為了應(yīng)對(duì)惡意使用遠(yuǎn)程訪(fǎng)問(wèn)軟件所帶來(lái)的日益嚴(yán)重的威脅，幾家網(wǎng)絡(luò)安全機(jī)構(gòu)合作發(fā)布了一份關(guān)于保護(hù)這些工具的綜合指南。

該文件于周二由美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、國(guó)家安全局(NSA)、聯(lián)邦調(diào)查局(FBI)、多州信息共享與分析中心(MS-ISAC)和以色列國(guó)家網(wǎng)絡(luò)理事會(huì)(INCD)發(fā)布。

根據(jù)該指南，遠(yuǎn)程訪(fǎng)問(wèn)軟件在使組織能夠遠(yuǎn)程管理和監(jiān)控網(wǎng)絡(luò)、計(jì)算機(jī)和設(shè)備方面至關(guān)重要。它為It和運(yùn)營(yíng)技術(shù)(OT)管理提供了一種靈活高效的方法，允許主動(dòng)故障排除、維護(hù)和備份操作。

然而，這些功能也使其成為惡意行為者利用的有吸引力的工具，可能危及業(yè)務(wù)和系統(tǒng)的安全性。

文件中寫(xiě)道:“遠(yuǎn)程訪(fǎng)問(wèn)軟件為IT/OT團(tuán)隊(duì)提供了靈活的方法，可以及早發(fā)現(xiàn)異常網(wǎng)絡(luò)或設(shè)備問(wèn)題，并主動(dòng)監(jiān)控系統(tǒng)。網(wǎng)絡(luò)威脅行為者越來(lái)越多地利用這些工具，輕松、廣泛地訪(fǎng)問(wèn)受害者系統(tǒng)。”

為了闡明這些技術(shù)，指南重點(diǎn)介紹了威脅行為者利用遠(yuǎn)程訪(fǎng)問(wèn)軟件所采用的常見(jiàn)利用和相關(guān)戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。

這些包括各種各樣的技術(shù)，比如復(fù)雜的網(wǎng)絡(luò)釣魚(yú)活動(dòng)、社會(huì)工程技巧、利用軟件漏洞和弱密碼。

這些機(jī)構(gòu)寫(xiě)道：“特別是RMM軟件，具有監(jiān)視或操作設(shè)備和系統(tǒng)以及獲得更高權(quán)限的重要能力，使其成為惡意行為者保持持久性并在受損網(wǎng)絡(luò)上橫向移動(dòng)的有吸引力的工具?！?/p>

此外，指南強(qiáng)調(diào)組織需要建立安全基線(xiàn)，并熟悉軟件的正常行為，以有效地檢測(cè)異常和惡意活動(dòng)。

對(duì)組織的主要建議之一是基于已建立的標(biāo)準(zhǔn)實(shí)施健壯的風(fēng)險(xiǎn)管理策略，并使用端點(diǎn)檢測(cè)和響應(yīng)(EDR)工具定期監(jiān)視遠(yuǎn)程訪(fǎng)問(wèn)軟件。

該指南還建議組織對(duì)其服務(wù)提供商的供應(yīng)鏈完整性持謹(jǐn)慎態(tài)度。在此之前，CISA曾在1月份對(duì)網(wǎng)絡(luò)防御者發(fā)出警告，警告他們不要惡意使用合法的RMM軟件工具。