De Amerikaanse overheid waarschuwt voor het gebruik van legitieme remote access software door aanvallers en roept organisaties op om hierop te monitoren. Via tools zoals TeamViewer, LogMeIn en AnyDesk is het mogelijk voor bijvoorbeeld beheerders om op afstand op systemen in te loggen. De tools zijn echter ook aantrekkelijk voor aanvallers, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf).

Antvirus- of beveiligingssoftware zal in veel gevallen de software niet als verdacht detecteren. Aanvallers hoeven geen eigen malware te ontwikkelen. Daarnaast kan remote access software firewall rules en policies omzeilen. Verder kan het voor meerdere inbraken worden gebruikt. Zo kan een initial access broker, die toegang tot gecompromitteerde netwerken aan criminelen verkoopt, de toegang aan meerdere partijen aanbieden.

Om organisaties te helpen is het CISA met een handleiding gekomen voor het beveiligen van remote access software. Daarbij richten de adviezen zich op organisaties, klanten van saas- en managed serviceproviders en ontwikkelaars van software met remote access functionaliteit. Volgens het CISA is het belangrijk dat netwerkbeheerder eerst een baseline van normale netwerkactiviteit opstellen om vervolgens afwijkend gedrag of verkeer te detecteren.

Er moet dan specifiek worden gemonitord op het ongeautoriseerd gebruik van remote access software. Tevens wordt aangeraden om inkomend en uitgaand verkeer naar veelgebruikte poorten en protocollen door remote access software op de netwerkperimeter te blokkeren. Zo zou de software niet over HTTPS-poort 443 moeten worden gebruikt, aldus het advies van de Amerikaanse overheidsinstantie. Dat adviseert om toegang tot remote access software via een vpn of virtual desktop interface te laten lopen.

Organisaties die hun netwerk door een managed serviceprovider laten beheren moeten het gebruik hiervan loggen en zelf directe toegang tot de logserver behouden, buiten het bereik van de remote access software. Voor managed serviceproviders adviseert het CISA onder andere om wachtwoorden niet voor meerdere klanten te hergebruiken. Gisteren liet de Autoriteit Persoonsgegevens nog weten dat ict-leveranciers vorig jaar vaak te maken kregen met een cyberaanval omdat ze hun beveiliging niet op orde hadden.