遠(yuǎn)程訪問工具(如 TeamViewer 和 AnyDesk)以及物聯(lián)網(wǎng)(IoT)設(shè)備,正越來越普遍地出現(xiàn)在企業(yè)網(wǎng)絡(luò)中。這些工具有諸多好處,例如支持團(tuán)隊(duì)更高效地工作。
但是,如同任何新技術(shù)的爆發(fā)一樣,網(wǎng)絡(luò)犯罪分子正積極尋找利用這些工具的途徑,在某些情況下,它們甚至能幫助犯罪分子繞過組織原本強(qiáng)大的安全防御。
然而,尋求保護(hù)組織攻擊面的團(tuán)隊(duì)往往忽視了保護(hù)這些訪問點(diǎn)。在涉及遠(yuǎn)程訪問或 IoT 設(shè)備時(shí),很少考慮整體安全架構(gòu),安全團(tuán)隊(duì)常常堵住一個(gè)漏洞卻留下另一個(gè)。事實(shí)上,許多企業(yè)在使用智能設(shè)備時(shí),完全沒有采取任何控制措施來緩解其帶來的風(fēng)險(xiǎn)。
本文將討論安全團(tuán)隊(duì)如何確保其組織的安全防御能夠保護(hù)整個(gè)攻擊面,包括遠(yuǎn)程訪問工具和 IoT 設(shè)備。
如前所述,遠(yuǎn)程訪問工具的安全性常常因追求易用性和部署便捷性而被忽視,而這兩點(diǎn)正是時(shí)間和資源緊張的團(tuán)隊(duì)的痛點(diǎn)。
IoT 設(shè)備也是如此。然而,并非所有這些工具在構(gòu)建時(shí)都考慮了安全性,這使得組織面臨風(fēng)險(xiǎn)。甚至在某些情況下,用戶可能會(huì)盲目地相信他們正在使用的軟件或工具是安全的。
許多工具可能帶有默認(rèn)密碼和標(biāo)準(zhǔn)的認(rèn)證系統(tǒng),這些都需要額外的安全層,如多因素認(rèn)證(MFA)和零信任網(wǎng)絡(luò)訪問(ZTNA)策略來保護(hù)。
更重要的是,并非所有用戶都能充分理解未妥善保護(hù)的遠(yuǎn)程訪問工具和 IoT 設(shè)備的安全隱患。盡管員工通常受過關(guān)于更傳統(tǒng)攻擊媒介(如網(wǎng)絡(luò)釣魚)風(fēng)險(xiǎn)的教育,但遠(yuǎn)程訪問軟件的風(fēng)險(xiǎn)可能構(gòu)成了一個(gè)安全知識(shí)盲區(qū)。
用戶需要理解此類攻擊媒介所帶來的風(fēng)險(xiǎn)的嚴(yán)重性,企業(yè)可以通過現(xiàn)實(shí)生活中的例子讓這類攻擊變得生動(dòng)具體。
二.并非童話:利用網(wǎng)絡(luò)攝像頭繞過EDR
以最近的AnyDesk遠(yuǎn)程訪問漏洞利用事件為例,勒索軟件組織Akira通過網(wǎng)絡(luò)攝像頭成功部署勒索軟件。
Akira勒索軟件組織最初通過遠(yuǎn)程訪問解決方案入侵網(wǎng)絡(luò),隨后部署AnyDesk來維持持續(xù)的遠(yuǎn)程訪問。他們通過使用遠(yuǎn)程桌面協(xié)議(RDP)來瀏覽網(wǎng)絡(luò)服務(wù)器,從而模仿典型的管理員活動(dòng)。
然后他們?cè)谝慌_(tái)Windows服務(wù)器上部署了一個(gè)包含“win.exe”勒索軟件二進(jìn)制文件的受密碼保護(hù)的ZIP文件。幸運(yùn)的是,安全協(xié)議進(jìn)行了干預(yù),端點(diǎn)檢測(cè)和響應(yīng)(EDR)解決方案隔離了文件,從而防止了損壞。
然而犯罪分子并未氣餒,他們通過內(nèi)部網(wǎng)絡(luò)掃描發(fā)現(xiàn)了一個(gè)易受攻擊的網(wǎng)絡(luò)攝像頭作為新目標(biāo)。經(jīng)過進(jìn)一步偵察,他們發(fā)現(xiàn)該網(wǎng)絡(luò)攝像頭存在未修補(bǔ)的關(guān)鍵漏洞,運(yùn)行在支持命令執(zhí)行的 Linux 操作系統(tǒng)上,并且缺乏基于設(shè)備的行為檢測(cè)。犯罪分子迅速部署了基于 Linux 的勒索軟件,選擇 SMB 協(xié)議成功實(shí)現(xiàn)了與服務(wù)器的通信,勒索軟件攻擊開始,加密了整個(gè)網(wǎng)絡(luò)的文件。
像此案例中的網(wǎng)絡(luò)攝像頭這樣的 IoT 設(shè)備,通常像遠(yuǎn)程訪問工具一樣,在安全防護(hù)方面容易被忽視,使其易于被利用。此事件凸顯安全團(tuán)隊(duì)三點(diǎn)問題:遠(yuǎn)程工具配置缺陷、物聯(lián)網(wǎng)設(shè)備防護(hù)真空、以及威脅響應(yīng)不徹底性。
三.回歸基礎(chǔ):不斷演變的TTP不一定需要新穎的解決方案
很大程度上,勒索軟件團(tuán)伙的行為是連貫的。他們堅(jiān)持使用有效且有利可圖的方法。在許多情況下,做好基礎(chǔ)工作,如徹底的網(wǎng)絡(luò)監(jiān)控和定期打補(bǔ)丁,就可以降低額外風(fēng)險(xiǎn)。
組織應(yīng)通過定期外部掃描識(shí)別高風(fēng)險(xiǎn)漏洞,如暴露的物聯(lián)網(wǎng)設(shè)備及未防護(hù)的遠(yuǎn)程訪問工具,這些掃描從外部世界的視角展示了組織的安全態(tài)勢(shì),類似于威脅行為者會(huì)如何尋找合適(且容易)的“入口”。
同樣,未正確修補(bǔ)的舊漏洞仍在被利用。在許多情況下,網(wǎng)絡(luò)犯罪分子無需在開發(fā)新技術(shù)、戰(zhàn)術(shù)和程序(TTPs)上重新發(fā)明輪子,因?yàn)榕f方法持續(xù)帶來成功。
同時(shí)還必須摒棄"攻擊失敗即終止"的誤區(qū),上述案例證明犯罪者會(huì)轉(zhuǎn)向薄弱環(huán)節(jié)(如未打補(bǔ)丁的Linux網(wǎng)絡(luò)攝像頭)。當(dāng)回報(bào)豐厚時(shí),網(wǎng)絡(luò)犯罪分子會(huì)不擇手段地試圖侵入網(wǎng)絡(luò)并部署勒索軟件,因此最好始終假設(shè)攻擊者會(huì)轉(zhuǎn)變策略。所以組織采取多層防御策略至關(guān)重要。例如,正確地進(jìn)行網(wǎng)絡(luò)分段是一個(gè)重要步驟,在此案例中,本可以阻止勒索軟件團(tuán)伙在系統(tǒng)內(nèi)橫向移動(dòng)。
最后,緊跟當(dāng)前的威脅情報(bào)對(duì)安全團(tuán)隊(duì)很重要。但世界上情報(bào)如此之多,因此去偽存真至關(guān)重要。這進(jìn)一步涉及到警報(bào)疲勞(因警報(bào)和誤報(bào)過多而應(yīng)接不暇,導(dǎo)致真正的威脅被或可能被遺漏)以及需要管理的工具過多。
有時(shí),少即是多!優(yōu)先處理重要的威脅是關(guān)鍵。大多數(shù)時(shí)候,關(guān)于勒索軟件團(tuán)伙及其常見 TTPs 的信息是公開的,讓團(tuán)隊(duì)能夠了解勒索軟件團(tuán)伙如何運(yùn)作以及如何最好地防御他們。
四.定期網(wǎng)絡(luò)監(jiān)控
隨著威脅行為者變得更加執(zhí)著,我們必須在整體防護(hù)方面更加細(xì)致定期掃描、映射和監(jiān)控網(wǎng)絡(luò)至關(guān)重要,確保攻擊面上的所有設(shè)備和軟件都被納入管理——包括 IoT 設(shè)備和遠(yuǎn)程訪問工具。
監(jiān)控網(wǎng)絡(luò)上的所有智能設(shè)備尤其關(guān)鍵,需要專門的關(guān)注。組織若不鎖定源自 IoT 設(shè)備以及發(fā)往 IoT 設(shè)備的流量,就是在冒重大風(fēng)險(xiǎn)。如果這些設(shè)備沒有得到適當(dāng)?shù)姆侄?、監(jiān)控和保護(hù),它們就可能成為攻擊者的敞開門戶。
前述勒索軟件攻擊事件響應(yīng)凸顯了另一個(gè)令人擔(dān)憂的領(lǐng)域,當(dāng)勒索軟件攻擊被中途攔截時(shí),應(yīng)觸發(fā)全員響應(yīng)的機(jī)制。這包括全面調(diào)查威脅最初是如何進(jìn)入網(wǎng)絡(luò)的,并迅速實(shí)施預(yù)防措施以避免未來的攻擊嘗試。
RDP 仍然是威脅行為者的首選戰(zhàn)術(shù)。它使他們能夠混入合法的管理員活動(dòng)中,使檢測(cè)更困難,橫向移動(dòng)更容易。因此,安全團(tuán)隊(duì)必須重新評(píng)估其關(guān)于 RDP 使用的內(nèi)部策略。絕不允許在缺乏密切監(jiān)控和額外驗(yàn)證層的情況下使用 RDP 訪問。
此外,零信任原則應(yīng)在組織內(nèi)全面應(yīng)用,特別是對(duì)于域特權(quán)賬戶(domain-privileged accounts),這些賬戶一旦被攻陷,可能造成最大的損害。
總之,網(wǎng)絡(luò)攻擊面之廣超出許多組織認(rèn)知,攻擊者也正利用此點(diǎn)展開偷襲。因此一種多層次、主動(dòng)的安全方法,包括全面可見性、強(qiáng)大的訪問控制和對(duì)所有連接設(shè)備的實(shí)時(shí)監(jiān)控,不僅是最佳實(shí)踐,也是至關(guān)重要的。
參考鏈接:
/https://www.infosecurity-magazine.com/opinions/remote-access-tools-risk/