ATT&CK之远程外部服务

ATT&CK之远程外部服务

攻击者可以利用面向外部的远程服务来进行初始访问,并在持久地存在于网络中。VPN、Citrix和其他访问机制等远程服务使用户可以从外部位置连接到企业内部网络资源。经常有远程服务网关管理这些服务的连接和凭据身份验证。Windows Remote Management等服务也可以在外部使用。

 

定义及手法

        

        通常需要访问有效帐户才能使用该服务,但也可能通过凭据篡改或在危害企业网络之后从用户那里获取凭据来获得此权限。在操作过程中,对远程服务的访问可用作冗余或持久访问机制。

ATT&CK之远程外部服务

 

 

程序示例

ATT&CK之远程外部服务

 

缓解措施

名称

描述

禁用或删除功能或程序

  • 禁用或阻止不必要的远程可用服务

限制通过网络访问资源

  • 限制通过集中管理的集中器(例如VPN和其他托管的远程访问系统)访问远程服务

多因素认证

  • 对远程服务帐户使用更强大的两因素或多因素身份验证,以减轻对手利用被盗凭据的能力,但请注意两因素身份验证拦截技术也会用于某些两因素身份验证执行

网络细分

  • 通过使用网络代理、网关和防火墙来拒绝对内部系统的直接远程访问

 

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”,高效整合人、技术和流程,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7*24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

 

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”,高效整合人、技术和流程,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7*24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

 

**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~

 

FatFish

评论已关闭。
Translate »