火絨首發(fā)“終端動態(tài)認證”功能 勒索病毒主要入侵通道有望被遏制

2月26日，今日，火絨企業(yè)版宣布新增“終端動態(tài)認證”安全認證功能。該功能通過終端登錄時需進行動態(tài)驗證的方式，可有效防御終端在遭遇密碼泄露或弱密碼暴破后面臨的各類安全風險，如信息泄露、勒索病毒攻擊等，最終達到保護終端的目的。這也是國內(nèi)首個在終端反病毒安全產(chǎn)品中，對本地登錄，特別是對遠程登錄終端啟用動態(tài)驗證的防御方式。

一直以來，RDP弱口令滲透都是網(wǎng)絡攻防戰(zhàn)中的關(guān)鍵一環(huán)，黑客團伙可以通過RDP（遠程桌面協(xié)議）暴破，或者直接在黑市購買RDP憑證的方式，來遠程登錄用戶賬戶，訪問主機內(nèi)的各類信息，造成重要信息、資料泄露，甚至植入各類病毒，嚴重威脅企業(yè)終端安全。

根據(jù)火絨報告《2019勒索事件回顧：RDP弱口令滲透愈演愈烈》顯示：在過去的2019年里，勒索病毒的攻擊方式從漏洞、郵件、激活工具等大比例轉(zhuǎn)變?yōu)镽DP弱口令滲透。據(jù)“火絨在線支持和響應中心”平臺統(tǒng)計，在火絨2019年處理的勒索事件中，高達61%的勒索攻擊選擇使用RDP弱口令滲透進行傳播（如下圖）。

火絨工程師分析，企業(yè)終端尤其是服務器，通常暴露在外網(wǎng)，加上未設(shè)置高強度密碼、密碼復用等常見現(xiàn)象，是導致此類攻擊的愈發(fā)猖獗的一大原因。因此，通過動態(tài)驗證的方式，可以有效防止黑客團伙通過弱口令暴破、撞庫等黑客手段獲取密碼后成功登錄終端。

當開啟火絨“終端動態(tài)認證”功能后，無論是本地還是遠程登錄用戶計算機時，都將彈出火絨的動態(tài)口令安全認證窗口（如下圖）。若用戶設(shè)置了計算機密碼，則該彈窗將在用戶輸入正確的賬戶密碼后彈出；如果用戶未設(shè)置計算機密碼，則該彈窗開機直接彈出。用戶需再次輸入正確的動態(tài)口令才可登錄計算機。

“網(wǎng)絡攻防思路并非是刻板、保守、單一的，更是對于多樣攻擊渠道進行綜合分析并提供有效甚至針對性的防御”，火絨創(chuàng)始人劉剛表示。

實際上，在PC終端防御上，除了加強常規(guī)的病毒攔截、查殺以外，火絨同樣注重對各類攻擊渠道的防御。比如去年推出的“漏洞攻擊攔截”功能、“應用加固”以及“僵尸網(wǎng)絡防護”、“Web服務保護”等功能都是針對終端脆弱點進行防護，極大減少相應的攻擊和潛在安全風險。

而對于RDP弱口令滲透的防御，也一直都是火絨防御的重點渠道之一。2019年中，火絨除了在個人版5.0上新增“遠程登錄防護”功能預防弱口令滲透外，火絨企業(yè)版也推出"遠程登錄防護"功能，可通過設(shè)置IP白名單，拒絕并追蹤陌生可疑設(shè)備進行RDP登錄。直至目前，推出用以二次驗證的“終端動態(tài)認證”功能。

目前，國內(nèi)動態(tài)口令的技術(shù)與運用已經(jīng)很成熟和廣泛，各類PC、移動軟件登錄、使用隨時可見其身影；而反病毒類安全軟件也是常伴互聯(lián)網(wǎng)用戶的大眾產(chǎn)品，但將兩者結(jié)合起來，卻能發(fā)揮1+1＞2的效果，起到充分、有效防御RDP弱口令滲透這一類高危攻擊的作用。這種積極、創(chuàng)新的防御方式和理念，也許會將PC安全領(lǐng)域往前推一小步，甚至助力反病毒防御手段整體升級。