CISA和合作伙伴发布远程访问安全指南

为了应对恶意使用远程访问软件所带来的日益严重的威胁，几家网络安全机构合作发布了一份关于保护这些工具的综合指南。

该文件于周二由美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)、联邦调查局(FBI)、多州信息共享与分析中心(MS-ISAC)和以色列国家网络理事会(INCD)发布。

根据该指南，远程访问软件在使组织能够远程管理和监控网络、计算机和设备方面至关重要。它为It和运营技术(OT)管理提供了一种灵活高效的方法，允许主动故障排除、维护和备份操作。

然而，这些功能也使其成为恶意行为者利用的有吸引力的工具，可能危及业务和系统的安全性。

文件中写道:“远程访问软件为IT/OT团队提供了灵活的方法，可以及早发现异常网络或设备问题，并主动监控系统。网络威胁行为者越来越多地利用这些工具，轻松、广泛地访问受害者系统。”

为了阐明这些技术，指南重点介绍了威胁行为者利用远程访问软件所采用的常见利用和相关战术、技术和程序(TTPs)。

这些包括各种各样的技术，比如复杂的网络钓鱼活动、社会工程技巧、利用软件漏洞和弱密码。

这些机构写道：“特别是RMM软件，具有监视或操作设备和系统以及获得更高权限的重要能力，使其成为恶意行为者保持持久性并在受损网络上横向移动的有吸引力的工具。”

此外，指南强调组织需要建立安全基线，并熟悉软件的正常行为，以有效地检测异常和恶意活动。

对组织的主要建议之一是基于已建立的标准实施健壮的风险管理策略，并使用端点检测和响应(EDR)工具定期监视远程访问软件。

该指南还建议组织对其服务提供商的供应链完整性持谨慎态度。在此之前，CISA曾在1月份对网络防御者发出警告，警告他们不要恶意使用合法的RMM软件工具。