今日彙整幾個會搞混的「Remote Service」，分別有可遠端連線的服務、直接暴露在外網的服務、用第三方軟體/程式可提供連線的服務、從 IT 進入到 OT 網路的遠端服務。

T0886 Remote Services

工控網路內的設備開啟可遠端連線的服務（如遠端桌面 RDP、SMB、SSH)，而這些服務遭受到駭客利用，導致駭客可以進行遠端連線到工控網路內部或是傳輸敏感資料。常見提供遠端服務的工控設備如 HMI 或工程師的工作站，也會提供圖形化介面( RDP 或 VNC )加以連線，若駭客進入這些設備，還有機會橫向移動到其他機器。

T0883 Internet Accessible Device

在工控場域內部可能有設備直接對外，暴露於公開網路中，這些設備可能是因為設定失誤導致暴露在外，這些設備可以透過 nmap 等掃描工具，發現這些設備，並且利用已知漏洞進行攻擊或是透過暴力破解密碼的方式，甚至設備本身沒有防護機制(身分驗證)，因此當服務直接暴露於外網中，將導致任何人可以瀏覽、操作設備功能。

T0822 External Remote Services

工控場域若使用外部遠端服務如 VPN、Citrix，透過這些服務進行身分驗證(帳號密碼驗證後)可進入工控網路，因此惡意攻擊者的目標為 VPN，包含 VPN 帳號密碼竊取、利用已知漏洞攻擊 VPN 軟體。

T0886 Exploitation of Remote Services

攻擊者透過蒐集資訊了解工控網路內部有哪些軟體、設備、作業系統，並透過軟體漏洞、作業系統已知漏洞進行攻擊。如著名的攻擊為 WannaCry 透過 SMB 相關的漏洞，從 IT 網路攻擊到 OT 網路產生重大危害。