远程访问工具(如 TeamViewer 和 AnyDesk)以及物联网(IoT)设备,正越来越普遍地出现在企业网络中。这些工具有诸多好处,例如支持团队更高效地工作。
但是,如同任何新技术的爆发一样,网络犯罪分子正积极寻找利用这些工具的途径,在某些情况下,它们甚至能帮助犯罪分子绕过组织原本强大的安全防御。
然而,寻求保护组织攻击面的团队往往忽视了保护这些访问点。在涉及远程访问或 IoT 设备时,很少考虑整体安全架构,安全团队常常堵住一个漏洞却留下另一个。事实上,许多企业在使用智能设备时,完全没有采取任何控制措施来缓解其带来的风险。
本文将讨论安全团队如何确保其组织的安全防御能够保护整个攻击面,包括远程访问工具和 IoT 设备。

一.为何远程访问工具成为热门入口
如前所述,远程访问工具的安全性常常因追求易用性和部署便捷性而被忽视,而这两点正是时间和资源紧张的团队的痛点。
IoT 设备也是如此。然而,并非所有这些工具在构建时都考虑了安全性,这使得组织面临风险。甚至在某些情况下,用户可能会盲目地相信他们正在使用的软件或工具是安全的。
许多工具可能带有默认密码和标准的认证系统,这些都需要额外的安全层,如多因素认证(MFA)和零信任网络访问(ZTNA)策略来保护。
更重要的是,并非所有用户都能充分理解未妥善保护的远程访问工具和 IoT 设备的安全隐患。尽管员工通常受过关于更传统攻击媒介(如网络钓鱼)风险的教育,但远程访问软件的风险可能构成了一个安全知识盲区。
用户需要理解此类攻击媒介所带来的风险的严重性,企业可以通过现实生活中的例子让这类攻击变得生动具体。
二.并非童话:利用网络摄像头绕过EDR
以最近的AnyDesk远程访问漏洞利用事件为例,勒索软件组织Akira通过网络摄像头成功部署勒索软件。
Akira勒索软件组织最初通过远程访问解决方案入侵网络,随后部署AnyDesk来维持持续的远程访问。他们通过使用远程桌面协议(RDP)来浏览网络服务器,从而模仿典型的管理员活动。
然后他们在一台Windows服务器上部署了一个包含“win.exe”勒索软件二进制文件的受密码保护的ZIP文件。幸运的是,安全协议进行了干预,端点检测和响应(EDR)解决方案隔离了文件,从而防止了损坏。
然而犯罪分子并未气馁,他们通过内部网络扫描发现了一个易受攻击的网络摄像头作为新目标。经过进一步侦察,他们发现该网络摄像头存在未修补的关键漏洞,运行在支持命令执行的 Linux 操作系统上,并且缺乏基于设备的行为检测。犯罪分子迅速部署了基于 Linux 的勒索软件,选择 SMB 协议成功实现了与服务器的通信,勒索软件攻击开始,加密了整个网络的文件。
像此案例中的网络摄像头这样的 IoT 设备,通常像远程访问工具一样,在安全防护方面容易被忽视,使其易于被利用。此事件凸显安全团队三点问题:远程工具配置缺陷、物联网设备防护真空、以及威胁响应不彻底性。
三.回归基础:不断演变的TTP不一定需要新颖的解决方案
很大程度上,勒索软件团伙的行为是连贯的。他们坚持使用有效且有利可图的方法。在许多情况下,做好基础工作,如彻底的网络监控和定期打补丁,就可以降低额外风险。
组织应通过定期外部扫描识别高风险漏洞,如暴露的物联网设备及未防护的远程访问工具,这些扫描从外部世界的视角展示了组织的安全态势,类似于威胁行为者会如何寻找合适(且容易)的“入口”。
同样,未正确修补的旧漏洞仍在被利用。在许多情况下,网络犯罪分子无需在开发新技术、战术和程序(TTPs)上重新发明轮子,因为旧方法持续带来成功。
同时还必须摒弃"攻击失败即终止"的误区,上述案例证明犯罪者会转向薄弱环节(如未打补丁的Linux网络摄像头)。
当回报丰厚时,网络犯罪分子会不择手段地试图侵入网络并部署勒索软件,因此最好始终假设攻击者会转变策略。
所以组织采取多层防御策略至关重要。例如,正确地进行网络分段是一个重要步骤,在此案例中,本可以阻止勒索软件团伙在系统内横向移动。
当回报丰厚时,网络犯罪分子会不择手段地试图侵入网络并部署勒索软件,因此最好始终假设攻击者会转变策略。
所以组织采取多层防御策略至关重要。例如,正确地进行网络分段是一个重要步骤,在此案例中,本可以阻止勒索软件团伙在系统内横向移动。
最后,紧跟当前的威胁情报对安全团队很重要。但世界上情报如此之多,因此去伪存真至关重要。这进一步涉及到警报疲劳(因警报和误报过多而应接不暇,导致真正的威胁被或可能被遗漏)以及需要管理的工具过多。
有时,少即是多!优先处理重要的威胁是关键。大多数时候,关于勒索软件团伙及其常见 TTPs 的信息是公开的,让团队能够了解勒索软件团伙如何运作以及如何最好地防御他们。
四.定期网络监控
随着威胁行为者变得更加执着,我们必须在整体防护方面更加细致定期扫描、映射和监控网络至关重要,确保攻击面上的所有设备和软件都被纳入管理——包括 IoT 设备和远程访问工具。
监控网络上的所有智能设备尤其关键,需要专门的关注。组织若不锁定源自 IoT 设备以及发往 IoT 设备的流量,就是在冒重大风险。如果这些设备没有得到适当的分段、监控和保护,它们就可能成为攻击者的敞开门户。
前述勒索软件攻击事件响应凸显了另一个令人担忧的领域,当勒索软件攻击被中途拦截时,应触发全员响应的机制。这包括全面调查威胁最初是如何进入网络的,并迅速实施预防措施以避免未来的攻击尝试。
结语:
RDP 仍然是威胁行为者的首选战术。它使他们能够混入合法的管理员活动中,使检测更困难,横向移动更容易。因此,安全团队必须重新评估其关于 RDP 使用的内部策略。绝不允许在缺乏密切监控和额外验证层的情况下使用 RDP 访问。
此外,零信任原则应在组织内全面应用,特别是对于域特权账户(domain-privileged accounts),这些账户一旦被攻陷,可能造成最大的损害。
总之,网络攻击面之广超出许多组织认知,攻击者也正利用此点展开偷袭。因此一种多层次、主动的安全方法,包括全面可见性、强大的访问控制和对所有连接设备的实时监控,不仅是最佳实践,也是至关重要的。
参考链接:https://www.infosecurity-magazine.com/opinions/remote-access-tools-risk/