Sophos:九成黑客濫用遙距桌面通訊協定發動攻擊
創新安全解決方案供應商Sophos,發布最新《Sophos 2024 H1主動攻擊者報告:網絡世界是否真的風平浪靜?》,報告發現黑客持續濫用Windows系統上用於建立遙距數據存取的遙距桌面通訊協定(RDP),而相關事故佔整體攻擊案例九成,創下Sophos於2021年的記錄新高。
遙距連接服務成黑客入侵網絡的主要渠道
當中,黑客最常見的初始入侵網路途徑為經外界接入的遙距連接服務(如 RDP),而相關事故則佔2023年Sophos的事故回應案例達65%。自Sophos於2020 年首次發布主動攻擊者報告以來,「經外界接入的遙距連接服務」一直成為黑客最常用的初始入侵途徑,故系統安全團隊應視之為明確警號,並於評估企業風險時,優先協助企業管理經外界接入的遙距連接服務。
Sophos首席駐場科技總監John Shier表示:「對許多企業而言,無疑遙距連接服務是現今企業的必要營運方式,但企業領袖亦應注意其風險。為了從企業身上獲取豐厚的利益,熟悉遙距連接服務的黑客將時刻看準機會入侵企業。如企業未有深思熟慮則對外開放相關服務,最終必定招致不必要的損失。加上,黑客只需短時間即可鎖定並破壞暴露於外界的RDP伺服器,而在沒有額外保護的情況下,他們亦能輕易找到等待在另一端的Active Directory伺服器。」
在Sophos X-Ops所處理的事故中,黑客成功於六個月內四度入侵受害機構,而入侵的渠道每次均為其公開的RDP埠,令黑客輕易取得初始存取權限。當他們成功入侵內部系統,則能隨意於機構的網絡橫向移動,並下載惡意二進制檔案、停用端點保護,以及建立遙控存取連線。
現時,「憑證竊漏」和「憑證漏洞」仍然是網絡攻擊的常見成因。根據Sophos於去年八月發布的《2023 年科技領袖的主動攻擊者報告》,「憑證竊漏」的次數首度超越「憑證漏洞」,成為最常見的攻擊成因,而2023年後半年的整體趨勢則維持不變。回顧整年的事故案例,則有逾半案例涉及憑證竊漏。從Sophos於 2020年至 2023年所錄得的數據,憑證竊漏一直是攻擊的首要成因,當中有近三分之一的事故均與憑證竊漏有關,而有近43%的受訪企業仍未建立多重認證。另外,總結Sophos於2020年至2023年的全年數據,「憑證漏洞」為第二大常見的攻擊成因,分別佔16%和30%。
John Shier續指:「風險管理是一個持續的過程。在面對頑強的網絡攻擊時,擁有良好風險管理策略的企業則能保持良好的安全狀態。在管理安全風險時,企業除了應優先識別和處理風險外,他們應掌握風險資訊而採取適切行動。現時,企業受限於如開放RDP的風險因素,令黑客得以輕鬆入侵企業。從而,他們應減少系統暴露於外界和採用易受攻擊的服務,並加強身分驗證以保護網路,將有效加強企業網絡安全,並能更有效擊退網絡攻擊。」
Sophos 的2024 年主動攻擊者報告針對全球 26 個行業共150多宗事故的調查結果。受攻擊的企業分別來自 23個不同的國家,包括:美國、加拿大、墨西哥、哥倫比亞、英國、瑞典、瑞士、西班牙、德國、波蘭、義大利、奧地利、比利時、菲律賓、新加坡、馬來西亞、印度、澳洲、科威特、阿拉伯聯合酋長國、沙地阿拉伯、南非和波札那。