2月25日,火絨企業版新增“終端動態認證”功能。該功能通過終端登錄時需進行動態驗證的方式,可有效防禦終端在遭遇密碼洩露或弱密碼暴破後面臨的各類安全風險,如信息洩露、勒索病毒攻擊等,最終達到保護終端的目的。這也是火絨依據現有互聯網威脅形態的分析,率先在終端登錄,特別是遠程登錄,啟用動態驗證的積極防禦方式。
一直以來,RDP弱口令滲透都是網絡攻防戰中的關鍵一環,黑客團伙可以通過RDP(遠程桌面協議)暴破,或者直接在黑市購買RDP憑證的方式,來遠程登錄用戶賬戶,訪問主機內的各類信息,造成重要資料洩露外,甚至植入各類勒索病毒,嚴重威脅企業終端安全。
根據火絨報告《 》顯示:在過去的2019年裡,勒索病毒的攻擊方式從漏洞、郵件、激活工具等大比例轉變為RDP弱口令滲透。據“火絨在線支持和響應中心”平臺統計,在火絨2019年處理的勒索事件中,高達61%的勒索攻擊選擇使用RDP弱口令滲透進行傳播(如下圖)。
火絨工程師分析,企業終端尤其是服務器,通常暴露在外網,加上未設置高強度密碼、密碼複用等常見現象,是導致此類攻擊的愈發猖獗的一大原因。因此,通過動態驗證的方式,可以有效防止黑客團伙通過弱口令暴破、撞庫等黑客手段獲取密碼後成功登錄終端。
當開啟火絨“終端動態認證”功能後,無論是本地還是遠程登錄用戶計算機時,都將彈出火絨的動態口令安全認證窗口(如下圖)。若用戶設置了計算機密碼,則該彈窗將在用戶輸入正確的賬戶密碼後彈出;如果用戶未設置計算機密碼,則該彈窗開機直接彈出。用戶需再次輸入正確的動態口令才可登錄計算機。
“網絡攻防思路並非是刻板、保守、單一的,更是對於多樣攻擊渠道進行綜合分析並提供有效甚至針對性的防禦”,火絨創始人劉剛表示。
為此,火絨專門將RDP弱口令滲透防禦作為重點之一,並上線了一系列針對性的防禦功能:2019年中,火絨除了在個人版5.0上新增“遠程登錄防護”功能預防弱口令滲透外,火絨企業版也推出"遠程登錄防護"功能,可通過設置IP白名單,拒絕並追蹤陌生可疑設備進行RDP登錄。直至目前,火絨將動態認證功能與終端安全軟件相結合,也是希望將在RDP弱口令滲透這一防禦領域,能夠更有效的抑制諸如勒索病毒等相關安全風險事件爆發的概率。
實際上,在PC終端防禦上,除了加強常規的病毒攔截、查殺以外,火絨就一直注重對攻擊渠道的防禦。比如去年推出的“漏洞攻擊攔截”功能、“應用加固”以及“殭屍網絡防護”、“Web服務保護”等功能都是針對終端脆弱點進行防護,極大減少相應的攻擊和潛在安全風險。
"火絨企業版"自2018年初面市以來,已有上萬家政府、企業單位部署試用。該產品易於安裝,操作簡單,運行穩定,未發生過一起嚴重產品故障,充分滿足各單位網絡安全需求。任何政企單位都可以通過火絨官網申請,免費試用"火絨企業版"3個月。
閱讀更多 火絨安全實驗室 的文章
