🙋🏾 ❕ 🧛🏿 彭特笔记：隔离区，远程员工以及如何生活 ✴️ 🕺 🚶🏿

针对通用检疫和移动的背景，udalenku我们的一些同事开始大力掷升级了-比如说，周围有一群黑客入侵公司。我想谈谈在短时间内可以做什么，要破解您要困难得多。

我希望我不要揭开RDP外部不良的秘密面纱，即使该RDP导致DMZ网络中的跃点服务器也是如此-在这种情况下，攻击者可以攻击跃点服务器的其他用户并开始在DMZ内部进行攻击。根据我们的经验，离开DMZ进入公司网络并不难-只需获取本地或域管理员的密码（并且密码通常使用相同的密码），您便可以更深入地进入公司网络。

即使您拥有一台完全更新的服务器，并且您认为没有RDP的利用，仍然存在几种潜在的攻击媒介：

密码选择（此外，攻击者无法选择密码，但要为其输入密码-所谓的密码喷雾）
, , , .
.
RDP .

一个好的解决方案是使用远程Desktrop网关（RDG），因此您不必打开RDP。没错，不要忘记在年初发现了2个严重漏洞（2020-0609和CVE-2020-0610），您需要更新服务器-但是，这总是值得做的，不仅是在发布严重漏洞时。

更好的解决方案是使用VPN + RDG，并为所有服务配置2FA。因此，将解决将RDG移除到外围的问题，并且只能通过VPN对其进行访问，这将使跟踪谁与RDG的联系更加容易。此外，使用2FA将有助于解决可能的简单密码问题：通过获取密码，但没有2个因素，攻击者仍将无法连接到VPN \ RDP。

不要忘记VPN服务更新。就在前几天，思科在通报中发布了公告，发现了几个带有CVE-2018-0101漏洞的新攻击媒介。而且，尽管在撰写本文时还没有公开利用代码，但鉴于这种情况，值得更新您的设备。

有些人使用VDI系统进行远程访问（例如Citrix和VMware）-可能还会出现问题。从能够选择密码并进一步获得对桌面/应用程序的访问权限开始，到对未打补丁的系统和已安装的默认帐户/密码的攻击结束。

如果攻击者获得了VDI内的访问权限，那么所谓的退出应用程序模式就是一种攻击：当键盘快捷键配置不正确时，您可以在操作系统中退出应用程序，然后使用命令行来攻击操作系统和用户。

不仅远程访问系统，而且其他公司应用程序都可能受到攻击。例如，现在许多外部外围设备上打开了OWA应用程序，员工可以通过这些应用程序接收邮件，打开Jira来跟踪任务，而忘记了对这些应用程序的可能攻击。

任何Web应用程序都可以受到攻击，并可以用于进一步的攻击。如果可能，您应该给他们提供通过VPN的访问权限，或者至少应用基本的安全措施，例如打补丁，阻止多个密码重设/密码请求。

攻击者可以按以下方式攻击应用程序：

利用服务本身中的漏洞（例如，去年在Jira中发现了CVE-2019-11581，在Pentest项目中，我们反复发现了易受攻击的服务器）。
尝试获取密码或帐户。
利用以下事实：系统已启用默认帐户，并且系统中的密码未更改。

当然，员工是脆弱的一环：他们可能会受到网络钓鱼的攻击，然后使用其设备渗透到组织内部。再说一次-如果防病毒软件最有可能在笔记本电脑上使用，那么对于个人设备，则没有确定性-它们很可能已被感染。

出于这些原因，当人们在家工作时，有必要采取其他措施来提高他们在信息安全问题上的素养-通过课程或网络研讨会进行额外的培训，发布带有警告的新闻通讯并谈论新型的网络钓鱼。

例如，这是我们对员工的说明- 如何远程工作和保持安全。

彭特笔记：隔离区，远程员工以及如何生活

More articles: