在线炒股配资门户网-杠杆交易软件搜加杠网-【东方资本】,股票杠杆app,今日热股什么意思,预计下周一股市行情展望

遠程訪問工具（如 TeamViewer 和 AnyDesk）以及物聯(lián)網(wǎng)（IoT）設備，正越來越普遍地出現(xiàn)在企業(yè)網(wǎng)絡中。這些工具有諸多好處，例如支持團隊更高效地工作。

但是，如同任何新技術(shù)的爆發(fā)一樣，網(wǎng)絡犯罪分子正積極尋找利用這些工具的途徑，在某些情況下，它們甚至能幫助犯罪分子繞過組織原本強大的安全防御。

然而，尋求保護組織攻擊面的團隊往往忽視了保護這些訪問點。在涉及遠程訪問或 IoT 設備時，很少考慮整體安全架構(gòu)，安全團隊常常堵住一個漏洞卻留下另一個。事實上，許多企業(yè)在使用智能設備時，完全沒有采取任何控制措施來緩解其帶來的風險。

本文將討論安全團隊如何確保其組織的安全防御能夠保護整個攻擊面，包括遠程訪問工具和 IoT 設備。

如前所述，遠程訪問工具的安全性常常因追求易用性和部署便捷性而被忽視，而這兩點正是時間和資源緊張的團隊的痛點。

IoT 設備也是如此。然而，并非所有這些工具在構(gòu)建時都考慮了安全性，這使得組織面臨風險。甚至在某些情況下，用戶可能會盲目地相信他們正在使用的軟件或工具是安全的。

許多工具可能帶有默認密碼和標準的認證系統(tǒng)，這些都需要額外的安全層，如多因素認證（MFA）和零信任網(wǎng)絡訪問（ZTNA）策略來保護。

更重要的是，并非所有用戶都能充分理解未妥善保護的遠程訪問工具和 IoT 設備的安全隱患。盡管員工通常受過關(guān)于更傳統(tǒng)攻擊媒介（如網(wǎng)絡釣魚）風險的教育，但遠程訪問軟件的風險可能構(gòu)成了一個安全知識盲區(qū)。

用戶需要理解此類攻擊媒介所帶來的風險的嚴重性，企業(yè)可以通過現(xiàn)實生活中的例子讓這類攻擊變得生動具體。

以最近的AnyDesk遠程訪問漏洞利用事件為例，勒索軟件組織Akira通過網(wǎng)絡攝像頭成功部署勒索軟件。

Akira勒索軟件組織最初通過遠程訪問解決方案入侵網(wǎng)絡，隨后部署AnyDesk來維持持續(xù)的遠程訪問。他們通過使用遠程桌面協(xié)議（RDP）來瀏覽網(wǎng)絡服務器，從而模仿典型的管理員活動。

然后他們在一臺Windows服務器上部署了一個包含“win.exe”勒索軟件二進制文件的受密碼保護的ZIP文件。幸運的是，安全協(xié)議進行了干預，端點檢測和響應（EDR）解決方案隔離了文件，從而防止了損壞。

然而犯罪分子并未氣餒，他們通過內(nèi)部網(wǎng)絡掃描發(fā)現(xiàn)了一個易受攻擊的網(wǎng)絡攝像頭作為新目標。經(jīng)過進一步偵察，他們發(fā)現(xiàn)該網(wǎng)絡攝像頭存在未修補的關(guān)鍵漏洞，運行在支持命令執(zhí)行的 Linux 操作系統(tǒng)上，并且缺乏基于設備的行為檢測。犯罪分子迅速部署了基于 Linux 的勒索軟件，選擇 SMB 協(xié)議成功實現(xiàn)了與服務器的通信，勒索軟件攻擊開始，加密了整個網(wǎng)絡的文件。

像此案例中的網(wǎng)絡攝像頭這樣的 IoT 設備，通常像遠程訪問工具一樣，在安全防護方面容易被忽視，使其易于被利用。此事件凸顯安全團隊三點問題：遠程工具配置缺陷、物聯(lián)網(wǎng)設備防護真空、以及威脅響應不徹底性。

很大程度上，勒索軟件團伙的行為是連貫的。他們堅持使用有效且有利可圖的方法。在許多情況下，做好基礎工作，如徹底的網(wǎng)絡監(jiān)控和定期打補丁，就可以降低額外風險。

組織應通過定期外部掃描識別高風險漏洞，如暴露的物聯(lián)網(wǎng)設備及未防護的遠程訪問工具，這些掃描從外部世界的視角展示了組織的安全態(tài)勢，類似于威脅行為者會如何尋找合適（且容易）的“入口”。

同樣，未正確修補的舊漏洞仍在被利用。在許多情況下，網(wǎng)絡犯罪分子無需在開發(fā)新技術(shù)、戰(zhàn)術(shù)和程序（TTPs）上重新發(fā)明輪子，因為舊方法持續(xù)帶來成功。

同時還必須摒棄"攻擊失敗即終止"的誤區(qū)，上述案例證明犯罪者會轉(zhuǎn)向薄弱環(huán)節(jié)（如未打補丁的Linux網(wǎng)絡攝像頭）。當回報豐厚時，網(wǎng)絡犯罪分子會不擇手段地試圖侵入網(wǎng)絡并部署勒索軟件，因此最好始終假設攻擊者會轉(zhuǎn)變策略。所以組織采取多層防御策略至關(guān)重要。例如，正確地進行網(wǎng)絡分段是一個重要步驟，在此案例中，本可以阻止勒索軟件團伙在系統(tǒng)內(nèi)橫向移動。

最后，緊跟當前的威脅情報對安全團隊很重要。但世界上情報如此之多，因此去偽存真至關(guān)重要。這進一步涉及到警報疲勞（因警報和誤報過多而應接不暇，導致真正的威脅被或可能被遺漏）以及需要管理的工具過多。

有時，少即是多！優(yōu)先處理重要的威脅是關(guān)鍵。大多數(shù)時候，關(guān)于勒索軟件團伙及其常見 TTPs 的信息是公開的，讓團隊能夠了解勒索軟件團伙如何運作以及如何最好地防御他們。

隨著威脅行為者變得更加執(zhí)著，我們必須在整體防護方面更加細致定期掃描、映射和監(jiān)控網(wǎng)絡至關(guān)重要，確保攻擊面上的所有設備和軟件都被納入管理——包括 IoT 設備和遠程訪問工具。

監(jiān)控網(wǎng)絡上的所有智能設備尤其關(guān)鍵，需要專門的關(guān)注。組織若不鎖定源自 IoT 設備以及發(fā)往 IoT 設備的流量，就是在冒重大風險。如果這些設備沒有得到適當?shù)姆侄巍⒈O(jiān)控和保護，它們就可能成為攻擊者的敞開門戶。

前述勒索軟件攻擊事件響應凸顯了另一個令人擔憂的領域，當勒索軟件攻擊被中途攔截時，應觸發(fā)全員響應的機制。這包括全面調(diào)查威脅最初是如何進入網(wǎng)絡的，并迅速實施預防措施以避免未來的攻擊嘗試。

RDP 仍然是威脅行為者的首選戰(zhàn)術(shù)。它使他們能夠混入合法的管理員活動中，使檢測更困難，橫向移動更容易。因此，安全團隊必須重新評估其關(guān)于 RDP 使用的內(nèi)部策略。絕不允許在缺乏密切監(jiān)控和額外驗證層的情況下使用 RDP 訪問。

此外，零信任原則應在組織內(nèi)全面應用，特別是對于域特權(quán)賬戶（domain-privileged accounts），這些賬戶一旦被攻陷，可能造成最大的損害。

總之，網(wǎng)絡攻擊面之廣超出許多組織認知，攻擊者也正利用此點展開偷襲。因此一種多層次、主動的安全方法，包括全面可見性、強大的訪問控制和對所有連接設備的實時監(jiān)控，不僅是最佳實踐，也是至關(guān)重要的。

參考鏈接：

/https://www.infosecurity-magazine.com/opinions/remote-access-tools-risk/