從 Windows 遠程桌面蜜罐報告中吸取的教訓

威脅行為者將大部分時間花在監視上。 典型的服務會生成許多可能難以解析和定位潛在惡意事件的審計日誌。

由於很多監控都是自動化的，因此創建一個對互聯網開放的特定機器，等待探測和攻擊，非常有用，被稱為蜜罐。

蜜罐收集的大量數據允許分析已知和未知的攻擊，這意味著組織可以主動跟踪和阻止威脅。

嚴格依賴威脅披露意味著你是被動的，但使用蜜罐，你可以識別潛在的攻擊並在它成為問題之前阻止它！

使用蜜罐跟踪威脅

通過對主動攻擊的可見性，可以更輕鬆地了解威脅的規模。 例如，在 2022 年 10 月的幾週內，Specops 在其蜜罐系統上收集了 460 萬次密碼嘗試。

在給定的一年中，這增加了數以百萬計的潛在密碼，攻擊者可以使用這些密碼進入您的組織。

那麼，蜜罐是如何工作的呢？ 蜜罐只不過是一個誘使威脅行為者嘗試利用的系統。 連接後，蜜罐會記錄惡意嘗試以供以後分析。

基本蜜罐的一個示例是帶有遠程桌面協議 (RDP) 連接的 Microsoft 服務器虛擬機 (VM) 對 Internet 開放。 通過日誌記錄，您可以看到攻擊者對用戶名的所有嘗試。

更進一步，許多不同類型的軟件涵蓋了進入系統的大量潛在方式。 例如，pyrdp 提供了一種中間人方法。 這使您可以實時觀察威脅行為者的攻擊企圖，並控制攻擊。

瀏覽調查結果

關於攻擊狀態的最新報告顯示了什麼？

Blumira 針對其 Google Cloud Platform (RDP) VM 分析了 2019 年至 2020 年的蜜罐數據，發現至少有 122 個國家/地區嘗試了超過 179,000 個唯一用戶名。

此外，從 2019 年到 2020 年，攻擊的發生率增加了 85%，反映出威脅行為者用來收集勒索軟件和基礎設施攻擊所需數據的監控越來越複雜和自動化。

關於在 Internet 上打開 RDP 的基本 Windows 虛擬機如何快速受到攻擊的另一個例子是 TrustedSec 對攻擊的分析。

他們發現一台未受保護的 Windows 7 虛擬機在線僅 9 天，記錄了超過 2,800 次訪問嘗試。 其中，46 人獲得成功。 幾個人只是測試訪問是否有效，但幾個人在連接後幾分鐘內就主動安裝了勒索軟件！

如何減少惡意遠程訪問嘗試

雖然此處給出的示例主要針對 RDP 連接，但蜜罐並不限於這種連接類型，任何遠程訪問系統都可能受到攻擊，例如 SSH。

組織應該怎麼做才能將潛在的損害降到最低？

三種潛在的解決方案將大大有助於抵禦許多攻擊。

1. 實施可靠的密碼策略，檢查是否存在洩露的密碼列表。
2. 使用多重身份驗證 (MFA) 保護任何帳戶，確保即使是被盜的密碼也無法使用。
3. 限制對 VPN 或零信任連接背後的遠程連接的訪問。

強健的密碼策略

如果攻擊者獲得了對密碼對話框的訪問權限（儘管有所有其他保護措施，最頑固的攻擊者仍可能這樣做），那麼擁有強密碼策略是必不可少的。 足夠長和復雜的密碼確保它們在哈希值被盜時不易被破解。

甚至在創建密碼之前，一個洩露的密碼列表會根據已知的被盜憑據檢查新密碼，確保不會使用最常見的變體。 獨特而復雜的密碼使攻擊者的工作變得更加複雜。

具有密碼洩露保護功能的 Specops 密碼策略會檢查您用戶的密碼並防止他們選擇洩露的密碼。

許多威脅行為者依賴於預先創建的跨服務共享的被黑密碼列表，但通過破解密碼保護檢查，這種使用的可能性大大降低！

使用 MFA 保護帳戶

位於強密碼策略之上的是 MFA 的使用。 對於第二個身份驗證要求，即使是正確猜到或被盜的密碼也不能確保訪問。 這表示在未預期的情況下進行了嘗試，允許用戶提醒 IT 並採取適當的步驟。

限制遠程訪問

最後，從公共互聯網上移除連接使得攻擊者甚至難以嘗試訪問系統。 通常，連接置於 VPN 之後。 儘管如此，由於配置的複雜性，較新的系統正在使用零信任的概念來驗證每個連接都經過身份驗證和保護。

通過向蜜罐學習來保護您的組織

從通過蜜罐發現的許多活躍威脅中學習，使組織能夠採取主動措施以領先於攻擊者。 對於最持久的威脅參與者而言，通過 VPN 或零信任服務鎖定外部連接並非萬無一失。

與 MFA 相結合，強大的密碼策略可確保威脅參與者即使在攻擊者溜走時也會受到阻礙。 通過 Specops 密碼策略等解決方案強制使用強密碼，並積極保護您組織的安全！

由 Specops Software 贊助和撰寫