CISA 发布远程监控和管理 (RMM) 网络防御计划

本周三，美国网络安全防御机构与私营公司合作发布了首个利用远程监控和管理（RMM）工具解决安全问题的计划。

RMM软件通常被全球大多数大型组织的IT部门用作远程访问计算机的一种方式，以帮助员工安装软件或提供其他服务。

近年来，黑客越来越多地利用这些工具（尤其是在政府网络中）作为绕过安全系统并建立对受害者网络的长期访问的简单方法。例如，今年 1 月，美国网络安全和基础设施局 (CISA) 和国家安全局 (NSA) 表示，至少有两个联邦民事机构被网络犯罪分子利用，作为通过使用RMM软件实施的退款诈骗活动的一部分。

CISA 在周三的一份声明中表示，作为联合网络防御协作组织 (JCDC) 的一部分，CISA与行业合作伙伴合作，制定“明确的路线图，以提高RMM生态系统的安全性和弹性”。

CISA网络安全执行助理主任埃里克·戈德斯坦（Eric Goldstein）表示，该组织与其他美国机构以及RMM公司合作制定了一项计划，重点关注四项主要任务：漏洞信息共享、行业协调、最终用户教育和扩大咨询。

戈德斯坦在一份声明中表示：“为制定该计划而建立的合作已经为RMM利益相关者和生态系统取得了多项成就。” “随着JCDC领导该计划的执行，我们相信RMM生态系统中的这种公私合作将进一步降低我们国家关键基础设施的风险。”

CISA和NSA在1月份的声明中表示，RMM软件允许黑客建立本地用户访问权限，而无需更高的管理权限，“有效地绕过了常见的软件控制和风险管理假设”

这些机构警告说，威胁行为者可能会向政府支持的黑客组织出售被利用的受害者的访问权限，并指出网络犯罪分子和民族国家都使用RMM软件作为后门，以保持对系统的访问权限。

涉及RMM软件的其他网络安全事件包括 Gandcrab 勒索软件团伙于2019 年 2 月滥用 ConnectWise Manage软件Kaseya插件中的漏洞，在托管服务提供商的客户网络上部署勒索软件。

微软于2022 年11月表示，其发现Royal勒索软件组织通过伪装成AnyDesk 合法安装程序的网络钓鱼电子邮件传播恶意软件。

此外，Conti 勒索软件组织泄露的文件显示，他们还使用AnyDesk作为维持对受害者网络的持久远程访问的一种方法。根据CISA的说法，勒索软件团伙和民族国家黑客都在使用RMM工具“来入侵大量下游客户组织”。

CISA 表示，周三宣布的计划名为“远程监控和管理网络防御计划”，将寻求扩大美国政府和RMM行业利益相关者之间网络威胁和漏洞信息的共享，同时实施社区机制，以“成熟规模化”安全工作。

政府机构和RMM公司将制定最终用户教育手册和指南，提供有关最佳实践的更多信息，以保护使用产品的员工。

CISA还希望投入更多精力来扩大RMM社区内的建议和警报，以帮助保护被黑客利用的工具。

戈德斯坦补充道，该计划推动了国家网络战略的行业合作部分。CISA花了数月时间与网络安全行业合作制定该计划，与供应商、运营商、机构和其他利益相关者进行协调。

“正如国会和网络空间日光浴室委员会(CSC)所设想的那样，JCDC网络防御计划旨在将网络安全生态系统中的不同利益相关者聚集在一起，以了解系统性风险并制定共享的、可行的解决方案，”戈德斯坦表示。

“RMM网络防御计划表明了这项工作的重要性，以及在应对我国面临的系统性风险时，深入合作和积极规划的重要性。这些规划工作依赖于与我们的合作伙伴值得信赖的合作，该计划是与RMM社区、行业和机构间合作伙伴的真正合作伙伴关系，他们为这项重要工作贡献了时间和精力。”