随着冬季的到来,新冠肺炎疫情在全球范围内呈上升趋势。任何企事业单位的信息技术和
网络安全主管都应制定安全保护计划,并为随时可能到来或升级的远程办公做好准备。在即将
到来的2021年,除了一线医护人员,网络安全专业人员也是工作压力急剧增加的职业群体之
一。这主要是由于网络犯罪活动激增,网络安全漏洞(及相关工作量)快速增长,远程办公IT环
境突然迁移。
例如,微软在2020年修复了创纪录数量的常见漏洞和暴露(CVE),给不堪重负的安全团队带来了
压力。这些漏洞中有许多影响远程桌面,这对远程办公人员非常重要。
根据启用数据,今年,微软通过每月补丁日修复了1245个漏洞,远远超过了2019年的850个漏
洞,也超过了2017年和2018年的总数。2020年大部分月份至少发布了120个补丁,其中6月和
9月最多,达到175个。在这些漏洞中,与Windows远程桌面协议(RDP)相关的漏洞与远程办公
密切相关,对犯罪分子具有吸引力。趋势科技“零日活动”的DustinChilds说:“对于远程办公团队
来说,两个最受欢迎的攻击领域无疑是远程办公人员使用的工具和支持它的基础设施。
洞,也超过了2017年和2018年的总数。2020年大部分月份至少发布了120个补丁,其中6月和
9月最多,达到175个。在这些漏洞中,与Windows远程桌面协议(RDP)相关的漏洞与远程办公
密切相关,对犯罪分子具有吸引力。趋势科技“零日活动”的DustinChilds说:“对于远程办公团队
来说,两个最受欢迎的攻击领域无疑是远程办公人员使用的工具和支持它的基础设施。
查尔兹解释道:“今年,攻击者将他们的策略从锁定应用程序转向锁定协议。除了域名系统,
RDP是另一个受欢迎的目标。”协议是一个广泛的目标。随着企业信息技术系统变得越来越复
杂,攻击者逐渐意识到如果从低级协议开始,他们可以实现更多的目标。业界更注重应用安全
,这也促使攻击者另辟蹊径,绕过软件防御的关键防御领域。
RDP是另一个受欢迎的目标。”协议是一个广泛的目标。随着企业信息技术系统变得越来越复
杂,攻击者逐渐意识到如果从低级协议开始,他们可以实现更多的目标。业界更注重应用安全
,这也促使攻击者另辟蹊径,绕过软件防御的关键防御领域。
RDP漏洞的严重程度通常取决于漏洞的位置:例如,远程桌面服务器中的漏洞比远程桌面客户
端中的漏洞更严重。如果攻击者接管远程桌面服务器,远程代码通常可以在没有身份验证的
情况下执行。针对RDP最常见的攻击类型是暴力攻击。犯罪分子尝试不同的组合,直到他们
找到一个有效的RDP连接来找到用户名和密码。卡巴斯基的研究显示,此类攻击在3月初激
增,2020年前11个月达到33亿次,是2019年同期(10.89亿次)的三倍多。
端中的漏洞更严重。如果攻击者接管远程桌面服务器,远程代码通常可以在没有身份验证的
情况下执行。针对RDP最常见的攻击类型是暴力攻击。犯罪分子尝试不同的组合,直到他们
找到一个有效的RDP连接来找到用户名和密码。卡巴斯基的研究显示,此类攻击在3月初激
增,2020年前11个月达到33亿次,是2019年同期(10.89亿次)的三倍多。
Sophos首席研究员AndrewBrandt说,远程桌面成为今年的主要目标并不奇怪。过去,拥有
数千名员工的企业和组织将敏感数据放在内部网中,仅限于内部访问。在远程办公期间,员
工需要在家访问这些敏感数据和资产。RDP漏洞在2019年受到了广泛关注,原因是BlueKee
sp和DejaBlue存在漏洞。虽然2020年没有众所周知的RDP漏洞,但纳朗指出,RDP漏洞应
始终引起安全团队的注意。它们不仅对窃取数据和资金的罪犯来说是无价之宝,也是勒索犯
罪团伙的“重中之重”。RDP漏洞的一个危险特征是,员工通常看不见它们。安全团队是否看
到危险信号取决于他们拥有的日志类型以及对这些日志的监控程度。RDP的安全还取决于企
业网络入侵检测/防御系统的设置。
数千名员工的企业和组织将敏感数据放在内部网中,仅限于内部访问。在远程办公期间,员
工需要在家访问这些敏感数据和资产。RDP漏洞在2019年受到了广泛关注,原因是BlueKee
sp和DejaBlue存在漏洞。虽然2020年没有众所周知的RDP漏洞,但纳朗指出,RDP漏洞应
始终引起安全团队的注意。它们不仅对窃取数据和资金的罪犯来说是无价之宝,也是勒索犯
罪团伙的“重中之重”。RDP漏洞的一个危险特征是,员工通常看不见它们。安全团队是否看
到危险信号取决于他们拥有的日志类型以及对这些日志的监控程度。RDP的安全还取决于企
业网络入侵检测/防御系统的设置。
