Agencja Cybersecurity and Infrastructure Security Agency (CISA) już w 2023 roku ostrzegała przed wzrostem zagrożeń związanych z RMM, klasyfikując je jako technikę T1219 w bazie technik ATT&CK. Aby skutecznie zabezpieczać organizacje, firmy takie jak ExtraHop wprowadzają innowacyjne technologie detekcji. Platforma RevealX identyfikuje użycie RMM poprzez pasywne monitorowanie ruchu sieciowego, wykrywając popularne narzędzia, takie jak TeamViewer, AnyDesk czy Atera Agent.
W grudniu 2024 roku, w ramach platformy ExtraHop RevealX powstał nowy moduł – New Remote Access Software Activity Detector, który natychmiast alarmuje zespół SOC o pierwszym wystąpieniu aktywności RMM w sieci. Aby minimalizować ryzyko wykorzystania RMM do ataków, organizacje powinny wdrożyć wielowarstwową strategię ochrony. Kluczowe działania obejmują:
- Blokowanie lub ograniczanie ruchu do stron i usług powiązanych z oprogramowaniem RMM.
- Monitorowanie urządzeń pod kątem nieautoryzowanego oprogramowania zdalnego dostępu.
- Wdrożenie mechanizmów zapobiegających uruchamianiu nieautoryzowanych aplikacji.
- Automatyczna kwarantanna urządzeń, które nawiązują podejrzane połączenia z usługami RMM.
- Ciągła analiza ruchu sieciowego i badanie nietypowej aktywności.
Dzięki wdrożeniu takich mechanizmów, organizacje mogą precyzyjnie odróżnić legalne wykorzystanie narzędzi RMM od ich złośliwego nadużycia, a co najważniejsze – powstrzymać cyberprzestępców, zanim wyrządzą realne szkody.
Zarówno administratorzy IT, jak i specjaliści ds. cyberbezpieczeństwa muszą mieć świadomość, że RMM to broń obosieczna. Może ułatwiać pracę, ale może stać się także niebezpiecznym narzędziem w rękach cyberprzestępców. Monitorowanie i zaawansowana detekcja aktywności związanej z RMM powinny stać się priorytetem każdej organizacji. W dobie coraz bardziej wyrafinowanych ataków cybernetycznych, każdy krok w stronę proaktywnej obrony może być kluczowy dla bezpieczeństwa firmy.
