(shè)備可正常運作，很多受害者沒有意識到他們的設(shè)備正在被未經(jīng)授權(quán)攻擊者訪問。

最終用戶也可安裝遠程訪問軟件來遠程訪問其桌面。大多數(shù)這種軟件是出于好的意圖而安裝。在某些情況下，網(wǎng)絡(luò)攻擊者會安裝遠程管理工具作為惡意軟件來窺探用戶的活動。有些操作系統(tǒng)甚至有內(nèi)置遠程訪問工具，在部署計算機時應該禁用這些工具。

為了檢測未經(jīng)授權(quán)遠程管理軟件，IT管理人員應該：

• 提高用戶對潛在安全問題的認識
• 掃描內(nèi)部網(wǎng)絡(luò)中是否存在未經(jīng)授權(quán)軟件
• 從公共互聯(lián)網(wǎng)掃描
• 使用軟件管理來檢測未經(jīng)授權(quán)軟件
• 采用白名單做法防止未經(jīng)授權(quán)軟件
• 查看出站網(wǎng)絡(luò)流量以發(fā)現(xiàn)未經(jīng)授權(quán)遠程管理流量
• 部署適當?shù)姆阑饓途W(wǎng)絡(luò)分段

事件響應

如果你發(fā)現(xiàn)未經(jīng)授權(quán)遠程訪問軟件在網(wǎng)絡(luò)中運行，不要驚慌，并盡量不要破壞證據(jù)。你可能會試圖斷開遠程連接，但這將讓你無法了解實際發(fā)生了什么。你先不要切斷連接，而應該嘗試觀察情況和考慮應該做什么。你還可以與HR團隊合作來收集盡可能多的數(shù)據(jù)：

• 連接來源
• 所使用的軟件類型以及通信協(xié)議類型
• 涉及的用戶、賬戶或設(shè)備數(shù)量
• 遠程連接時間框架
• 潛在數(shù)據(jù)泄露

請嘗試重新路由該遠程連接到你控制的主機，你可以這樣做：重新鏡像原始目標、部署網(wǎng)絡(luò)重新路由或過濾器或引誘遠程用戶或攻擊者到另一個受控制的隔離系統(tǒng)。保護目標系統(tǒng)所有相關(guān)應用日志、網(wǎng)絡(luò)捕捉、內(nèi)存和磁盤鏡像。

有了所有這些信息，你應該能夠確定遠程管理軟件是否沒有危害或者是否預示著更嚴重的問題。