外部远程服务
如VPN,Citrix等远程服务和其他访问机制,允许用户从外部位置连接到企业内部网络资源。通常由远程服务网关来管理这些服务连接和证书认证。如Windows远程管理服务也可以在外部使用。攻击者可以使用远程服务来获取对网络的访问权并维持访问权限。使用该服务通常需要有效账户的访问权,可以通过凭证嫁接获取或在攻击企业网络后从用户处获取的凭证。访问远程服务可以用作冗余访问的一部分。
缓解
禁用或阻止可能不必要的远程可用服务。
通过集中管理的集中器(如VPN和其他托管远程访问的系统)限制对远程服务的访问。
在适当的情况下拒绝通过使用网络代理,网关和防火墙直接访问内部系统。禁用或拦截可以在外部使用的服务(如windows远程管理)。
对远程服务使用强大的双因素或多因素身份验证,以减少攻击者利用被窃取的凭证的能力,但是要注意针对一些双因素身份验证实现技术的双因素身份验证拦截。
检测
遵循测攻击者使用有效账户对远程服务进行身份验证的最佳实践。收集身份验证日志并分析出于不寻常的访问模式,活动窗口和正常工作时间之外的访问。
当不需要进行身份验证来访问公开的远程服务时,监视后续活动,例如暴露API或应用程序的异常外用。