คุณต้องการดูเว็บไซต์ในภาษาอื่นหรือไม่?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
เปลี่ยนภาษา
สารบัญ
Banner for article "Remote Desktop Protocol Ransomware: Detection Engineering Facing RDP-led Intrusions", bearing article title, TSplus Advanced Security logo, TSplus website and topical illustration.

ทำไมถึงต้องมีคู่มือการตรวจจับสัญญาณสูงของแรนซัมแวร์โปรโตคอลเดสก์ท็อประยะไกล?

โปรโตคอลเดสก์ท็อประยะไกล (RDP) เหตุการณ์แรนซัมแวร์มักเริ่มต้นในลักษณะเดียวกัน: การใช้ข้อมูลประจำตัวอย่างไม่เหมาะสม การเข้าสู่ระบบแบบโต้ตอบที่ประสบความสำเร็จ และการเคลื่อนที่ข้างเคียงอย่างเงียบ ๆ ก่อนการเข้ารหัส ทีมงานหลายทีม already know the basics of การเสริมความปลอดภัย RDP แต่ผู้โจมตีแรนซัมแวร์ยังคงหลุดรอดไปได้เมื่อการตรวจสอบมีเสียงรบกวนมากเกินไปหรือการคัดกรองช้าเกินไป

คู่มือนี้มุ่งเน้นไปที่การวิศวกรรมการตรวจจับสำหรับการบุกรุกที่นำโดย RDP: ข้อมูลโทรมาตรขั้นต่ำที่ต้องเก็บรวบรวม, วิธีการตั้งค่าพื้นฐานพฤติกรรม, ระบุรูปแบบการแจ้งเตือนที่มีสัญญาณสูงหกแบบ และวางแผนการทำงานการคัดกรองที่เป็นประโยชน์เพื่อดำเนินการก่อนการเข้ารหัส.

RDP แรนซัมแวร์: ทำไมการตรวจจับจึงสำคัญ?

โซ่ RDP ถึงแรนซัมแวร์ที่คุณสามารถสังเกตได้จริง

RDP ไม่ใช่ "การโจมตี" ในเรื่องราวเกี่ยวกับแรนซัมแวร์โปรโตคอล Remote Desktop ส่วนใหญ่ RDP เป็นช่องทางที่ผู้โจมตีใช้หลังจากที่พวกเขาได้รับข้อมูลรับรอง จากนั้นจึงนำช่องทางเดียวกันนี้ไปใช้ในการเคลื่อนที่ระหว่างระบบต่างๆ คำแนะนำของ CISA เกี่ยวกับกลุ่มแรนซัมแวร์ บันทึกการใช้ข้อมูลรับรองที่ถูกละเมิดและ RDP สำหรับการเคลื่อนที่ภายในสภาพแวดล้อมอย่างต่อเนื่อง

ข่าวดีคือเวิร์กโฟลว์นี้ทิ้งร่องรอยที่สามารถสังเกตได้ในสภาพแวดล้อม Windows ส่วนใหญ่ แม้จะไม่มีเครื่องมือขั้นสูง

  • ความล้มเหลวและความสำเร็จในการตรวจสอบสิทธิ์
  • รูปแบบประเภทการเข้าสู่ระบบที่สอดคล้องกับ RDP,
  • การเปลี่ยนแปลงสิทธิ์อย่างกะทันหันหลังจากการเข้าสู่ระบบใหม่
  • พฤติกรรมการเคลื่อนที่ด้านข้าง (หรือที่เรียกว่า fan-out)
  • การดำเนินการที่คงอยู่ เช่น งานที่กำหนดเวลาและบริการ

การตรวจจับการเข้ารหัสล่วงหน้ามีลักษณะอย่างไรในทางปฏิบัติ?

การตรวจจับก่อนการเข้ารหัสไม่ได้หมายความว่าจะจับการสแกนทุกครั้งหรือการพยายามใส่รหัสผ่านที่ล้มเหลวทุกครั้ง มันหมายถึงการจับจุดเปลี่ยนที่สำคัญได้อย่างเชื่อถือได้

  1. ผู้โจมตีพยายามใช้ข้อมูลรับรอง ”,
  2. “ผู้โจมตีเข้ามา”
  3. “ผู้โจมตีขยายขอบเขต”
  4. “ผู้โจมตีเตรียมที่จะเปิดตัว”

นั่นคือเหตุผลที่คำแนะนำเกี่ยวกับแรนซัมแวร์ของ CISA เน้นการจำกัดบริการระยะไกลที่มีความเสี่ยงเช่น RDP และการใช้แนวทางปฏิบัติที่ดีที่สุดหาก RDP เป็นสิ่งจำเป็น การตรวจจับและการตอบสนองเป็นส่วนหนึ่งของความเป็นจริงของแนวทางปฏิบัติที่ดีที่สุดในสภาพแวดล้อมที่ไม่สามารถออกแบบใหม่ได้ในชั่วข้ามคืน

อะไรคือการตรวจสอบการบุกรุกที่นำโดย RDP ที่มีการวัดผลขั้นต่ำที่สามารถทำได้?

บันทึกความปลอดภัยของ Windows ที่จะเก็บรวบรวม

การบันทึกเหตุการณ์ - การเข้าสู่ระบบที่สำเร็จและล้มเหลว:

หากคุณทำเพียงสิ่งเดียว ให้รวบรวมและรวมศูนย์เหตุการณ์ความปลอดภัยของ Windows สำหรับการเข้าสู่ระบบ:

เซสชัน RDP แบบโต้ตอบมักจะแสดงเป็น "การเข้าสู่ระบบแบบโต้ตอบระยะไกล" (โดยทั่วไปคือประเภทการเข้าสู่ระบบ 10 ในหลายสภาพแวดล้อม) และคุณจะเห็นกิจกรรมที่เกี่ยวข้องเมื่อการตรวจสอบระดับเครือข่าย (NLA) ถูกเปิดใช้งาน เนื่องจากการตรวจสอบสิทธิ์เกิดขึ้นก่อนและอาจถูกบันทึกแตกต่างกันในจุดสิ้นสุดและตัวควบคุมโดเมน

NB: หมายเหตุ หากคุณเห็นช่องว่าง ให้ตรวจสอบเหตุการณ์ของโดเมนคอนโทรลเลอร์ที่เกี่ยวข้องกับการตรวจสอบความถูกต้องของข้อมูลประจำตัวด้วยเช่นกัน

สิ่งที่ต้องบันทึกจากแต่ละเหตุการณ์สำหรับวิศวกรรมการตรวจจับ:

  • โฮสต์เป้าหมาย (ปลายทาง),
  • ชื่อบัญชีและโดเมน
  • ที่อยู่ IP ต้นทาง / ชื่อเครื่องคอมพิวเตอร์ (เมื่อมี)
  • ประเภทการเข้าสู่ระบบ
  • แพ็คเกจ / กระบวนการตรวจสอบสิทธิ์ (เมื่อมี)
  • รหัสเหตุผลการล้มเหลว (สำหรับ 4625)

RDS และบันทึก TerminalServices ที่เพิ่มบริบท

บันทึกความปลอดภัยบอกคุณว่า "ใครเข้าสู่ระบบและจากที่ไหน" บันทึก RDS และ TerminalServices ช่วยบอกคุณว่า "เซสชันทำงานอย่างไร" โดยเฉพาะในสภาพแวดล้อมของ Remote Desktop Services ที่มีโฮสต์เซสชัน

การรวบรวมบันทึกต่อไปนี้จะทำให้การจัดการกรณีเร่งด่วนรวดเร็วขึ้นเมื่อมีการใช้งานหลายเซสชัน:

  • เหตุการณ์การเชื่อมต่อ/ตัดการเชื่อมต่อ
  • รูปแบบการเชื่อมต่อเซสชันใหม่
  • การเพิ่มขึ้นของการสร้างเซสชันบนโฮสต์ที่ไม่ปกติ

หากสภาพแวดล้อมของคุณเป็น “admin RDP เข้าสู่เซิร์ฟเวอร์” อย่างเดียว บันทึกเหล่านี้เป็นทางเลือก หากคุณรันฟาร์ม RDS พวกเขาก็คุ้มค่า

การรวมศูนย์และการเก็บรักษา: “เพียงพอ” มีลักษณะอย่างไร

การตรวจจับโดยไม่ทำให้เป็นศูนย์กลางกลายเป็น “การเข้าถึงระยะไกลในกล่องและหวังว่าบันทึกยังคงอยู่” ทำให้บันทึกเป็นศูนย์กลางไปยัง SIEM หรือแพลตฟอร์มบันทึก รวมถึงเก็บรักษาให้เพียงพอเพื่อดูการบุกรุกที่ช้า

การตรวจสอบแรนซัมแวร์ขั้นต่ำที่เหมาะสมจะวัดเป็นสัปดาห์ ไม่ใช่วัน เนื่องจากผู้ให้บริการการเข้าถึงอาจสร้างการเข้าถึงได้ก่อนการเข้ารหัส หากคุณไม่สามารถเก็บทุกอย่างได้ ให้เก็บอย่างน้อยการตรวจสอบสิทธิ์ การเปลี่ยนแปลงสิทธิ์ การสร้างงาน/บริการ และเหตุการณ์การป้องกันจุดสิ้นสุด

คุณจะตั้งค่ามาตรฐาน RDP ปกติได้อย่างไรเพื่อให้การแจ้งเตือนมีสัญญาณสูง?

เส้นฐานโดยผู้ใช้ แหล่งที่มา โฮสต์ เวลา และผลลัพธ์

การแจ้งเตือน RDP ส่วนใหญ่ล้มเหลวเพราะไม่มีการตั้งค่าพื้นฐาน RDP ในชีวิตจริงมีรูปแบบ เช่น:

  • บัญชีผู้ดูแลระบบเฉพาะใช้โฮสต์กระโดดเฉพาะ
  • การเข้าสู่ระบบเกิดขึ้นในช่วงเวลาบำรุงรักษา
  • เซิร์ฟเวอร์บางตัวไม่ควรรับการเข้าสู่ระบบแบบโต้ตอบ
  • ผู้ใช้บางคนไม่ควรทำการตรวจสอบสิทธิ์กับเซิร์ฟเวอร์เลย

กำหนดมาตรฐานมิติเหล่านี้:

  • ผู้ใช้ → โฮสต์ทั่วไป,
  • ผู้ใช้ → ที่อยู่ IP / ซับเน็ตทั่วไป
  • ผู้ใช้ → เวลาลงชื่อเข้าใช้ทั่วไป,
  • โฮสต์ → ผู้ใช้ RDP ทั่วไป,
  • อัตราความสำเร็จในการตรวจสอบสิทธิ์ที่เป็นมาตรฐานของโฮสต์

จากนั้นสร้างการแจ้งเตือนที่เกิดขึ้นเมื่อมีการเบี่ยงเบนจากโมเดลนั้น ไม่ใช่จากปริมาณดิบเพียงอย่างเดียว

แยก RDP ของผู้ดูแลระบบออกจากเซสชัน RDS ของผู้ใช้เพื่อลดเสียงรบกวน

หากคุณใช้ RDS สำหรับผู้ใช้ปลายทาง อย่าผสม “เสียงเซสชันผู้ใช้” กับ “ความเสี่ยงจากเส้นทางผู้ดูแลระบบ” สร้างฐานข้อมูลและการตรวจจับที่แยกต่างหากสำหรับ:

  • เซสชันผู้ใช้ปลายทางไปยังโฮสต์เซสชัน (คาดหวัง)
  • เซสชันผู้ดูแลระบบไปยังเซิร์ฟเวอร์โครงสร้างพื้นฐาน (ความเสี่ยงสูง)
  • การเข้าสู่ระบบของผู้ดูแลระบบไปยังตัวควบคุมโดเมน (ความเสี่ยงสูงสุด มักจะควรเป็น "ไม่เคย")

การแยกนี้เป็นหนึ่งในวิธีที่เร็วที่สุดในการทำให้การแจ้งเตือนมีความหมายโดยไม่ต้องเพิ่มเครื่องมือใหม่

เครื่องหมายการตรวจจับสัญญาณสูงเพื่อจับสัญญาณเบื้องต้นของแรนซัมแวร์

เป้าหมายที่นี่ไม่ใช่การตรวจจับมากขึ้น แต่เป็นการตรวจจับน้อยลงพร้อมการจัดลำดับเหตุการณ์ที่ชัดเจนกว่า

สำหรับการตรวจจับแต่ละครั้งด้านล่าง เริ่มต้นด้วย "บันทึกความปลอดภัยเท่านั้น" จากนั้นเพิ่มข้อมูลหากคุณมี EDR/Sysmon

การพ่นรหัสผ่านกับการโจมตีแบบ brute force: การตรวจจับตามรูปแบบ

สัญญาณ:

การเข้าสู่ระบบที่ล้มเหลวหลายครั้งกระจายไปทั่วบัญชี (spray) หรือมุ่งเน้นไปที่บัญชีเดียว (brute force)

ตรรกะที่แนะนำ:

  • สเปรย์: “>X ความล้มเหลวจากแหล่งเดียวไปยัง >Y ชื่อผู้ใช้ที่แตกต่างกันใน Z นาที”
  • การโจมตีแบบ Brute force : “>X ความล้มเหลวสำหรับชื่อผู้ใช้หนึ่งชื่อจากแหล่งเดียวใน Z นาที”

การปรับแต่ง:

  • ยกเว้นโฮสต์กระโดดที่รู้จักและการออก VPN ที่ผู้ใช้ที่ถูกต้องตามกฎหมายจำนวนมากมาจาก
  • ปรับเกณฑ์ตามเวลาของวัน (ความล้มเหลวในเวลานอกทำงานมีความสำคัญมากกว่า)
  • ปรับแต่งสำหรับบัญชีบริการที่ล้มเหลวอย่างถูกต้องตามกฎหมาย (แต่ยังต้องตรวจสอบเหตุผลด้วย)

ขั้นตอนถัดไปในการคัดกรอง:

  • ยืนยันชื่อเสียงของ IP แหล่งที่มาและว่าเป็นของสภาพแวดล้อมของคุณหรือไม่
  • ตรวจสอบว่ามีการเข้าสู่ระบบที่สำเร็จจากแหล่งเดียวกันในช่วงเวลาหลังจากนั้นหรือไม่
  • หากเข้าร่วมโดเมน ให้ตรวจสอบความล้มเหลวในการตรวจสอบความถูกต้องของโดเมนคอนโทรลเลอร์ด้วย

ความเกี่ยวข้องของ Ransomware:

การพ่นรหัสผ่านเป็นเทคนิค "นายหน้าการเข้าถึงเริ่มต้น" ที่พบบ่อยซึ่งเกิดขึ้นก่อนกิจกรรมการใช้แป้นพิมพ์จริง

การเข้าสู่ระบบ RDP ที่มีสิทธิพิเศษครั้งแรกจากแหล่งที่มาใหม่

สัญญาณ:

บัญชีที่มีสิทธิพิเศษ (Domain Admins, ผู้ดูแลเซิร์ฟเวอร์, ผู้ดูแลท้องถิ่นที่เทียบเท่า) เข้าสู่ระบบสำเร็จผ่าน RDP จากแหล่งที่ไม่เคยเห็นมาก่อน

ตรรกะที่แนะนำ:

  • “การเข้าสู่ระบบที่สำเร็จสำหรับบัญชีที่มีสิทธิพิเศษซึ่งที่อยู่ IP/สถานีงานต้นทางไม่ได้อยู่ในประวัติพื้นฐานในช่วง N วันที่ผ่านมา”

การปรับแต่ง:

  • รักษารายการอนุญาตของสถานีงานผู้ดูแลระบบ / โฮสต์กระโดดที่ได้รับการอนุมัติ
  • จัดการกับ “ครั้งแรกที่เห็น” ในช่วงเวลาการเปลี่ยนแปลงปกติต่างจากเวลา 02:00.

ขั้นตอนถัดไปในการคัดกรอง:

  • ตรวจสอบจุดสิ้นสุดแหล่งที่มา: เป็นการจัดการโดยองค์กร, ได้รับการแพตช์และคาดหวังหรือไม่?
  • ตรวจสอบว่าบัญชีมีการรีเซ็ตรหัสผ่านหรือถูกล็อกล่าสุดหรือไม่
  • ค้นหาการเปลี่ยนแปลงสิทธิ์ การสร้างงาน หรือการสร้างบริการภายใน 15–30 นาทีหลังจากการเข้าสู่ระบบ

ความเกี่ยวข้องของ Ransomware:

ผู้ดำเนินการแรนซัมแวร์มักจะพยายามเข้าถึงสิทธิพิเศษอย่างรวดเร็วเพื่อปิดการป้องกันและผลักดันการเข้ารหัสอย่างกว้างขวาง

RDP แฟนเอาท์: แหล่งเดียวที่ตรวจสอบสิทธิ์ไปยังโฮสต์หลายตัว

สัญญาณ:

หนึ่งเดียว สถานีทำงานหรือ IP ยืนยันตัวตนสำเร็จต่อเซิร์ฟเวอร์หลายเครื่องในช่วงเวลาสั้น ๆ

ตรรกะที่แนะนำ:

  • “แหล่งเดียวที่มีการเข้าสู่ระบบที่สำเร็จไปยังโฮสต์ปลายทางที่แตกต่างกัน >N แห่งใน M นาที”

การปรับแต่ง:

  • ยกเว้นเครื่องมือการจัดการที่รู้จักและเซิร์ฟเวอร์กระโดดที่สัมผัสโฮสต์หลายเครื่องอย่างถูกต้อง
  • สร้างเกณฑ์แยกสำหรับบัญชีผู้ดูแลระบบกับบัญชีผู้ใช้ทั่วไป
  • ปรับเกณฑ์ให้เข้มงวดหลังเวลาทำการ

ขั้นตอนถัดไปในการคัดกรอง:

  • ระบุ “โฮสต์หมุน” (แหล่งที่มา)
  • ตรวจสอบว่าบัญชีคาดว่าจะจัดการปลายทางเหล่านั้นหรือไม่
  • มองหาสัญญาณของการเก็บข้อมูลประจำตัวหรือการดำเนินการเครื่องมือระยะไกลบนจุดสิ้นสุดต้นทาง

ความเกี่ยวข้องของ Ransomware:

การเคลื่อนที่ข้างเคียงคือวิธีที่ “การเข้าสู่ระบบที่ถูกบุกรุกหนึ่งครั้ง” กลายเป็น “การเข้ารหัสทั่วทั้งโดเมน”

RDP สำเร็จตามด้วยการเปลี่ยนสิทธิ์หรือผู้ดูแลระบบใหม่

สัญญาณ:

ไม่นานหลังจากการเข้าสู่ระบบที่ประสบความสำเร็จ โฮสต์เดียวกันจะแสดงการเปลี่ยนแปลงผู้ใช้หรือกลุ่มที่สอดคล้องกับการเพิ่มสิทธิ์ (ผู้ดูแลระบบท้องถิ่นใหม่ การเพิ่มสมาชิกกลุ่ม)

ตรรกะที่แนะนำ:

  • “เข้าสู่ระบบสำเร็จ → ภายใน N นาที: การเป็นสมาชิกกลุ่มผู้ดูแลระบบใหม่หรือการสร้างผู้ใช้ท้องถิ่นใหม่”

การปรับแต่ง:

ขั้นตอนถัดไปในการคัดกรอง:

  • ตรวจสอบเป้าหมายการเปลี่ยนแปลง (บัญชีใดได้รับสิทธิ์ผู้ดูแลระบบ)
  • ตรวจสอบว่าบัญชีใหม่ถูกใช้สำหรับการเข้าสู่ระบบเพิ่มเติมทันทีหลังจากนั้น
  • ตรวจสอบว่า นักแสดงได้ทำการเคลื่อนไหวแบบแฟนเอาท์หรือไม่

ความเกี่ยวข้องของ Ransomware:

การเปลี่ยนแปลงสิทธิ์เป็นสัญญาณเบื้องต้นที่พบบ่อยสำหรับการปิดการป้องกันและการปรับใช้ในจำนวนมาก

ความสำเร็จของ RDP ตามด้วยการสร้างงานที่กำหนดหรือตัวบริการ

สัญญาณ:

เซสชันเชิงโต้ตอบจะตามมาด้วยกลไกการคงอยู่หรือการปรับใช้ เช่น งานที่กำหนดเวลาไว้หรือบริการใหม่

ตรรกะที่แนะนำ:

  • “เข้าสู่ระบบสำเร็จ → ภายใน N นาที: งานที่กำหนดไว้ถูกสร้างขึ้นหรือบริการถูกติดตั้ง/สร้างขึ้น”

การปรับแต่ง:

  • ยกเว้นเครื่องมือการติดตั้งซอฟต์แวร์ที่รู้จัก
  • เชื่อมโยงกับบัญชีผู้ใช้และบทบาทโฮสต์ (ควบคุมโดเมนและเซิร์ฟเวอร์ไฟล์ควรมีความไวเป็นพิเศษ)

ขั้นตอนถัดไปในการคัดกรอง:

  • ระบุบรรทัดคำสั่งและเส้นทางไบนารี (EDR ช่วยที่นี่)
  • ตรวจสอบว่าหน้าที่/บริการมีเป้าหมายไปยังหลายจุดสิ้นสุดหรือไม่
  • กักกันไฟล์ที่น่าสงสัยก่อนที่พวกมันจะแพร่กระจาย

ความเกี่ยวข้องของ Ransomware:

งานและบริการที่กำหนดเวลาเป็นวิธีทั่วไปในการจัดเตรียมโหลดและดำเนินการเข้ารหัสในระดับใหญ่

สัญญาณการด้อยค่าการป้องกันจะปรากฏขึ้นไม่นานหลังจาก RDP (เมื่อมีให้บริการ)

สัญญาณ:

การป้องกันจุดสิ้นสุดถูกปิดใช้งาน การป้องกันการดัดแปลงถูกกระตุ้น หรือเครื่องมือด้านความปลอดภัยหยุดทำงานไม่นานหลังจากการเข้าสู่ระบบระยะไกลใหม่

ตรรกะที่แนะนำ:

  • “การเข้าสู่ระบบ RDP โดยผู้ดูแลระบบ → ภายใน N นาที: เหตุการณ์ปิดการใช้งานผลิตภัณฑ์รักษาความปลอดภัยหรือการแจ้งเตือนการดัดแปลง”

การปรับแต่ง:

  • ถือว่าความบกพร่องใด ๆ บนเซิร์ฟเวอร์มีความรุนแรงสูงกว่าคอมพิวเตอร์ตั้งโต๊ะ
  • ตรวจสอบว่าช่วงเวลาบำรุงรักษาเป็นเหตุผลที่ชอบธรรมสำหรับการเปลี่ยนแปลงเครื่องมือหรือไม่

ขั้นตอนถัดไปในการคัดกรอง:

ความเกี่ยวข้องของ Ransomware:

การด้อยค่าการป้องกันเป็นตัวบ่งชี้ที่ชัดเจนของกิจกรรมผู้ปฏิบัติงานที่ใช้มือพิมพ์ ไม่ใช่การสแกนแบบสุ่ม

ตัวอย่างรายการตรวจสอบการจัดการเมื่อมีการแจ้งเตือน RDP Precursor

สิ่งนี้ถูกออกแบบมาเพื่อความเร็ว อย่าพยายามมั่นใจก่อนที่จะลงมือทำ ดำเนินการเพื่อลดขอบเขตการระเบิดในขณะที่คุณทำการสอบสวน

การคัดกรอง 10 นาที: ยืนยันและระบุขอบเขต

  1. ยืนยันว่าเตือนนี้เป็นของจริง ระบุผู้ใช้ แหล่งที่มา ปลายทาง เวลา และประเภทการเข้าสู่ระบบ (ข้อมูล 4624/4625)
  2. ตรวจสอบว่าแหล่งที่มานั้นอยู่ในเครือข่ายของคุณ, VPN egress หรือโฮสต์กระโดดที่คาดหวังหรือไม่
  3. กำหนดว่าบัญชีนี้มีสิทธิพิเศษหรือไม่ และโฮสต์นี้ควรยอมรับการเข้าสู่ระบบแบบโต้ตอบหรือไม่
  4. หมุนรอบแหล่งที่มา: มีความล้มเหลวกี่ครั้ง, มีความสำเร็จกี่ครั้ง, มีจุดหมายปลายทางกี่แห่ง?

ผลลัพธ์: ตัดสินใจว่าควรเป็น “น่าสงสัย” “น่าจะเป็นอันตราย” หรือ “คาดหวัง”

การควบคุมภายใน 30 นาที: หยุดการเข้าถึงและจำกัดการแพร่กระจาย

มาตรการควบคุมที่ไม่ต้องการความแน่นอนเต็มที่:

  • ปิดการใช้งานหรือรีเซ็ตข้อมูลรับรองบัญชีที่สงสัย (โดยเฉพาะบัญชีที่มีสิทธิพิเศษ)
  • บล็อก IP แหล่งที่น่าสงสัยที่ขอบ (เข้าใจว่าผู้โจมตีสามารถหมุนเวียนได้)
  • ลบการเข้าถึง RDP ชั่วคราวจากกลุ่มกว้าง (การบังคับใช้สิทธิ์น้อยที่สุด)
  • แยกจุดสิ้นสุดต้นทางหากดูเหมือนว่าจะเป็นจุดหมุนสำหรับการเคลื่อนที่แบบแฟนเอาท์

คำแนะนำของ CISA เน้นย้ำซ้ำแล้วซ้ำเล่าว่า การจำกัดบริการระยะไกลเช่น RDP และใช้แนวปฏิบัติที่เข้มงวดเมื่อจำเป็น เนื่องจากการเข้าถึงระยะไกลที่เปิดเผยหรือควบคุมได้ไม่ดีเป็นเส้นทางการเข้าถึงที่พบบ่อย

การขยายการล่าภายใน 60 นาที: ติดตามการเคลื่อนไหวข้างเคียงและการเตรียมการ

ตอนนี้สมมติว่าผู้โจมตีพยายามที่จะจัดฉาก

  • ค้นหาการเข้าสู่ระบบที่สำเร็จเพิ่มเติมสำหรับบัญชีเดียวกันในโฮสต์อื่น ๆ
  • มองหาการเปลี่ยนแปลงสิทธิ์อย่างรวดเร็ว การสร้างผู้ดูแลระบบใหม่ และการสร้างงาน/บริการบนโฮสต์ปลายทางแรก
  • ตรวจสอบเซิร์ฟเวอร์ไฟล์และโฮสต์การจำลองเสมือนสำหรับการเข้าสู่ระบบที่ผิดปกติ (ซึ่งเป็น "ตัวคูณผลกระทบ" ของแรนซัมแวร์)
  • ตรวจสอบการสำรองข้อมูลและความพร้อมในการกู้คืน แต่ไม่เริ่มการกู้คืนจนกว่าคุณจะแน่ใจว่าการจัดเตรียมได้หยุดลงแล้ว

TSplus Advanced Security อยู่ที่ไหน?

การควบคุมแบบป้องกันก่อนเพื่อลดความน่าจะเป็นของแรนซัมแวร์ที่นำโดย RDP

สร้างขึ้นสำหรับ RDP และสำหรับเซิร์ฟเวอร์แอปพลิเคชัน

การตรวจจับเป็นสิ่งสำคัญ แต่แรนซัมแวร์ที่ใช้โปรโตคอล Remote Desktop มักจะประสบความสำเร็จเพราะผู้โจมตีสามารถลองใช้ข้อมูลประจำตัวซ้ำแล้วซ้ำเล่าจนกว่าจะได้ผล จากนั้นจึงเคลื่อนที่ต่อไปเมื่อพวกเขาเข้าไปได้ TSplus Advanced Security เป็น ชั้นป้องกันแรก ออกแบบมาเพื่อลดความน่าจะเป็นนั้นโดยการจำกัดและขัดขวางเส้นทางการโจมตี RDP ที่พบบ่อยซึ่งนำไปสู่การเรียกค่าไถ่

ชุดซอฟต์แวร์ TSplus - ความสามารถในการเสริมที่สร้างขึ้นในตัว

เนื่องจากความเสริมสร้างร่วมกับการจำกัดและการตั้งค่าผู้ใช้และกลุ่มอย่างละเอียดของ TSplus Remote Access มันจึงให้การป้องกันที่แข็งแกร่งต่อความพยายามในการโจมตีเซิร์ฟเวอร์แอปพลิเคชันของคุณ

ความปลอดภัยรอบด้านเพื่อไม่ให้มีช่องโหว่

การลดพื้นที่การตรวจสอบสิทธิ์และการทำลายรูปแบบการใช้ข้อมูลประจำตัวอัตโนมัติเป็นสิ่งสำคัญ โดยการมีส่วนร่วมในการจำกัดว่าใครสามารถเชื่อมต่อได้ จากที่ไหน และภายใต้เงื่อนไขใด รวมถึงการเรียนรู้พฤติกรรมมาตรฐานและการใช้มาตรการป้องกันเพื่อลดประสิทธิภาพของการโจมตีแบบ brute-force และ spray, Advanced Security จึงให้การป้องกันที่มั่นคง สิ่งนี้เสริมสร้างสุขอนามัยมาตรฐานของ RDP โดยไม่แทนที่และช่วยซื้อเวลาโดยการป้องกันไม่ให้ข้อมูลประจำตัวที่โชคดีหนึ่งชุดกลายเป็นจุดยึดที่ใช้งานได้.

ตัวคูณวิศวกรรมการตรวจจับ: สัญญาณที่ดีกว่า, การตอบสนองที่รวดเร็วขึ้น

การควบคุมที่เน้นการป้องกันยังช่วยปรับปรุงคุณภาพการตรวจจับ เมื่อเสียงรบกวนจากการโจมตีแบบ brute force ในระดับอินเทอร์เน็ตลดลง เส้นฐานจะมีเสถียรภาพเร็วขึ้นและเกณฑ์สามารถเข้มงวดขึ้น การแจ้งเตือนจะมีความสามารถในการดำเนินการมากขึ้นเนื่องจากเหตุการณ์ที่เกิดขึ้นน้อยลงทำให้เกิดการรบกวนพื้นหลัง

ในเหตุการณ์ ความเร็วมีความสำคัญในทุกระดับ ข้อจำกัดที่ขับเคลื่อนด้วยนโยบายกลายเป็นกลไกการตอบสนองทันที: ปิดกั้นแหล่งที่น่าสงสัย กักกันพื้นที่ที่ได้รับผลกระทบ ทำให้รูปแบบการเข้าถึงที่อนุญาตเข้มงวดขึ้น ลดการอนุญาต และจำกัดโอกาสในการเคลื่อนที่ข้างเคียงในขณะที่การสอบสวนดำเนินไป

กระบวนการทำงาน: ตัวควบคุมการควบคุมที่เชื่อมโยงกับการแจ้งเตือนของคุณ

ใช้ TSplus Advanced Security เป็น "สวิตช์ที่รวดเร็ว" ที่เชื่อมโยงกับการตรวจจับในคู่มือนี้:

  • หากมีการเพิ่มขึ้นของรูปแบบการสเปรย์/การโจมตีแบบ brute-force ให้เข้มงวดกฎการเข้าถึงและเพิ่มการบล็อกอัตโนมัติเพื่อหยุดความพยายามซ้ำๆ
  • หากมีการเข้าสู่ระบบ RDP ที่มีสิทธิพิเศษจากแหล่งที่มาใหม่เป็นครั้งแรก ให้จำกัดเส้นทางการเข้าถึงที่มีสิทธิพิเศษไปยังแหล่งที่มาของผู้ดูแลระบบที่รู้จักจนกว่าจะได้รับการตรวจสอบแล้ว
  • หากตรวจพบการเคลื่อนไหวแบบแฟนเอาท์ ให้จำกัดการเชื่อมต่อที่อนุญาตเพื่อลดการแพร่กระจายในขณะเดียวกันก็แยกจุดสิ้นสุดพีวอตออกจากกัน

วิธีการนี้มุ่งเน้นไปที่การตรวจจับเป็นอันดับแรก แต่มีการป้องกันที่แท้จริงอยู่รอบ ๆ เพื่อให้ผู้โจมตีไม่สามารถพยายามต่อไปได้ในขณะที่คุณกำลังตรวจสอบ

บทสรุปเกี่ยวกับการวางแผนการตรวจจับแรนซัมแวร์

โปรโตคอลเดสก์ท็อประยะไกล ransomware มักจะไม่มาถึงโดยไม่มีการเตือนล่วงหน้า การใช้ข้อมูลประจำตัว การเข้าสู่ระบบที่ไม่ปกติ และการเปลี่ยนแปลงอย่างรวดเร็วหลังจากการเข้าสู่ระบบมักจะมองเห็นได้ดี ก่อนที่การเข้ารหัสจะเริ่มต้น โดยการตั้งค่ากิจกรรม RDP ที่ปกติและการแจ้งเตือนเกี่ยวกับพฤติกรรมที่มีสัญญาณสูงชุดเล็ก ๆ ทีม IT สามารถเปลี่ยนจากการทำความสะอาดแบบตอบสนองไปยัง การควบคุมเบื้องต้น .

การจับคู่การตรวจจับเหล่านั้นกับการควบคุมที่มุ่งป้องกันเป็นอันดับแรก เช่น การจำกัดเส้นทางการเข้าถึงและการหยุดยั้งความพยายามในการโจมตีแบบ brute-force ด้วย TSplus Advanced Security จะช่วยลดเวลาที่ผู้โจมตีอยู่ในระบบและซื้อเวลาที่สำคัญเมื่อป้องกันผลกระทบจาก ransomware

TSplus Remote Access ทดลองใช้ฟรี

ทางเลือกที่ดีที่สุดสำหรับ Citrix/RDS สำหรับการเข้าถึงเดสก์ท็อป/แอปพลิเคชัน ปลอดภัย คุ้มค่า ราคา ประจำที่/คลาวด์

เริ่มทดลองใช้ฟรี

แบ่งปัน:

Facebook ทวิตเตอร์ LinkedIn

ทีมของคุณ TSplus

การอ่านเพิ่มเติม

TSplus Remote Desktop Access - Advanced Security Software

เกตเวย์เว็บที่ปลอดภัยสำหรับเซิร์ฟเวอร์แอปพลิเคชัน

กำลังมองหาประตูเว็บที่ปลอดภัยสำหรับเซิร์ฟเวอร์แอปพลิเคชันของคุณอยู่หรือไม่? ค้นหาว่า TSplus Advanced Security มีตำแหน่งอย่างไรในฐานะประตูเว็บที่ปลอดภัยและทรงพลัง ซึ่งพัฒนาขึ้นเพื่อปกป้องเซิร์ฟเวอร์แอปพลิเคชันจากภัยคุกคามทางไซเบอร์ที่หลากหลาย

อ่านบทความ →
TSplus Remote Desktop Access - Advanced Security Software

การเสริมสร้างการป้องกันดิจิทัล: ความปลอดภัยของจุดสิ้นสุดคืออะไร?

ความปลอดภัยของจุดสิ้นสุดคืออะไร? บทความนี้มีเป้าหมายเพื่อเสริมสร้างอำนาจให้กับผู้ตัดสินใจและตัวแทนด้านไอทีในการปรับปรุงมาตรการความปลอดภัยทางไซเบอร์ในเรื่องการรักษาความปลอดภัยของจุดสิ้นสุด เพื่อให้มั่นใจในประสิทธิภาพการดำเนินงานที่สูงและการปกป้องข้อมูลที่สำคัญ.

อ่านบทความ →
TSplus Remote Desktop Access - Advanced Security Software

"โปรแกรมรักษาความปลอดภัยที่ดีที่สุดสำหรับ Windowsคืออะไร?"

คู่มือนี้สำรวจรายละเอียดที่ทำให้ซอฟต์แวร์รักษาความปลอดภัยมีประสิทธิภาพ ช่วยให้คุณเรียนรู้เกี่ยวกับตลาดการป้องกันไซเบอร์ ทำการเปรียบเทียบกับผู้เข้าแข่งขันชั้นนำบางรายการ และนำเสนอซอฟต์แวร์ Advanced Security ของเราเอง

อ่านบทความ →
TSplus Remote Desktop Access - Advanced Security Software

VDI ความปลอดภัยทางไซเบอร์

บทความนี้เน้นที่ความมั่นคงปลอดภัยของ VDI โดยให้ความรู้และวิธีการที่ดีที่สุดให้กับผู้ทำงานด้านเทคโนโลยีสารสนเทศ เพื่อป้องกันสภาพแวดล้อม VDI ของพวกเขาอย่างมีประสิทธิภาพ

อ่านบทความ →
back to top of the page icon