E-Root 事件：保护 RDP 和 SSH 账户安全的重要性

出版日期： 22 11 月, 2023

自 21 世纪初以来，网络犯罪最显著的变化之一就是非法产业的日益成熟，已经从最初的个人黑客发展成了不折不扣的盈利公司。 E-Root 是一个全球非法市场，2020 年已被执法部门查封，但最近又成为了新闻焦点，因为其管理员因出售被盗的远程桌面协议 (RDP) 和安全外壳协议 (SSH) 账户而面临 20 年监禁。

E-Root 专门销售各种数字商品，包括被盗凭证以及被攻击服务器的访问权限等。买家可以使用经过筛选的搜索工具来浏览市场，筛选条件包括 ISP、操作系统、RDP 或 SSH 访问权限等。为了加强应变和规避能力，这个网络犯罪组织构建了一个分布广泛的运营网络，并结合多重保护措施来隐藏供应商、买家和管理员的真实身份。

这一事件给人们敲响了警钟，随着网络威胁的不断演变和增多，保护特权访问对于防止数据泄露非常重要。

远程桌面协议 (RDP)

RDP 是一种网络通信协议，支持用户通过 Windows 操作系统远程连接组织的本地计算机。 IT 团队也经常使用该协议来远程执行服务器维护和其他任务。

RDP 的工作原理类似于人类使用的基础架构密钥，用户通常为 IT 管理员和 DevOps 人员，但有时普通终端用户也会使用 RDP 来远程访问文件。

虽然 RDP 是一种重要的远程管理工具，但如果被网络犯罪分子利用，就会构成重大安全风险。多年来，被盗的 RDP 密码一直是最常见的勒索软件感染载体。

RDP 密码被盗可能引发的后果不止有勒索软件攻击。一旦 RDP 凭证被盗，威胁行为者就可以利用软件工具和命令行脚本来找到并窃取更多凭证，然后潜入组织的网络访问他们的文件。他们可以为所欲为，包括窃取、删除、修改这些文件。

安全外壳协议 (SSH)

SSH 是一种加密网络协议，用于两台联网计算机之间的安全数据通信、远程命令行登录及其他安全网络服务。 SSH 密钥和其他连接凭证是 DevOps 和 DevSecOps 团队的重要资源，广泛用于安全访问服务器。

安全使用 SSH 密钥及其他凭证充满了挑战。在网络上或用户之间传输密钥会带来风险。

网络犯罪分子可以利用被盗的 SSH 账户，在未经授权的情况下控制组织的服务器和敏感数据。

如果窃取 RDP 和 SSH 账户的唯一途径是通过不安全的远程连接，那么有什么办法能够有效预防这种情况呢？

采取措施防止 RDP 和 SSH 账户流入暗网

各种组织的流畅运营都严重依赖 RDP 和 SSH，因此成为了网络犯罪分子的主要目标。被盗账户一般最终会流向 E-Root 这类暗网市场。

虽然 E-Root 被取缔是一次积极进展，但仍然还存在许多其他非法市场，威胁从未消失。为了防止 SSH 和 RDP 凭证被窃取和滥用，组织应采取以下预防措施：

保护特权账户安全：实施强有力的措施，以定义、管理并保护具有更高 IT 系统访问权限的账户。例如，将密码和密钥存储在安全保险库中，并实施基于角色的访问控制，将敏感凭证的访问权限仅授予给必须访问这些凭证的个人。
执行最小权限原则：仅授予员工执行规定任务所需的最低访问权限，从而限制用户、应用程序和系统的访问权限。通过实施最小权限原则，组织可以降低未授权访问和潜在滥用风险。
轮换凭证：定期轮换凭证，减少与员工解雇、泄露、暗网曝光等相关的安全威胁。这种做法可最大限度缩短恶意行为者利用被盗凭证的窗口期，从而增强安全性。
管理特权会话：确保通过特权账户会话管理来访问关键基础架构。应确保所有会话的安全性，必须对最终用户隐藏凭证，防止未授权访问。

Keeper® 是保护 RDP 和 SSH 账户的最佳选择

Keeper Security 的权限访问管理 (PAM) 解决方案可以防止未授权访问，是保护关键系统和数据的新一代平台。KeeperPAM™ 可以保护您的所有 RDP 和 SSH 账户、数字证书和其他敏感连接令牌。 Keeper 采用了零信任和零知识架构，这意味着只有经过授权的个人才能访问您的密钥、凭证和远程连接。

借助 Keeper Secrets Manager (KSM)，DevOps 和 DevSecOps 团队可以在系统内创建密钥和凭证的动态编程访问权限，无需购买安装新的硬件或代理软件。 KSM 在云端运行，可提供业界顶级工具的预配置连接。凭借这一功能，组织可以将 KSM 无缝集成到现有技术堆栈中，无需额外的设备，同时还能部署 Keeper 的零知识、零信任架构，实现最高级别的安全性。

使用 Keeper Connection Manager (KCM)，IT 和 DevOps 人员可以安全便捷地访问 RDP、SSH、数据库和 Kubernetes 端点，并且无需 VPN。 KCM 没有任何代理，您的网络浏览器就是客户端，不会对您的域控制器或其他服务产生影响。用户只能访问管理员通过细粒度访问控制明确授权其访问的连接。

利用 Keeper Enterprise Password Manager (EPM)，IT 团队可以全面地了解并控制用户的密码习惯。每个用户都配有一个安全的数字保险库，用于存储和共享凭证、密钥、敏感文件等。 Keeper 还可以与 SSO 和无密码提供商集成，提供端到端的无密码身份验证体验。

立即申请 Keeper 演示，为您的组织保驾护航。

Adrien Julienne

作者： Adrien Julienne

Adrien is the B2B Marketing Campaigns Manager for Keeper Security and contributing writer with over 12 years of experience in the technology industry with a focus on SaaS. Adrien now leads Keeper’s marketing efforts to raise awareness about Keeper as a leader in cybersecurity in its mission to unify critical components of Identity and Access Management and enable zero-trust transformation.