آیا می‌خواهید سایت را به زبان دیگری ببینید؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغییر زبان
فهرست مطالب
Banner for article "Remote Desktop Protocol Ransomware: Detection Engineering Facing RDP-led Intrusions", bearing article title, TSplus Advanced Security logo, TSplus website and topical illustration.

چرا یک راهنمای تشخیص با سیگنال بالا برای باج‌افزار پروتکل دسکتاپ از راه دور؟

حوادث باج‌افزار پروتکل دسکتاپ از راه دور (RDP) اغلب به یک شکل آغاز می‌شوند: سوءاستفاده از اعتبارنامه، ورود موفقیت‌آمیز به صورت تعاملی و حرکت جانبی آرام قبل از رمزگذاری. بسیاری از تیم‌ها قبلاً اصول اولیه را می‌دانند سخت‌افزار RDP اما اپراتورهای باج‌افزار هنوز هم زمانی که نظارت بیش از حد شلوغ باشد یا ارزیابی خیلی کند باشد، از بین می‌روند.

این راهنما بر مهندسی تشخیص برای نفوذهای هدایت شده توسط RDP تمرکز دارد: حداقل تلمتری که باید جمع‌آوری شود، چگونه عادات را پایه‌گذاری کنیم، شش الگوی هشدار با سیگنال بالا را شناسایی کنیم و یک جریان کار تریاژ عملی برنامه‌ریزی کنیم تا قبل از رمزگذاری اقدام کنیم.

RDP باج‌افزار: چرا شناسایی مهم است؟

زنجیره RDP به باج‌افزار که می‌توانید واقعاً مشاهده کنید

RDP در بیشتر داستان‌های باج‌افزار پروتکل دسکتاپ از راه دور "سوءاستفاده" نیست. RDP کانال تعاملی است که مهاجمان پس از به دست آوردن اعتبارنامه‌ها از آن استفاده می‌کنند و سپس از همان کانال برای جابجایی بین سیستم‌ها استفاده می‌کنند. مشاوره‌های CISA در مورد گروه‌های باج‌افزاری استفاده مکرر از اعتبارنامه‌های به خطر افتاده و RDP برای حرکت در داخل محیط‌ها را مستند کنید.

خبر خوب این است که این جریان کار ردپایی به جا می‌گذارد که در بیشتر محیط‌های ویندوز قابل مشاهده است، حتی بدون ابزارهای پیشرفته:

  • شکست‌ها و موفقیت‌های احراز هویت،
  • الگوهای نوع ورود سازگار با RDP،
  • تغییرات ناگهانی امتیاز پس از ورود جدید،
  • رفتار حرکت جانبی (معروف به پخش)
  • اقدامات پایداری مانند وظایف زمان‌بندی شده و خدمات.

تشخیص پیش‌رمزگذاری در عمل چگونه به نظر می‌رسد؟

تشخیص پیش‌رمزگذاری به معنای شناسایی هر اسکن یا هر تلاش ناموفق برای ورود به سیستم نیست. این به معنای شناسایی قابل‌اعتماد نقاط انتقالی است که اهمیت دارند:

  1. مهاجمان در حال تلاش برای اعتبارسنجی هستند ”,
  2. مهاجمان وارد شدند
  3. مهاجمان در حال گسترش دامنه نفوذ هستند
  4. مهاجمان در حال آماده‌سازی برای استقرار هستند.

به همین دلیل است که راهنمای باج‌افزار CISA بر محدود کردن خدمات از راه دور پرخطر مانند RDP و اعمال بهترین شیوه‌ها در صورت لزوم RDP تأکید می‌کند. شناسایی و پاسخ بخشی از واقعیت بهترین شیوه‌ها در محیط‌هایی است که قادر به طراحی مجدد در یک شب نیستند.

حداقل تلمتری که برای تشخیص نفوذ مبتنی بر RDP لازم است چیست؟

گزارش‌های امنیتی ویندوز برای جمع‌آوری

ثبت رویدادها - ورودهای موفق و ناموفق:

اگر فقط یک کار انجام دهید، رویدادهای امنیتی ویندوز را برای ورودها جمع‌آوری و متمرکز کنید:

جلسات تعاملی RDP معمولاً به عنوان "ورود تعاملی از راه دور" (معمولاً نوع ورود 10 در بسیاری از محیط‌ها) نمایش داده می‌شوند و همچنین فعالیت‌های مرتبط را زمانی که احراز هویت سطح شبکه (NLA) فعال است، مشاهده خواهید کرد، زیرا احراز هویت زودتر انجام می‌شود و ممکن است به طور متفاوتی در نقطه پایانی و کنترل‌کننده دامنه ثبت شود.

NB: اگر شکاف‌هایی مشاهده کردید، رویدادهای کنترل‌کننده دامنه مربوط به اعتبارسنجی اعتبارنامه را بررسی کنید.

چه چیزی از هر رویداد برای مهندسی تشخیص باید ثبت شود:

  • میزبان هدف (مقصد)،
  • نام حساب و دامنه
  • آدرس IP منبع / نام ایستگاه کاری (در صورت وجود)
  • نوع ورود
  • بسته / فرآیند احراز هویت (در صورت وجود)،
  • کدهای دلیل شکست (برای ۴۶۲۵).

لاگ‌های RDS و TerminalServices که زمینه را اضافه می‌کنند

گزارش‌های امنیتی به شما می‌گویند "چه کسی وارد شده و از کجا". گزارش‌های RDS و TerminalServices به شما کمک می‌کنند تا "چگونه جلسه رفتار کرده است" را بفهمید، به‌ویژه در محیط‌های خدمات دسکتاپ از راه دور با میزبان‌های جلسه.

جمع‌آوری لاگ‌های زیر باعث تسریع در ارزیابی می‌شود زمانی که چندین جلسه درگیر هستند:

  • رویدادهای اتصال/قطع اتصال
  • الگوهای دوباره‌اتصال جلسه
  • افزایش در ایجاد جلسه در میزبان‌های غیرمعمول.

اگر محیط شما فقط "مدیریت RDP به سرور" است، این لاگ‌ها اختیاری هستند. اگر مزارع RDS را اجرا می‌کنید، ارزش آن را دارند.

تمرکز و نگهداری: "کافی" چگونه به نظر می‌رسد

تشخیص بدون متمرکزسازی به "دور کردن به یک جعبه و امیدوار بودن که لاگ‌ها هنوز آنجا هستند" تبدیل می‌شود. لاگ‌ها را به یک SIEM یا پلتفرم لاگ متمرکز کنید و همچنین نگهداری کافی داشته باشید تا بتوانید نفوذهای کند را مشاهده کنید.

حداقل عملی برای تحقیقات مربوط به باج‌افزارها به هفته‌ها اندازه‌گیری می‌شود، نه روزها، زیرا واسطه‌های دسترسی ممکن است قبل از رمزگذاری دسترسی را برقرار کنند. اگر نمی‌توانید همه چیز را حفظ کنید، حداقل احراز هویت، تغییرات امتیاز، ایجاد وظیفه/خدمت و رویدادهای حفاظت از نقطه پایانی را حفظ کنید.

چگونه می‌توانید RDP نرمال را پایه‌گذاری کنید تا هشدارها به سیگنال‌های بالا تبدیل شوند؟

خط پایه توسط کاربر، منبع، میزبان، زمان و نتیجه

بیشتر هشدارهای RDP به دلیل عدم وجود پایه‌گذاری شکست می‌خورند. RDP در زندگی واقعی الگوهایی دارد، مانند:

  • حساب‌های مدیریت خاص از هاست‌های پرش خاص استفاده می‌کنند،
  • ورودها در زمان‌های نگهداری انجام می‌شود،
  • برخی از سرورها هرگز نباید ورودهای تعاملی را بپذیرند،
  • برخی از کاربران هرگز نباید به سرورها احراز هویت کنند.

این ابعاد را پایه‌گذاری کنید:

  • کاربر → میزبان‌های معمولی،
  • کاربر → آدرس‌های IP / زیرشبکه‌های معمولی،
  • زمان‌های ورود معمولی کاربر
  • میزبان → کاربران معمولی RDP،
  • نرخ موفقیت احراز هویت معمولی میزبان

سپس هشدارهایی بسازید که بر اساس انحرافات از آن مدل فعال شوند، نه فقط بر اساس حجم خام.

مدیریت جداگانه RDP مدیر از جلسات RDS کاربر برای کاهش نویز

اگر شما RDS را برای کاربران نهایی اجرا می‌کنید، "سر و صدای جلسه کاربر" را با "ریسک مسیر مدیر" ترکیب نکنید. خطوط پایه و تشخیص‌های جداگانه‌ای برای ایجاد کنید:

  • جلسات کاربر نهایی به میزبان‌های جلسه (انتظار می‌رود)،
  • جلسات مدیریت به سرورهای زیرساخت (ریسک بالاتر)،
  • جلسات مدیر به کنترل‌کننده‌های دامنه (بالاترین ریسک، اغلب باید "هرگز" باشد).

این جداسازی یکی از سریع‌ترین راه‌ها برای معنادار کردن هشدارها بدون افزودن ابزار جدید است.

شاخص‌های شناسایی با سیگنال بالا برای شناسایی پیش‌درآمدهای باج‌افزار

هدف اینجا بیشتر شناسایی‌ها نیست. بلکه شناسایی‌های کمتر با طبقه‌بندی رویدادهای واضح‌تر است.

برای هر تشخیص زیر، با "فقط گزارش‌های امنیتی" شروع کنید، سپس اگر EDR/Sysmon دارید، آن را غنی‌سازی کنید.

شناسایی مبتنی بر الگو: اسپری کردن رمز عبور در مقابل حمله نیروی brute

سیگنال:

تعداد زیادی ورود ناموفق که در بین حساب‌ها توزیع شده‌اند (اسپری) یا بر روی یک حساب متمرکز شده‌اند (حملات brute force).

منطق پیشنهادی:

  • اسپری: “>X شکست از یک منبع به >Y نام کاربری متمایز در Z دقیقه”.
  • حمله قوی : “>X شکست برای یک نام کاربری از یک منبع در Z دقیقه”.

تنظیمات:

  • میزان شناخته شده میزبان‌های پرش و خروج VPN را که بسیاری از کاربران مشروع از آنجا نشأت می‌گیرند، مستثنی کنید،
  • آستانه‌ها را بر اساس زمان روز تنظیم کنید (شکست‌های خارج از ساعات کاری اهمیت بیشتری دارند)،
  • تنظیمات برای حساب‌های خدماتی که به‌طور مشروع شکست می‌خورند (اما همچنین بررسی کنید که چرا).

گام‌های بعدی تریاژ:

  • اعتبار منبع IP را تأیید کنید و اینکه آیا به محیط شما تعلق دارد یا خیر،
  • بررسی کنید که آیا برای همان منبع بلافاصله پس از آن، ورود موفقی وجود دارد یا خیر،
  • اگر به دامنه متصل است، شکست‌های اعتبارسنجی کنترل‌کننده دامنه را نیز بررسی کنید.

اهمیت باج‌افزار:

پاشش رمز عبور یک تکنیک رایج "کارگزار دسترسی اولیه" است که قبل از فعالیت‌های عملیاتی با کیبورد انجام می‌شود.

ورود RDP با امتیاز برای اولین بار از یک منبع جدید

سیگنال:

یک حساب کاربری ممتاز (مدیران دامنه، مدیران سرور، معادل‌های مدیر محلی) با موفقیت از طریق RDP از یک منبع که قبلاً دیده نشده است، وارد می‌شود.

منطق پیشنهادی:

  • “ورود موفقیت‌آمیز برای حساب کاربری دارای امتیاز که آدرس IP/ایستگاه کاری منبع در تاریخچه پایه در N روز گذشته نیست.”

تنظیمات:

  • یک فهرست مجاز از ایستگاه‌های کاری مدیریت تأیید شده / میزبان‌های پرش را حفظ کنید،
  • زمانی که "اولین بار دیده شده" در زمان‌های تغییر عادی است، به‌طور متفاوتی با ساعت ۰۲:۰۰ رفتار کنید.

گام‌های بعدی تریاژ:

  • منبع نقطه پایانی را تأیید کنید: آیا به‌طور شرکتی مدیریت می‌شود، وصله شده و مورد انتظار است؟
  • بررسی کنید که آیا حساب دارای بازنشانی یا قفل شدن رمز عبور اخیر بوده است،
  • به دنبال تغییرات امتیاز، ایجاد وظیفه یا ایجاد سرویس در ۱۵ تا ۳۰ دقیقه پس از ورود به سیستم باشید.

اهمیت باج‌افزار:

عملیات باج‌افزارها معمولاً به سرعت به دنبال دسترسی‌های ویژه هستند تا دفاع‌ها را غیرفعال کرده و رمزگذاری را به‌طور گسترده‌ای اعمال کنند.

RDP fan-out: یک منبع که به بسیاری از میزبان‌ها احراز هویت می‌کند

سیگنال:

یک تنها ایستگاه کاری یا IP به طور موفقیت‌آمیز به چندین سرور در یک بازه زمانی کوتاه احراز هویت می‌کند.

منطق پیشنهادی:

  • یک منبع با ورودهای موفق به >N میزبان مقصد متمایز در M دقیقه.

تنظیمات:

  • ابزارهای مدیریت شناخته شده و سرورهای پرش که به طور قانونی با بسیاری از میزبان‌ها ارتباط دارند را مستثنی کنید،
  • آستانه‌های جداگانه برای حساب‌های مدیر و غیرمدیر ایجاد کنید،
  • پس از ساعات کاری آستانه‌ها را تنگ‌تر کنید.

گام‌های بعدی تریاژ:

  • شناسایی "میزبان محوری" (منبع)،
  • بررسی کنید که آیا حساب کاربری انتظار می‌رود آن مقاصد را مدیریت کند،
  • به دنبال نشانه‌هایی از برداشت اعتبار یا اجرای ابزارهای از راه دور در نقطه پایانی منبع باشید.

اهمیت باج‌افزار:

حرکت جانبی به این معناست که "یک ورود به سیستم آسیب‌دیده" به "رمزگذاری در سطح دامنه" تبدیل می‌شود.

موفقیت RDP به دنبال تغییر امتیاز یا مدیر جدید

سیگنال:

به‌زودی پس از ورود موفق، همان میزبان تغییرات کاربر یا گروهی را نشان می‌دهد که با افزایش امتیاز سازگار است (مدیر محلی جدید، افزودن عضویت گروه).

منطق پیشنهادی:

  • “ورود موفقیت‌آمیز → در عرض N دقیقه: عضویت در گروه مدیر جدید یا ایجاد کاربر محلی جدید”.

تنظیمات:

گام‌های بعدی تریاژ:

  • تغییر هدف را تأیید کنید (کدام حساب به مدیر دسترسی پیدا کرد)،
  • بررسی کنید که آیا حساب جدید بلافاصله پس از آن برای ورودهای اضافی استفاده می‌شود،
  • بررسی کنید که آیا بازیگر سپس حرکت پخش را انجام داده است.

اهمیت باج‌افزار:

تغییرات امتیازها معمولاً پیش‌درآمدی برای خاموشی دفاع و استقرار انبوه هستند.

موفقیت RDP به دنبال ایجاد وظیفه یا سرویس برنامه‌ریزی‌شده

سیگنال:

یک جلسه تعاملی با مکانیزم‌های پایداری یا استقرار مانند وظایف زمان‌بندی شده یا خدمات جدید دنبال می‌شود.

منطق پیشنهادی:

  • “ورود موفق → در عرض N دقیقه: وظیفه زمان‌بندی شده ایجاد شده یا سرویس نصب/ایجاد شده است.”

تنظیمات:

  • ابزارهای استقرار نرم‌افزار شناخته شده را مستثنی کنید،
  • با حساب کاربری ورود و نقش میزبان همبستگی داشته باشید (کنترل‌کننده‌های دامنه و سرورهای فایل باید بسیار حساس باشند).

گام‌های بعدی تریاژ:

  • شناسایی خط فرمان و مسیر باینری (EDR در اینجا کمک می‌کند)،
  • بررسی کنید که آیا وظیفه/خدمت به چندین نقطه پایانی هدف‌گذاری شده است،
  • باینری‌های مشکوک را قبل از اینکه گسترش یابند قرنطینه کنید.

اهمیت باج‌افزار:

وظایف و خدمات برنامه‌ریزی‌شده روش‌های رایجی برای آماده‌سازی بارهای مخرب و اجرای رمزگذاری در مقیاس بزرگ هستند.

سیگنال‌های نقص دفاع بلافاصله پس از RDP (زمانی که در دسترس باشد)

سیگنال:

حفاظت از نقطه پایانی غیرفعال است، حفاظت از دستکاری فعال می‌شود یا ابزارهای امنیتی بلافاصله پس از ورود جدید به حالت دور متوقف می‌شوند.

منطق پیشنهادی:

  • “ورود RDP توسط مدیر → در عرض N دقیقه: رویداد غیرفعال شدن محصول امنیتی یا هشدار دستکاری.”

تنظیمات:

  • هر گونه نقص در سرورها را از نظر شدت بالاتر از ایستگاه‌های کاری در نظر بگیرید،
  • بررسی کنید که آیا زمان‌های نگهداری تغییرات ابزارهای مشروع را توجیه می‌کنند.

گام‌های بعدی تریاژ:

  • میزبان را در صورت امکان به طور ایمن ایزوله کنید،
  • حساب کاربری را غیرفعال کنید و اعتبارنامه‌ها را بچرخانید،
  • به دنبال همان حساب در میزبان‌های دیگر باشید.

اهمیت باج‌افزار:

نقص دفاعی یک نشانگر قوی از فعالیت اپراتور با دست روی کیبورد است، نه اسکن تصادفی.

چک لیست تریاژ نمونه برای زمانی که هشدار پیش‌ساز RDP فعال می‌شود

این برای سرعت طراحی شده است. قبل از اقدام سعی نکنید مطمئن باشید. اقداماتی برای کاهش شعاع انفجار انجام دهید در حین اینکه تحقیق می‌کنید.

تعیین و شناسایی دامنه در ۱۰ دقیقه

  1. تأیید کنید که هشدار واقعی است شناسایی کاربر، منبع، مقصد، زمان و نوع ورود (داده‌های 4624/4625).
  2. بررسی کنید که آیا منبع متعلق به شبکه شما، خروجی VPN یا یک میزبان پرش مورد انتظار است.
  3. تعیین کنید که آیا حساب کاربری دارای امتیاز است و آیا این میزبان باید به طور کلی ورودهای تعاملی را بپذیرد.
  4. محور بر منبع: چند شکست، چند موفقیت، چند مقصد؟

نتیجه: تصمیم بگیرید که آیا این "احتمالاً مخرب"، "مشکوک" یا "منتظر" است.

محدودیت 30 دقیقه‌ای: دسترسی را متوقف کنید و گسترش را محدود کنید

ابزارهای مهار که به قطعیت کامل نیاز ندارند:

  • حساب‌های مشکوک (به‌ویژه حساب‌های دارای امتیاز) را غیرفعال یا بازنشانی کنید.
  • منبع IP مشکوک را در لبه مسدود کنید (با درک اینکه مهاجمان می‌توانند تغییر کنند)،
  • دسترسی RDP را به طور موقت از گروه‌های وسیع حذف کنید (اجرای حداقل امتیاز)
  • منبع نقطه پایانی را در صورتی که به نظر می‌رسد محور حرکت پخش است، ایزوله کنید.

راهنمایی‌های CISA به طور مکرر بر تأکید می‌کند محدود کردن خدمات از راه دور مانند RDP و اعمال شیوه‌های قوی در صورت نیاز، زیرا دسترسی از راه دور که در معرض خطر یا به‌طور ضعیف کنترل شده باشد، یک مسیر ورودی رایج است.

گسترش شکار 60 دقیقه‌ای: ردیابی حرکت جانبی و مرحله‌بندی

اکنون فرض کنید که مهاجم در تلاش است تا صحنه‌سازی کند.

  • برای جستجوی ورودهای موفق اضافی برای همان حساب در سایر میزبان‌ها.
  • به دنبال تغییرات سریع امتیاز، ایجاد مدیر جدید و ایجاد وظیفه/سرویس در اولین میزبان مقصد باشید.
  • سرورهای فایل و میزبان‌های مجازی را برای ورودهای غیرعادی بررسی کنید (این‌ها "ضرب‌کننده‌های تأثیر" باج‌افزار هستند).
  • پشتیبان‌گیری‌ها و آمادگی بازیابی را تأیید کنید، اما تا زمانی که مطمئن نیستید که مرحله‌بندی متوقف شده است، بازیابی‌ها را آغاز نکنید.

TSplus Advanced Security در کجا قرار می‌گیرد؟

کنترل‌های دفاعی اول برای کاهش احتمال حملات باج‌افزاری مبتنی بر RDP

برای RDP و سرورهای برنامه‌ها ساخته شده است

تشخیص حیاتی است، اما باج‌افزار پروتکل دسکتاپ از راه دور اغلب موفق می‌شود زیرا مهاجمان می‌توانند اعتبارنامه‌ها را به طور مکرر امتحان کنند تا زمانی که چیزی کار کند، سپس پس از ورود به سیستم به حرکت ادامه دهند. TSplus Advanced Security یک لایه اول دفاع طراحی شده است تا احتمال آن را با محدود کردن و مختل کردن مسیرهای حمله RDP رایج که پیش از باج‌افزار رخ می‌دهند، کاهش دهد.

نرم‌افزار TSplus - مکمل داخلی

به دلیل مکمل بودن آن با محدودیت‌ها و تنظیمات دقیق کاربران و گروه‌ها در TSplus Remote Access، دفاع‌های قوی در برابر تلاش‌ها برای حمله به سرورهای برنامه شما ارائه می‌دهد.

امنیت جامع برای جلوگیری از هرگونه نقص

عملاً، کاهش سطح احراز هویت و شکستن الگوهای سوءاستفاده خودکار از اعتبارنامه‌ها کلیدی است. با مشارکت در محدود کردن اینکه چه کسی می‌تواند متصل شود، از کجا و تحت چه شرایطی، همچنین یادگیری رفتارهای استاندارد و اعمال کنترل‌های حفاظتی برای کاهش اثربخشی حملات brute-force و spray، Advanced Security موانع محکمی را فراهم می‌کند. این موضوع به بهداشت استاندارد RDP کمک می‌کند بدون اینکه آن را جایگزین کند و با جلوگیری از تبدیل یک اعتبارنامه خوش‌شانس به یک پایگاه تعاملی، زمان خریداری می‌کند.

ضریب مهندسی تشخیص: سیگنال بهتر، پاسخ سریع‌تر

کنترل‌های دفاعی اول همچنین کیفیت تشخیص را بهبود می‌بخشند. زمانی که نویز حملات بی‌رحمانه در مقیاس اینترنت کاهش می‌یابد، خط‌مشی‌ها سریع‌تر تثبیت می‌شوند و آستانه‌ها می‌توانند تنگ‌تر شوند. هشدارها قابل اقدام‌تر می‌شوند زیرا رویدادهای کمتری باعث تابش پس‌زمینه می‌شوند.

در یک حادثه، سرعت در هر سطحی اهمیت دارد. محدودیت‌های مبتنی بر سیاست به اهرم‌های پاسخ فوری تبدیل می‌شوند: مسدود کردن منابع مشکوک، قرنطینه کردن مناطق آسیب‌دیده، تنگ کردن الگوهای دسترسی مجاز، کاهش مجوزها و محدود کردن فرصت حرکت جانبی در حین پیشرفت تحقیقات.

جریان کار عملیاتی: اهرم‌های مهار شده به هشدارهای شما

استفاده TSplus Advanced Security به عنوان "سوئیچ‌های سریع" مرتبط با تشخیص‌ها در این راهنما:

  • اگر الگوی اسپری/حملات قوی افزایش یابد، قوانین دسترسی را سخت‌تر کنید و مسدودسازی خودکار را افزایش دهید تا از تلاش‌های مکرر جلوگیری شود.
  • اگر ورود RDP با امتیاز از یک منبع جدید برای اولین بار ظاهر شود، مسیرهای دسترسی با امتیاز را به منابع اداری شناخته شده محدود کنید تا تأیید شود.
  • اگر حرکت پخش شناسایی شود، اتصالات مجاز را محدود کنید تا گسترش کاهش یابد و در عین حال نقطه پایانی محوری را ایزوله کنید.

این رویکرد بر شناسایی اول متمرکز است، اما با قدرت واقعی حفاظت اول در اطراف آن به گونه‌ای که مهاجم نتواند در حین بررسی شما به تلاش خود ادامه دهد.

نتیجه‌گیری در مورد برنامه‌ریزی تشخیص باج‌افزار

بدافزار باج‌افزار پروتکل دسکتاپ از راه دور به ندرت بدون هشدار وارد می‌شود. سوءاستفاده از اعتبارنامه‌ها، الگوهای ورود غیرمعمول و تغییرات سریع پس از ورود معمولاً قبل از شروع رمزگذاری به وضوح قابل مشاهده هستند. با پایه‌گذاری فعالیت‌های عادی RDP و هشدار دادن در مورد مجموعه‌ای کوچک از رفتارهای با سیگنال بالا، تیم‌های IT می‌توانند از پاکسازی واکنشی به مهار زودهنگام .

جفت‌سازی آن تشخیص‌ها با کنترل‌های دفاعی اولیه، مانند محدود کردن مسیرهای دسترسی و مختل کردن تلاش‌های حمله‌ی brute-force با TSplus Advanced Security، زمان حضور مهاجم را کاهش می‌دهد و دقایق مهمی را که در جلوگیری از تأثیر باج‌افزار اهمیت دارد، خریداری می‌کند.

TSplus دسترسی از راه دور آزمایشی رایگان

جایگزین نهایی Citrix/RDS برای دسترسی به دسکتاپ/برنامه. ایمن، مقرون به صرفه، محلی/ابری

شروع یک آزمایش رایگان

اشتراک:

فیسبوک توییتر لینکداین

تیم TSplus شما

مطالعه بیشتر

TSplus Remote Desktop Access - Advanced Security Software

دروازه وب امن برای سرورهای برنامه

به دنبال یک دروازه وب امن برای سرورهای برنامه خود هستید؟ بیابید که چه چیزی TSplus Advanced Security را به عنوان یک دروازه وب امن قدرتمند قرار می‌دهد که برای محافظت از سرورهای برنامه در برابر طیف وسیعی از تهدیدات سایبری توسعه یافته است.

مقاله را بخوانید
TSplus Remote Desktop Access - Advanced Security Software

تقویت دفاع دیجیتال: امنیت نقطه پایانی چیست؟

امنیت نقطه پایانی چیست؟ این مقاله به هدف توانمندسازی تصمیم‌گیرندگان و نمایندگان IT طراحی شده است تا اقدامات امنیت سایبری خود را در زمینه تأمین امنیت نقاط پایانی تقویت کنند و از بهره‌وری عملیاتی بالا و حفاظت از دارایی‌های داده‌های حیاتی اطمینان حاصل کنند.

مقاله را بخوانید
back to top of the page icon