L'abuso di RMM è l'uso improprio di software di monitoraggio e gestione remota per ottenere il controllo interattivo di un sistema tramite strumenti che sembrano legittimi. Le piattaforme RMM sono progettate per l'amministrazione IT: consentono agli operatori di eseguire comandi, spostare file, aprire sessioni e gestire gli endpoint su larga scala. In un attacco, quella stessa funzionalità considerata affidabile può essere usata contro la vittima.
Questo è importante perché i controlli di sicurezza spesso considerano gli strumenti di amministrazione approvati a basso rischio. Se un utente malintenzionato ruba credenziali, dirotta una sessione o installa un agente di gestione remota, può confondersi con la normale attività di supporto ed evitare le evidenti firme del malware. Gli analisti dovrebbero monitorare accessi insoliti, nuove distribuzioni di RMM, strane catene di processi padre-figlio e sessioni remote al di fuori del normale orario di lavoro o da località inattese. Rafforzare l'MFA, limitare quali strumenti RMM sono consentiti e generare avvisi sulle connessioni in uscita verso servizi di gestione remota può ridurre la possibilità che uno strumento di convenienza diventi una via d'intrusione.



