隨著冬季的到來，新冠疫情在全球的大流行呈現(xiàn)上升趨勢(shì)，任何企業(yè)和機(jī)構(gòu)的信息技術(shù)和網(wǎng)絡(luò)安全主管，都應(yīng)當(dāng)為隨時(shí)可能到來或升級(jí)的遠(yuǎn)程辦公做好安全防護(hù)預(yù)案和準(zhǔn)備工作。

即將過去的2020年，除了一線醫(yī)護(hù)人員外，網(wǎng)絡(luò)安全專業(yè)人士也是工作壓力陡增的職業(yè)人群之一。這主要是因?yàn)榫W(wǎng)絡(luò)犯罪活動(dòng)的飆升，網(wǎng)絡(luò)安全漏洞(及相關(guān)工作量)的快速增長(zhǎng)，以及突如其來的遠(yuǎn)程辦公I(xiàn)T環(huán)境遷移。例如，微軟在2020年修補(bǔ)了創(chuàng)紀(jì)錄數(shù)量的常見漏洞和披露(CVE)，給不堪重負(fù)的安全團(tuán)隊(duì)施加了壓力。這些漏洞中有許多都影響了遠(yuǎn)程桌面，而遠(yuǎn)程桌面對(duì)遠(yuǎn)程辦公人員而言至關(guān)重要。

[[360890]]

根據(jù)enable的數(shù)據(jù)，今年微軟通過每月的補(bǔ)丁日累計(jì)修復(fù)了1,245個(gè)漏洞，遠(yuǎn)遠(yuǎn)超過2019年的840個(gè)漏洞，同時(shí)也超過2017年和2018年的總數(shù)。2020年大多數(shù)月份，至少發(fā)布了110個(gè)補(bǔ)丁，其中6月和9月最多，達(dá)到129個(gè)補(bǔ)丁。在這眾多漏洞中，與Windows遠(yuǎn)程桌面協(xié)議(RDP)相關(guān)的漏洞是與遠(yuǎn)程辦公密切相關(guān)且對(duì)犯罪分子頗具吸引力的漏洞。

趨勢(shì)科技“零日活動(dòng)”的達(dá)斯汀·Childs說：“對(duì)于遠(yuǎn)程辦公團(tuán)隊(duì)來說，最熱門的兩大攻擊領(lǐng)域無疑是遠(yuǎn)程工作者使用的工具和支持它的基礎(chǔ)結(jié)構(gòu)。”

Childs解釋說：“今年，攻擊者將其策略從過去的針對(duì)應(yīng)用程序轉(zhuǎn)移到了針對(duì)協(xié)議。除了DNS之外，RDP是另一個(gè)熱門目標(biāo)。”

協(xié)議是一個(gè)廣泛的目標(biāo)，隨著企業(yè)IT系統(tǒng)變得越來越復(fù)雜，攻擊者逐漸意識(shí)到，如果從低層協(xié)議入手，他們可以達(dá)成更多目標(biāo)。業(yè)界對(duì)應(yīng)用程序安全性的更加關(guān)注也促使攻擊者另辟蹊徑，繞過軟件防御的重點(diǎn)防區(qū)。

RDP漏洞的嚴(yán)重性通常取決于漏洞的位置：例如，遠(yuǎn)程桌面服務(wù)器中的漏洞比遠(yuǎn)程桌面客戶端中的漏洞更嚴(yán)重。如果攻擊者接管遠(yuǎn)程桌面服務(wù)器，通?？梢晕唇?jīng)身份驗(yàn)證就執(zhí)行遠(yuǎn)程代碼。

針對(duì)RDP的最常見攻擊類型是暴力攻擊，犯罪分子通過嘗試不同的組合直到找到一個(gè)有效的RDP連接，來查找用戶名和密碼。卡巴斯基的研究顯示，此類攻擊在3月初激增，到2020年的前11個(gè)月總計(jì)達(dá)到33億次，是2019年同期數(shù)量(9.69億次)的三倍多。

Sophos首席研究員安德魯·布蘭特(Andrew Brandt)表示，今年遠(yuǎn)程桌面成為主要攻擊目標(biāo)并不奇怪。過去員工規(guī)模數(shù)千人的企業(yè)和組織會(huì)把敏感數(shù)據(jù)放在企業(yè)內(nèi)網(wǎng)，并僅限內(nèi)部訪問。而疫情遠(yuǎn)程辦公期間，員工需要從家中訪問這些敏感數(shù)據(jù)和資產(chǎn)。

RDP漏洞在2019年因?yàn)锽lueKeep和DejaBlue漏洞而受到廣泛關(guān)注。雖然2020沒有特別知名的RDP漏洞，但Narang指出RDP漏洞應(yīng)始終引起安全團(tuán)隊(duì)的注意。它們不僅對(duì)于竊取數(shù)據(jù)和資金的犯罪分子來說是無價(jià)之寶，也是勒索軟件犯罪團(tuán)伙的“頭等大事” 。

RDP漏洞的一個(gè)危險(xiǎn)特征是它們通常對(duì)員工不可見。安全團(tuán)隊(duì)是否看到危險(xiǎn)信號(hào)取決于他們擁有的日志類型以及對(duì)這些日志的監(jiān)視程度。RDP的安全性還取決于企業(yè)的網(wǎng)絡(luò)入侵檢測(cè)/預(yù)防系統(tǒng)的設(shè)置。

當(dāng)安全分析師被安全警報(bào)淹沒的時(shí)候，很可能會(huì)漏掉漏洞。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文