گزارش مشترک آمریکا و اسرائیل در مورد امنیت نرمافزارهای دسترسی از راه دور
اخبار داغ فناوری اطلاعات و امنیت شبکه
آژانسهای دولتی ایالات متحده و اسرائیل راهنمای جدیدی را برای کمک به سازمانها برای ایمنسازی نرمافزارهای دسترسی از راه دور در برابر حملات مخرب منتشر کردهاند.
این گزارش جدید، مروری بر نرمافزار دسترسی از راه دور، استفاده مخرب و روشهای تشخیص آن، همراه با توصیههایی برای سازمانها برای جلوگیری از هرگونه سواستفاده، ارائه میدهد.
راهنمای امنیت نرمافزار دسترسی از راه دور توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA)، دفتر تحقیقات فدرال (FBI)، آژانس امنیت ملی (NSA)، مرکز به اشتراکگذاری و تجزیهوتحلیل اطلاعات چند ایالتی (MS-ISAC)، و اداره ملی سایبری اسرائیل (INCD) نوشته شده است. تامینکنندگان امنیت سایبری و شرکتهای فناوری نیز به تکمیل این گزارش کمک نمودهاند.
نرمافزار دسترسی از راه دور، ازجمله راهحلهای مدیریت از راه دور و نظارت و مدیریت از راه دور یا Remote Monitoring and Management (RMM)، به سازمانها اجازه میدهد تا شبکهها و دستگاهها را از راه دور نظارت کنند و به آنها کمک میکند تا فناوری اطلاعات (IT)، سیستم کنترل صنعتی (ICS) و خدمات فناوری عملیاتی (OT) را حفظ و بهبود بخشند.
هلپدسکهای فناوری اطلاعات، ارائهدهندگان خدمات مدیریت شده (MSP)، مدیران شبکه، و ارائهدهندگان software-as-a-service (SaaS)، از چنین نرمافزارهایی برای جمعآوری دادهها در شبکهها و دستگاهها، تعمیر و نگهداری خودکار، و انجام پیکربندی اندپوینت، بازیابی و پشتیبانگیری و مدیریت پچ استفاده میکنند.
بااینحال، راهنمای جدید اشاره میکند، همان مزایای قانونی نرمافزار دسترسی از راه دور، آن را به گزینهای جذاب برای عاملان مخرب تبدیل میکند، که این ابزارها را برای دسترسی آسان و گسترده به شبکههای قربانی استفاده میکنند، زیرا توسط ابزارهای امنیتی بهعنوان عامل مخرب برچسبگذاری نمیشوند.
عاملان مخرب با استفاده از نرمافزار دسترسی از راه دور برای ایجاد اتصالات شبکه از طریق زیرساختهای میزبان ابری و درعینحال فرار از شناسایی، از این موضوع سواستفاده میکنند. این نوع نفوذ در دسته حملات living off the land (LOTL) قرار میگیرد؛ جایی که فایلها، کدها و اسکریپتهای ذاتا مخرب غیرضروری هستند و عوامل تهدید سایبری از ابزارهایی استفاده میکنند که از قبل در محیط وجود دارند تا فعالیت مخرب خود را حفظ کنند.
نرمافزار RMM با توجه به قابلیتهای نظارت و کنترل و مجوزهای سطح بالا، ابزاری جذاب برای عوامل تهدید بهویژه گروههای باج افزار است. این گزارش خاطرنشان میکند که کسبوکارهای کوچک تا متوسط، که اغلب بهدسترسی از راه دور MSPها برای مدیریت زیرساختهای IT، OT، و ICS متکی هستند، در برابر خطرات زنجیره تامین و استفاده مخرب از نرمافزار دسترسی از راه دور آسیبپذیرتر هستند.
این گزارش در ادامه میافزاید که عوامل مخرب از نرمافزار دسترسی از راه دور برای دسترسی به شبکههای قربانی، حفظ پایداری، استقرار payloadهای اضافی، حرکت جانبی و استخراج دادهها استفاده میکنند. اپراتورهای باج افزار و عوامل تهدید دائمی پیشرفته (APT) اغلب از RMM و سایر نرمافزارهای دسترسی از راه دور در حملات خود استفاده میکنند.
نفوذها معمولا با بهرهبرداری از نرمافزارهای آسیبپذیر شروع میشوند یا ممکن است شامل استفاده از اعتبارنامههای در معرض خطر برای نرمافزار دسترسی از راه دور باشند و شامل استقرار RMM در شبکه یا اندپوینت برای گسترش کنترل و حتی استفاده از ابزارهای تست نفوذ تجاری یا دسترسی از راه دور بدافزار برای اطمینان از پایداری آن باشند.
ابزارهایی که ممکن است به طور مخرب استفاده شوند عبارتند از Anydesk، Atera، Bomgar، ConnectWise Control (ScreenConnect سابق)، GoToMyPC، Kaseya، LogMeIn، N-Able، NetSupport، Pulseway، RemotePC، Remote Utilities، Splashtop، TeamViewer و Zoho Assist.
این گزارش توصیههایی را برای مدیران شبکه، سازمانها، مشتریان MSP و SaaSها و MSPها و سایر مدیران فناوری اطلاعات و برای توسعهدهندگان نرمافزار دسترسی از راه دور در مورد چگونگی بهبود امنیت و اطمینان از شناسایی و جلوگیری از فعالیتهای مخرب ارائه مینماید.
برچسب ها: نرمافزار دسترسی از راه دور, Remote Access Software, Zoho Assist, Pulseway, RemotePC, Remote Utilities, GoToMyPC, LogMeIn, N-Able, NetSupport, ConnectWise Control, Bomgar, INCD, Splashtop, ScreenConnect, Remote Monitoring and Management, RMM, LotL, Atera, advanced persistent threat, software-as-a-service, Kaseya, AnyDesk, APT, TeamViewer, CISA , malware, FBI, ransomware , تهدیدات سایبری, Cyber Security, باج افزار, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news