美国和以色列就保护远程访问软件提供指导

美国和以色列政府机构发布了一份新指南，以帮助组织保护远程访问软件免受恶意攻击。

新文档概述了远程访问软件、它的恶意使用和检测方法，并为组织提供了防止滥用的建议。

远程访问软件安全指南( PDF) 由网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI)、国家安全局 (NSA)、多州信息共享和分析中心 ( MS-ISAC) 和以色列国家网络局 (INCD)。网络安全供应商和科技公司也为该文件做出了贡献。

远程访问软件，包括远程管理和远程监控和管理 (RMM) 解决方案，允许组织远程监控网络和设备，并帮助他们维护和改进信息技术 (IT)、工业控制系统 (ICS) 和运营技术 (OT)服务。

IT 服务台、托管服务提供商 (MSP)、网络管理员和软件即服务 (SaaS) 提供商使用此类软件收集网络和设备上的数据、自动维护并执行端点配置、恢复和备份，和补丁管理。

然而，新指南指出，远程访问软件的相同合法优势使其成为恶意行为者的有吸引力的选择，他们使用这些工具来轻松和广泛地访问受害网络，因为它们不会被安全工具标记为恶意。

“恶意行为者通过使用远程访问软件在逃避检测的同时通过云托管基础设施建立网络连接来利用这一点。这种类型的入侵属于离地生存 (LOTL) 攻击类别，在这种攻击中，本质上不需要恶意文件、代码和脚本，网络威胁参与者使用环境中已有的工具来维持他们的恶意活动，”该指南读。

由于其监视和控制功能以及更高的权限，RMM 软件对于威胁参与者（尤其是勒索软件组）来说是一种很有吸引力的工具。编写机构指出，通常依赖 MSP 的远程访问来管理 IT、OT 和 ICS 基础设施的中小型企业更容易受到供应链损害和远程访问软件恶意使用的影响。

该指南写道，恶意行为者使用远程访问软件来访问受害网络、保持持久性、部署额外的有效载荷、横向移动和泄露数据。勒索软件运营商和高级持续威胁 (APT) 攻击者经常在攻击中使用 RMM 和其他远程访问软件。

入侵通常从利用易受攻击的软件开始，或者可能涉及使用受损的远程访问软件凭据，并涉及在网络或端点上部署 RMM 以扩大控制，甚至使用商业渗透测试工具或远程访问恶意软件以确保持久性。

可能被恶意使用的工具包括 Anydesk、Atera、Bomgar、ConnectWise Control（以前称为 ScreenConnect）、GoToMyPC、Kaseya、LogMeIn、N-Able、NetSupport、Pulseway、RemotePC、Remote Utilities、Splashtop、TeamViewer 和 Zoho Assist。

该指南为网络管理员、组织、MSP 和 SaaS 客户、MSP 和其他 IT 管理员以及远程访问软件开发人员提供了有关如何提高安全性并确保识别和防止恶意活动的建议。

原文始发于微信公众号（河南等级保护测评）：美国和以色列就保护远程访问软件提供指导