随着企业网络的日益复杂,远程访问工具和物联网(IoT)设备已成为不可或缺的一部分,为企业带来了前所未有的工作效率。然而,这些技术进步的阴影中,却潜藏着网络安全的新威胁。
远程访问工具,如TeamViewer和AnyDesk,因其便捷性和易用性而备受欢迎,尤其在时间和资源紧张的工作环境中。但遗憾的是,安全往往在这些工具的易用性追求中被边缘化。同样,IoT设备也面临着类似的困境,许多设备在设计和部署时未能充分考虑安全性,使得企业暴露于潜在的风险之中。
安全团队在面对这些新兴技术时,常常陷入一个陷阱:他们专注于保护传统的攻击面,却忽视了远程访问工具和IoT设备的安全防护。许多企业在使用智能设备时,几乎没有任何控制措施来减轻潜在风险,这导致这些设备成为网络攻击者的理想目标。
一个典型的案例是,最近勒索软件组织Akira利用AnyDesk远程访问工具的漏洞,成功部署了勒索软件。攻击者最初通过远程访问解决方案入侵网络,随后利用AnyDesk维持持续的远程访问。尽管端点检测和响应(EDR)解决方案及时隔离了勒索软件文件,防止了进一步的损害,但攻击者并未放弃。他们通过扫描内部网络,发现了一个存在未修补漏洞的Linux网络摄像头,并利用这一薄弱环节成功部署了勒索软件,加密了整个网络的文件。
这一事件凸显了安全团队在远程工具配置、IoT设备防护以及威胁响应方面的不足。远程访问工具和IoT设备在安全防护上往往被忽视,成为攻击者轻易利用的软肋。安全团队需要重新审视其防御策略,确保整个攻击面得到全面保护。
为了应对这一挑战,安全团队应回归基础,做好网络监控和定期补丁更新等基础工作。通过定期外部扫描,识别如暴露的IoT设备和未受保护的远程访问工具等高风险漏洞,这些扫描能够从外部视角揭示组织的安全态势,帮助安全团队及时发现和修补潜在的安全入口。
安全团队还应摒弃“攻击失败即终止”的误区。当一种攻击方式被挫败时,攻击者往往会转向其他薄弱环节。因此,组织需要采取多层防御策略,如正确的网络分段,以阻止攻击者在系统内的横向移动。同时,紧跟当前的威胁情报也至关重要,但需要注意的是,情报的去伪存真和优先级处理同样关键。
随着威胁行为者变得更加狡猾和执着,企业必须在整体防护方面更加细致。定期扫描、映射和监控网络,确保攻击面上的所有设备和软件都被纳入管理范围,特别是IoT设备和远程访问工具。对于IoT设备,由于其特殊性和潜在风险,需要给予特别的关注和监控。如果这些设备没有得到适当的分段、监控和保护,它们就可能成为攻击者的突破口。
最后,安全团队应重新审视其关于远程桌面协议(RDP)的使用策略。RDP已成为威胁行为者的首选战术之一,因为它允许攻击者混入合法的管理员活动中,使检测更加困难,横向移动更加容易。因此,在没有密切监控和额外验证层的情况下,绝不允许使用RDP访问。同时,零信任原则应在组织内全面应用,特别是对于具有高权限的域特权账户,这些账户一旦被攻破,可能对企业造成重大损害。
在网络安全领域,攻击面之广已超出许多组织的认知范围。因此,采取多层次、主动的安全方法至关重要。这包括实现全面可见性、强大的访问控制以及对所有连接设备的实时监控。只有这样,企业才能在日益复杂的网络环境中确保自身安全。
