ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1133

术语表: /attack/glossary

外部远程服务

诸如 vpn、Citrix 等远程服务和其他访问机制允许用户从外部连接到企业内部的网络资源。 通常由远程服务网关来管理这些服务的连接和凭据验证。 Windows 远程管理 (Windows Remote Management) 等服务也可以在外部使用。 攻击者可以使用远程服务来获取对网络的访问权并维持访问权限。 使用该服务通常需要有效帐户的访问权,可以通过凭证嫁接 (Pharming) 获取或在攻击企业网络后从用户处获得凭证。 访问远程服务可以用作冗余访问的一部分。

缓解

通过集中管理的集中器(如 VPN 和其他托管远程访问系统)限制对远程服务的访问。 在适当的情况下拒绝通过使用网络代理,网关和防火墙直接远程访问内部系统。 禁用或拦截可以在外部使用服务(如 Windows 远程管理)。 对远程服务帐户使用强大的双因素或多因素身份验证,以减少攻击者利用被窃取的凭据的能力,但是要注意针对一些双因素身份验证实现技术的双因素身份验证拦截。

检测

遵循检测攻击者使用有效帐户对远程服务进行身份验证的最佳实践。 收集身份验证日志并分析异常访问模式、活动窗口和正常工作时间之外的访问。