自從被勒索病毒攻擊數次後
我就患上了強迫症,請外包把所有RDP都關閉
只準靠Anydesk讓同仁遠端回來連線
在知識量不足的情況下
僅知道Teamviewer有被入侵的風險,才會出此下策
其實像這種透過第三方伺服器的遠端桌面連線軟體
無論是Teamviewer、還是Anydesk
都是不安全的軟體
因為他們的運作方式是使用者->第三方伺服器->電腦
而如果是VPN,則是使用者->公司內防火牆的VPN->電腦
防火牆只要有簽硬體保固就能更新韌體
比起依靠別人的伺服器,靠自己還實在些
但當時沒有任何人教怎麼設定VPN
前輩們也不會設定防火牆的VPN
才導致使用這種方法連線
這就證明了幾件事
- 對公司任何設備都要簽保固協定
- 有保固協定,才能更新韌體修補漏洞
- 禁止所有遠端連線軟體
- 所有端點都要有防毒軟體
下面是換了防火牆才開始建立的規則
有些牌子的NGFW會內建應用程式的IP,只要封鎖相關服務即可
因為被駭太多次了
我決定從頭開始解決防毒軟體的問題
以當時的功力來說我也只知道硬體防火牆要顧好,防毒要建好
找來當初賣防毒的工程師重新檢視政策
才發現白名單沒有建立
也難怪以前的資訊不敢將防毒安裝在主機上
但是這樣又有一個問題
就是如果該程式被植入惡意程式
就沒有辦法掃到了
例如Sunburst的供應鏈攻擊
理論上安裝系統、與導入軟體時
我們要知道這些東西安裝的資料夾、以及預設要開啟的通訊埠
這樣才能加入防火牆與防毒軟體白名單
幸好唯一只有BI的派報系統會被防毒誤刪
其他的系統則是將資料夾加入白名單後解決
總算是讓公司安全了些
以前是裸奔
現在有輕型防彈背心
