在過去幾年中，很多IT部門經歷了重大的變化，特別是對于設備和應用的支持和管理。移動用戶、分散的辦公室以及各種虛擬化解決方案讓IT專業人員幾乎無法維持傳統的現場支持。

　　在遠處的攻擊活動

有些企業使用遠程管理軟件來升級其IT支持模式。這些工具最近屢次成為頭條新聞，攻擊者通過遠程控制IoT設備來構建僵尸網絡以執行大規模破壞性攻擊。對于IT團隊來說，重要的是檢測和管理遠程管理軟件及設備來保護它們抵御攻擊者。遠程管理軟件(有時候被稱為遠程訪問軟件)讓用戶可遠程控制計算機。純粹的遠程管理和遠程訪問之間有著略微的區別。管理部分可以包括遠程補丁管理、遠程配置管理或監控選項，而在大多數情況下，IT專業人員將遠程管理成為從遠處控制計算機的活動。

遠程管理軟件讓IT團隊可以：

· 向更多的客戶群提供支持

· 減少旅行的開支

· 從中央工作場所運行

· 隨時隨地通過互聯網連接提供支持

但這些功能也需要付出代價。在大多數情況下，遠程管理軟件必須連接到客戶端來運行。如果你具有安全意識，“遠程控制”一詞幾乎總是會標記為紅色，因為很多網絡攻擊活動都涉及遠程控制設備。

遠程管理軟件的危害

遠程管理軟件可能在很多方面讓你的企業面臨風險。為了保護你的網絡，務必要注意這些風險以及如何檢測這些風險。

登錄憑證

只有提供正確訪問憑證的授權用戶才可遠程控制計算機。這些訪問憑證通常存儲在中央身份驗證數據庫，企業應該對這些遠程可訪問的賬戶使用良好的密碼政策或證書管理政策。

為了防止對遠程管理軟件的未經授權使用，IT管理人員應該：

· 要求采用高強度密碼并提示用戶定期更改

· 使用雙因素身份驗證進行遠程登錄

· 需要用戶同意來開啟遠程管理會話

· 僅允許受控制用戶訪問

· 部署撤銷程序來阻止賬戶或撤銷證書

· 密切監控活動

糟糕的控制

沒有理由允許整個互聯網訪問你的遠程訪問工具，而應該限制對受信網絡的遠程訪問，這可有效防止攻擊者滲透入你的網絡。IT管理人員應該限制從少量網絡設備進行遠程管理，使用跳轉主機來發起遠程訪問并監控網絡活動。

易受攻擊的應用

在過去，很多主流遠程管理工具存在漏洞，這使得惡意攻擊者可訪問系統而不需要正確的憑證。IT管理人員應該定期更新其遠程管理工具，部署適當的補丁管理和漏洞管理程序以避免這些漏洞。

未經授軟件

遠程訪問軟件最大的問題源自你無法控制的工具。有時候，遠程分支機構會通過低成本路由器連接到互聯網。有些路由器具有遠程管理功能，如果配置正確的話，遠程訪問功能將只能從受控網絡使用。

但是，并不總是這樣。例如，Mirai僵尸網絡利用家庭路由器和物聯網(IoT)設備來構建大規模僵尸網絡，進行破壞性攻擊。Mirai發現很多設備使用常見默認用戶名和密碼，便使用Mirai惡意軟件感染這些設備。這些設備可正常運作，很多受害者沒有意識到他們的設備正在被未經授權攻擊者訪問。

最終用戶也可安裝遠程訪問軟件來遠程訪問其桌面。大多數這種軟件是出于好的意圖而安裝。在某些情況下，網絡攻擊者會安裝遠程管理工具作為惡意軟件來窺探用戶的活動。有些操作系統甚至有內置遠程訪問工具，在部署計算機時應該禁用這些工具。

　為了檢測未經授權遠程管理軟件，IT管理人員應該：

· 提高用戶對潛在安全問題的認識

· 掃描內部網絡中是否存在未經授權軟件

· 從公共互聯網掃描

· 使用軟件管理來檢測未經授權軟件

· 采用白名單做法防止未經授權軟件

· 查看出站網絡流量以發現未經授權遠程管理流量

· 部署適當的防火墻和網絡分段

事件響應

如果你發現未經授權遠程訪問軟件在網絡中運行，不要驚慌，并盡量不要破壞證據。你可能會試圖斷開遠程連接，但這將讓你無法了解實際發生了什么。你先不要切斷連接，而應該嘗試觀察情況和考慮應該做什么。你還可以與HR團隊合作來收集盡可能多的數據：

· 連接來源

· 所使用的軟件類型以及通信協議類型

· 涉及的用戶、賬戶或設備數量

· 遠程連接時間框架

· 潛在數據泄露

請嘗試重新路由該遠程連接到你控制的主機，你可以這樣做：重新鏡像原始目標、部署網絡重新路由或過濾器或引誘遠程用戶或攻擊者到另一個受控制的隔離系統。保護目標系統所有相關應用日志、網絡捕捉、內存和磁盤鏡像。

有了所有這些信息，你應該能夠確定遠程管理軟件是否沒有危害或者是否預示著更嚴重的問題。