随着冬季的到来,新冠疫情全球大流行呈上升趋势。远程办公的到来或升级应做好安全防护预案和准备工作。2020年即将过去,除了一线医护人员,网络安全从业者也是工作压力剧增的职业群体之一。这主要是由于网络犯罪活动的激增、网络安全漏洞(和相关工作负载)的迅速增加以及远程办公IT环境的突然迁移。例如,微软在2020年修补了创纪录数量的常见漏洞和披露(CVE),给不堪重负的安全团队带来了压力。其中许多漏洞会影响远程桌面,这对远程办公者来说至关重要。enable的数据显示,微软今年通过每月的补丁日共修复了1245个漏洞,远超2019年的840个漏洞,也超过了2017年和2018年的总和。在2020年的大部分月份,至少修复了110个补丁发布,最多的是6月和9月,共129个补丁。在众多漏洞中,与Windows远程桌面协议(RDP)相关的漏洞与远程办公密切相关,对不法分子具有吸引力。趋势科技零日攻击活动的DustinChilds表示,“对于远程办公团队来说,最热门的两个攻击领域无疑是远程工作者使用的工具和支持它的基础设施。”Childs解释说:“今年,攻击者将他们的策略从过去针对应用程序转移到针对协议。除了DNS之外,RDP是另一个受欢迎的目标。”协议是一个广泛的目标,随着企业IT系统变得越来越复杂,攻击者逐渐意识到,如果从低级协议入手,他们可以达到更多的目标。业界对应用程序安全的高度关注也促使攻击者寻找新的方法来绕过软件防御的关键区域。RDP漏洞的严重程度通常取决于漏洞的位置:例如,远程桌面服务器中的漏洞比远程桌面客户端中的漏洞更严重。如果攻击者接管了远程桌面服务器,则通常无需身份验证即可执行远程代码。针对RDP的最常见攻击类型是暴力攻击,犯罪分子通过尝试不同的组合来找到用户名和密码,直到找到有效的RDP连接。根据卡巴斯基的研究,此类攻击在3月初激增,2020年前11个月总计33亿次,是2019年同期(9.69亿次)的三倍多。Sophos首席研究员安德鲁·布兰特(AndrewBrandt)表示,远程桌面成为今年的主要攻击目标并不奇怪。过去,拥有数千名员工的企业和组织会将敏感数据放在内部网上并限制内部访问。在疫情远程工作期间,员工需要在家中访问这些敏感数据和资产。由于BlueKeep和DejaBlue漏洞,RDP漏洞在2019年受到了很多关注。虽然2020年没有特别知名的RDP漏洞,但Narang指出,RDP漏洞应该始终引起安全团队的注意。它们不仅对想要窃取数据和金钱的犯罪分子来说是无价之宝,而且还是勒索软件团伙的“头等大事”。RDP漏洞的一个危险特征是它们通常对员工不可见。安全团队是否看到危险信号取决于他们拥有的日志类型以及他们对这些日志的监控程度。RDP的安全性还取决于企业网络入侵检测/防御系统的设置。当安全分析师被安全警报淹没时,很可能会遗漏漏洞。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
