【遙距工作】九成黑客濫用RDP發動攻擊 創歷年新高
遙距工作日益盛行,網絡安全解決方案供應商 Sophos 報告顯示,黑客持續濫用 Windows 系統上用於建立遙距數據存取的遙距桌面通訊協定 (RDP),而相關事故佔整體攻擊案例九成,創下 Sophos 於 2021 年的紀錄新高。
當中,黑客最常見的初始入侵網路途徑為經外界接入的遙距連接服務 (如 RDP),而相關事故則佔 2023 年 Sophos 的事故回應案例達 65%。自 Sophos 於 2020 年首次發布主動攻擊者報告以來,「經外界接入的遙距連接服務」一直成為黑客最常用的初始入侵途徑,故系統安全團隊應視之為明確警號,並於評估企業風險時,優先協助企業管理經外界接入的遙距連接服務。
黑客經 RDP 埠半年內四度入侵
在 Sophos X-Ops 團隊所處理的事故中,黑客成功於六個月內四度入侵受害機構,而入侵的渠道每次均為其公開的 RDP 埠,令黑客輕易取得初始存取權限。當他們成功入侵內部系統,則能隨意於機構的網路橫向移動,並下載惡意二進制檔案、停用端點保護,以及建立遙控存取連線。
現時,「憑證竊漏」和「憑證漏洞」仍然是網絡攻擊的常見成因。根據 Sophos 於去年八月發布的《2023 年科技領袖的主動攻擊者報告》,「憑證竊漏」的次數首度超越「憑證漏洞」,成為最常見的攻擊成因,而 2023 年後半年的整體趨勢則維持不變。回顧整年的事故案例,則有逾半案例涉及憑證竊漏。從 Sophos 於 2020 年至 2023 年所錄得的數據,憑證竊漏一直是攻擊的首要成因,當中有近三分之一的事故均與憑證竊漏有關,而有近 43% 的受訪企業仍未建立多重認證。另外,總結 Sophos 於 2020 年至 2023 年的全年數據,「憑證漏洞」為第二大常見的攻擊成因,分別佔 16% 和 30%。
Sophos 建議企業應減少系統暴露於外界和採用易受攻擊的服務,並加強身分驗證以保護企業網絡安全,並能更有效擊退網絡攻擊。
唔想成為下一個騙案受害人?
