2月25日,火绒企业版新增“终端动态认证”安全认证功能。该功能通过终端登录时需进行动态验证的方式,可有效防御终端在遭遇密码泄露或弱密码暴破后面临的各类安全风险,如信息泄露、勒索病毒攻击等,最终达到保护终端的目的。这也是国内首个在终端反病毒安全产品中,对本地登录,特别是对远程登录终端启用动态验证的防御方式。
一直以来,RDP弱口令渗透都是网络攻防战中的关键一环,黑客团伙可以通过RDP(远程桌面协议)暴破,或者直接在黑市购买RDP凭证的方式,来远程登录用户账户,访问主机内的各类信息,造成重要信息、资料泄露,甚至植入各类病毒,严重威胁企业终端安全。
根据火绒报告《2019勒索事件回顾:RDP弱口令渗透愈演愈烈》显示:在过去的2019年里,勒索病毒的攻击方式从漏洞、邮件、激活工具等大比例转变为RDP弱口令渗透。据“火绒在线支持和响应中心”平台统计,在火绒2019年处理的勒索事件中,高达61%的勒索攻击选择使用RDP弱口令渗透进行传播(如下图)。
火绒工程师分析,企业终端尤其是服务器,通常暴露在外网,加上未设置高强度密码、密码复用等常见现象,是导致此类攻击的愈发猖獗的一大原因。因此,通过动态验证的方式,可以有效防止黑客团伙通过弱口令暴破、撞库等黑客手段获取密码后成功登录终端。
当开启火绒“终端动态认证”功能后,无论是本地还是远程登录用户计算机时,都将弹出火绒的动态口令安全认证窗口(如下图)。若用户设置了计算机密码,则该弹窗将在用户输入正确的账户密码后弹出;如果用户未设置计算机密码,则该弹窗开机直接弹出。用户需再次输入正确的动态口令才可登录计算机。
“网络攻防思路并非是刻板、保守、单一的,更是对于多样攻击渠道进行综合分析并提供有效甚至针对性的防御”,火绒创始人刘刚表示。
实际上,在PC终端防御上,除了加强常规的病毒拦截、查杀以外,火绒同样注重对各类攻击渠道的防御。比如去年推出的“漏洞攻击拦截”功能、“应用加固”以及“僵尸网络防护”、“Web服务保护”等功能都是针对终端脆弱点进行防护,极大减少相应的攻击和潜在安全风险。
而对于RDP弱口令渗透的防御,也一直都是火绒防御的重点渠道之一。2019年中,火绒除了在个人版5.0上新增“远程登录防护”功能预防弱口令渗透外,火绒企业版也推出"远程登陆防护"功能,可通过设置IP白名单,拒绝并追踪陌生可疑设备进行RDP登录。直至目前,推出用以二次验证的“终端动态认证”功能。
目前,国内动态口令的技术与运用已经很成熟和广泛,各类PC、移动软件登录、使用随时可见其身影;而反病毒类安全软件也是常伴互联网用户的大众产品,但将两者结合起来,却能发挥1+1>2的效果,起到充分、有效防御RDP弱口令渗透这一类高危攻击的作用。这种积极、创新的防御方式和理念,也许会将PC安全领域往前推一小步,甚至助力反病毒防御手段整体升级。