应急解决方案-如何有效监测和阻断TeamViewer

10月11日，深圳市网络与信息安全信息通报中心发布了一份编号为“2019029”的名为《关于TeamViewer客户端被远程控制的紧急通报》文件（以下简称《通报》）。

《通报》称，“我中心监测发现，近期有境外黑客组织APT41对TeamViewer实施了网络攻击，并成功拿下TeamViewer公司的后台管理系统，使得黑客组织可以访问并控制任何安装了TeamViewer的客户端。”

同时，《通报》建议深圳市单位采取以下措施进行主动防御：首先，近期停止使用TeamViewer远程管理软件；其次，在防火墙中禁止用于TeamViewer远程通讯的5938端口；第三，通过Web应用防火墙或其它设备禁止单位内主机回连TeamViewer.com域名。

为避免引发安全事件，《通报》提出防护建议与措施，“请全市各单位组织内设部门及下属单位，各行业主管部门组织全体行业单位，立即开展以下工作：一是迅速核查事件影响，并根据上文中提到防范措施在防火墙中设置过滤，以阻断 TeamViewer远程控制单位内主机；二是提醒职工，在近期不要使用TeamViewer远程工具进行远程；三是发现网络攻击及时预防和处置，一旦发生安全事件，第一时间上报我中心。”

TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序，桌面共享和文件传输简单且快速，是一款非常流行的远程控制软件。此次疑似黑客入侵事件在国内安全圈中引起了极大关注。其实TeamViewer很早就被各大黑客组织盯上了，早在2016年就被报道出黑客组织入侵的事件。

内网面临着愈来愈复杂的安全隐患和风险，需要具备的安全防护能力从传统的网络信息安全到上网用户的行为感知和综合风险分析，涉及到用户上网行为感知、网络威胁态势感知、未知网络威胁防护、网络病毒检测、网络攻击溯源、综合安全分析、网络设备日志分析、异常流量分析等等多种多门类的网络安全防护技术。

此次TeamViewer应用安全漏洞事件，充分说明内网安全是一个十分重要且普遍的场景。在内网开启远程连接的行为应该被实时感知和审计，通过合适的网络安全防护和行为感知，让内网的核心敏感数据和网络活动在可感知、可控、可审计的环境中规范的运作，以避免严重的泄密事件发生。

作为“网络空间数据治理专家”，任子行网络安全审计与风险管理平台SURF-SA-BA，可实现对实施内容的审计与监控，持续监测TeamViewer阻断效果；任子行网络安全审计系统SURF-SA-RAG-A，通过管理用户对互联网的使用，为用户感知网络行为风险，可帮助用户及时阻断TeamViewer远程控制。

使用任子行网络安全审计与风险管理平台SURF-SA-BA持续监测TeamViewer阻断效果

1.任子行网络安全审计与风险管理平台 7*24小时不间断监测内网用户的远程连接行为。

2.任子行网络安全审计与风险管理平台 让内网远程连接行为可感知、可控、可审计。

如何使用任子行网络安全审计系统SURF-SA-RAG-A阻断TeamViewer远程控制

1. 登录管理界面进入上网行为管理---安全策略---IPV4安全策略，点击新建。

2.下拉定位到应用审计点击新建，在弹出的功能框中点击应用审计，找到远程控制，选择TeamViewer。

3. 选择完成后将处理动作选择为拒绝。

4. 配置完成后点击提交并保存配置即可封堵所有针对TeamViewer发出的请求。

因此，建议用户在数据中心汇集交换机和企事业单位网络环境中核心交换机之间部署一台任子行网络安全审计系统SURF-SA-RAG-A，同时藉由任子行网络安全审计与风险管理平台SURF-SA-BA持续监测阻断效果，做到对内外网用户访问服务器的统一防护。