26 joulukuun, 2021

miten suojata paremmin Microsoft Remote Desktop Protocol-yhteytesi

 Employee in office
Image: Getty Images/

koronaviruksen levitessä ympäri maailmaa yhä useammat ihmiset työskentelevät kotoa käsin keinona harjoittaa sosiaalista etääntymistä. Etätyöntekijöiden on silti tehtävä työnsä parhaan kykynsä mukaan. Joskus tämä tarkoittaa yhteyden muodostamista yrityksen työasemaan tai palvelimeen keskeisten tehtävien suorittamiseksi. Ja että, monet organisaatiot Windows-tietokoneiden luottaa Microsoftin Remote Desktop Protocol (RDP). Käyttämällä sisäänrakennettuja työkaluja, kuten etätyöpöytäyhteyttä, ihmiset voivat käyttää etäkoneita ja työskennellä niiden kanssa.

RDP: hen on vuosien varrella osunut erilaisia tietoturva-aukkoja ja esteitä. Erityisesti, 2019 synnytti haavoittuvuuden tunnetaan BlueKeep, joka voisi sallia verkkorikolliset etänä vallata kytketty PC, joka ei ole kunnolla paikattu. Lisäksi hakkerit käyttävät jatkuvasti brute force-hyökkäyksiä yrittäessään saada käyttäjätunnuksia tileiltä, joilla on Etätyöpöytäyhteys. Onnistuessaan he voivat päästä etätyöasemille tai palvelimille, jotka on perustettu kyseistä tiliä varten. Näistä syistä ja enemmän, organisaatioiden täytyy hyväksyä tiettyjä turvatoimia suojautua käytettäessä Microsoftin RDP.

katso: How to work from home: IT pro ’ s guidebook to etätyö ja etätyö (TechRepublic Premium)

seuraavassa Q&a, Jerry Gamblin, principal security-yhtiön turvallisuusinsinööri, ja A. N. Ananth, managed security service provider netsurionin strategiapäällikkö, tarjoaa ajatuksiaan ja neuvojaan RDP: tä käyttäville organisaatioille.

mitä tietoturvahaavoittuvuuksia ja puutteita organisaatioiden pitäisi olla tietoisia RDP?

Gamblin: kuten kaikki haavoittuvuudet, on tärkeää ottaa riskiperusteinen lähestymistapa ja priorisoida paikkaus RDP haavoittuvuuksia, jotka ovat tunnettuja weaponized julkisia hyödyntää kuten CVE-2019-0708 (BlueKeep). Haavoittuvuuksien paikkaaminen ilman aseistettuja julkisia hyväksikäyttöjä, kuten CVE-2020-0660, on turvallista pitää normaalissa paikkauskadenssissa.

Ananth: RDP, sellaisena kuin se on toteutettu Windows-versioissa, mukaan lukien Server 2008/12 R2, 7, 8.1, 10, tiedetään haavoittuvaksi hyväksikäytöille, joita on kuvattu nimillä CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 ja CVE-2019-1226. Vuoden 2019 puolivälissä noin 800 miljoonaa käyttäjää pidettiin haavoittuvana. Hyväksikäyttöjä näille haavoittuvuuksille on ollut myynnissä netin rikollisilla markkinapaikoilla vuodesta 2018 lähtien.

haavoittuvia vanhempia palvelimia paikataan usein hitaammalla syklillä, mikä pidentää tällaisten haavoittuvuuksien käyttöikää. Web-ryömijät kuten shodan.io: n avulla hyökkääjien on helppo tunnistaa nopeasti haavoittuvia julkisia koneita. RDP: n kautta Internetiin altistuu maailmanlaajuisesti yli kaksi miljoonaa järjestelmää, joista yli 500 000 on Yhdysvalloissa.

miten hakkerit ja verkkorikolliset yrittävät hyödyntää RDP: n tilejä ja yhteyksiä?

Gamblin: RDP-haavoittuvuuden löytäminen ja hyödyntäminen on ensimmäinen askel hyökkäysketjussa, jota todennäköisesti käytettäisiin sisäisiin tietovarastoihin ja hakemistopalveluihin kohdistuviin hyökkäyksiin joko taloudellisen motiivin tai toiminnan häiritsemisen mahdollistamiseksi.

Ananth: Yksi yleinen taktiikka on RDP brute-pakottaminen, jossa hyökkääjät automatisoivat monia kirjautumisyrityksiä käyttäen yhteisiä tunnuksia toivoen yhden osuvan. Toinen liittyy ohjelmiston haavoittuvuuden hyödyntämiseen RDP-palvelimen hallinnan saamiseksi. Hyökkääjät voivat esimerkiksi käyttää Bluekeepiä (CVE-2019-0708) saadakseen täydellisen hallinnan hallitun palveluntarjoajan (MSP) avaamattomista RDP-palvelimista.

Trickbotin uusi moduuli yrittää nimenomaan raa ’ asti pakottaa RDP-tilit. Sodinokibi-ja GandCrab-haittaohjelmien hyökkäykset sisältävät RDP-moduuleja. Ryuk ransomware, joka on ollut erityisen aktiivinen 1Q 2020: ssa, käyttää RDP: tä levittääkseen lateraalisesti alkuperäisen jalansijan saavuttamisen jälkeen. Robinhoodin hyökkäys Baltimoren kaupunkia vastaan toukokuussa 2019 ja Samsamin isku Atlantan kaupunkia vastaan elokuussa 2018 ovat esimerkkejä RDP: n käynnistämistä hyökkäyksistä.

mitä turvallisuusvaihtoehtoja organisaatioiden tulisi ottaa käyttöön suojautuakseen paremmin RDP: n tileihin ja yhteyksiin kohdistuvilta uhkilta?

Gamblin:ilman monia poikkeuksia, kaikkien RDP-esiintymien tulisi edellyttää monitasoista pääsyä ja todennusta. Tämä sisältäisi VPN: n käytön RDP-instanssin käyttämiseen ja vaatisi toisen tekijän (kuten Duo) todennukseen. Jotkut suuret organisaatiot asettavat RDP suoraan Internetissä, mutta useimmat (toivottavasti) tekevät tämän tietämättään. Tarkkailun tämä on melko yksinkertainen; vain palo jopa suosikki Internetin laajuinen skanneri ja tarkastella kaikkia RDP tapauksissa suoraan alttiina.

Ananth: on olemassa joitain sisäänrakennettuja, kustannuksettomia puolustuksia, jotka voivat turvata RDP: n. Näitä ovat:

  • paikkaus: pidä palvelimet erityisesti ajan tasalla.
  • monimutkaiset salasanat: Käytä myös kaksivaiheista todennusta ja toteuta työsulkukäytäntöjä.
  • Oletusportti: Vaihda RDP: n käyttämä oletusportti 3389: stä johonkin muuhun rekisterin kautta.
  • Windowsin palomuuri: käytä sisäänrakennettua Windowsin palomuuria rajoittaaksesi RDP-istuntoja IP-osoitteen mukaan.
  • verkkotason todennus (NLA): Ota käyttöön NLA, joka ei ole oletuksena vanhemmissa versioissa.
  • Limit RDP access: Limit RDP access to a specific user group. Älä anna minkään verkkotunnuksen ylläpitäjän käyttää RDP: tä.
  • tunnelin RDP-käyttö: tunneliyhteys IPSec: n tai Secure Shellin (SSH) kautta.

turvallisuutta ei kuitenkaan voi taata, vaikka olisi tehnyt kaikki nämä ehkäisy-ja kovennusvaiheet. Seuraa RDP: n käyttöä. Etsi ensikertalaista ja poikkeavaa käytöstä. Peräkkäiset epäonnistuneet yritykset, joita seuraa onnistunut yritys, osoittavat onnistuneen raa ’ an voiman salasanan arvaamisen. Siem (Security Information and Event Management) – ratkaisu, jolla on tehokkaat korrelaatiokyvyt, voi nopeasti paikantaa tällaiset yritykset.

Cybersecurity Insider Newsletter

Vahvista organisaatiosi TIETOTURVAPUOLUSTUSTA pysymällä ajan tasalla uusimmista kyberturvallisuusuutisista, ratkaisuista ja parhaista käytännöistä. Toimitetaan tiistaisin ja torstaisin

Rekisteröidy tänään

Katso myös

  • Dark Web: lunttilappu ammattilaisille (TechRepublic)
  • 2020 Tech konferenssit ja tapahtumat lisätä kalenteriin (Ilmainen PDF) (TechRepublic download)
  • Policy pack: Workplace ethics (TechRepublic Premium)
  • etätyö 101: Professional ’ s guide to the tools of the trade (ZDNet)
  • 5 best standing desk converters for 2020 (CNET)
  • the 10 most important iPhone apps of all time (Download.com)
  • tekniikan historia: Tsekkaa kattavuutemme (TechRepublic fläppitaululla)

Vastaa

Sähköpostiosoitettasi ei julkaista.