cum să vă asigurați mai bine conexiunile Protocolului Microsoft Remote Desktop
odată cu răspândirea coronavirusului în întreaga lume, mai mulți oameni lucrează de acasă ca o modalitate de a practica distanțarea socială. Dar lucrătorii la distanță trebuie să-și facă treaba cât mai bine posibil. Uneori, aceasta înseamnă conectarea la o stație de lucru sau la un server din cadrul companiei pentru a efectua sarcini cheie. Și pentru asta, multe organizații cu computere Windows se bazează pe Microsoft Remote Desktop Protocol (RDP). Folosind astfel de instrumente încorporate, cum ar fi conexiunea Desktop la distanță, oamenii pot accesa și lucra cu mașini la distanță.
RDP a fost lovit de diferite găuri de securitate și obstacole de-a lungul anilor. În special, 2019 a dat naștere unei vulnerabilități cunoscute sub numele de BlueKeep, care ar putea permite infractorilor cibernetici să preia de la distanță un PC conectat care nu este corect patch-uri. Mai mult, hackerii folosesc continuu atacuri de forță brută pentru a încerca să obțină acreditările de utilizator ale conturilor care au acces la desktop la distanță. Dacă au succes, pot avea acces la stațiile de lucru la distanță sau la serverele configurate pentru acel cont. Din aceste motive și mai mult, organizațiile trebuie să adopte anumite măsuri de securitate pentru a se proteja atunci când utilizează RDP Microsoft.
vezi: cum să lucrezi de acasă: ghidul IT pro pentru telecomunicații și lucrări la distanță (TechRepublic Premium)
în următorul Q&a, Jerry Gamblin, inginer principal de securitate la Kenna Security și A. N. Ananh, Chief strategy officer la furnizorul de servicii de securitate gestionate Netsurion, își oferă gândurile și sfaturile pentru organizațiile care utilizează RDP.
ce vulnerabilități și defecte de securitate ar trebui să fie conștiente de organizații cu RDP?
Gamblin: ca toate vulnerabilitățile, este important să adoptați o abordare bazată pe riscuri și să acordați prioritate vulnerabilităților RDP care au cunoscut exploatări publice armate precum CVE-2019-0708 (BlueKeep). Vulnerabilitățile de patch – uri fără exploatări publice armate, cum ar fi CVE-2020-0660, sunt sigure pentru a vă păstra cadența normală de patch-uri.
Ananth: RDP implementat în versiunile de Windows, inclusiv Server 2008/12 R2, 7, 8.1, 10, sunt cunoscute vulnerabile la exploatările descrise ca CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 și CVE-2019-1226. La mijlocul anului 2019, aproximativ 800 de milioane de utilizatori erau considerați vulnerabili. Exploatările pentru aceste vulnerabilități au fost puse în vânzare pe piețele criminale web din 2018.
serverele mai vechi, care sunt vulnerabile, sunt adesea patch-uri la un ciclu mai lent, iar acest lucru prelungește durata de viață a acestor vulnerabilități. Crawlere Web ca shodan.io facilitează atacatorilor să identifice rapid mașinile vulnerabile cu care se confruntă publicul. La nivel mondial, peste două milioane de sisteme sunt expuse la internet prin RDP, dintre care peste 500.000 sunt în SUA.
cum încearcă hackerii și infractorii cibernetici să profite de conturile și conexiunile RDP?
Gamblin: găsirea și exploatarea unei vulnerabilități RDP va fi primul pas într-un lanț de atac care ar putea fi folosit pentru a ataca magazinele de date interne și serviciile de directoare pentru a pivota fie un motiv financiar, fie capacitatea de a perturba operațiunile.
Ananth: O tactică comună este RDP brute-forcing, unde atacatorii automatizează multe încercări de conectare folosind acreditări comune, sperând că unul va fi lovit. Al doilea implică exploatarea unei vulnerabilități software pentru a obține controlul asupra unui server RDP. De exemplu, atacatorii ar putea exploata BlueKeep (CVE-2019-0708) pentru a obține controlul complet al serverelor RDP nepatchate ale unui furnizor de servicii gestionate (MSP).
un nou modul în Trickbot încearcă în mod specific să brute-force RDP conturi. Atacurile malware Sodinokibi și GandCrab încorporează module RDP. Ryuk ransomware, care a fost activ în special în 1Q 2020, folosește RDP pentru a se răspândi lateral după obținerea punctului inițial. Atacul RobinHood împotriva orașului Baltimore în Mai 2019 și atacul SamSam împotriva orașului Atlanta în August 2018 sunt exemple de atacuri originare din RDP.
ce opțiuni de securitate ar trebui să pună organizațiile în aplicare pentru a se proteja mai bine împotriva amenințărilor la adresa conturilor și conexiunilor RDP?
Gamblin: fără multe excepții, toate instanțele RDP ar trebui să necesite mai multe niveluri de control de acces și autentificare. Aceasta ar include utilizarea unui VPN pentru a accesa o instanță RDP și care necesită un al doilea factor (cum ar fi Duo) pentru autentificare. Unele organizații majore plasează RDP direct pe internet, dar majoritatea (sperăm) fac acest lucru în necunoștință de cauză. Verificarea acestui lucru este destul de simplă; doar porniți scanerul preferat la nivel de internet și uitați-vă la toate instanțele RDP expuse direct.
Ananth: există câteva apărări încorporate, fără costuri, care pot asigura RDP. Acestea includ:
- Patching: păstrați serverele în special actualizate.
- parole complexe: De asemenea, utilizați autentificarea cu doi factori și implementați Politici de blocare.
- port implicit: schimbați portul implicit utilizat de RDP de la 3389 la altceva prin intermediul registrului.
- paravan de protecție Windows: utilizați paravanul de protecție Windows încorporat pentru a restricționa sesiunile RDP după adresa IP.
- autentificare la nivel de rețea (NLA): activați NLA, care nu este implicit pentru versiunile mai vechi.
- limitați accesul RDP: limitați accesul RDP la un anumit grup de utilizatori. Nu permiteți nici unui administrator de domeniu să acceseze RDP.
- acces RDP tunel: acces tunel prin IPSec sau Secure Shell (SSH).
cu toate acestea, chiar dacă ați luat toate aceste măsuri de prevenire și întărire, nu se poate garanta siguranța. Monitorizarea utilizării RDP. Căutați un comportament pentru prima dată văzut și anormal. O succesiune de încercări eșuate, urmată de o încercare de succes indică succes parola brute force ghicitul. O soluție de gestionare a informațiilor și evenimentelor de securitate (Siem) cu capacități eficiente de corelare poate identifica rapid astfel de încercări.
Cybersecurity Insider Newsletter
consolidarea apărării securității IT a organizației dvs., ținând la curent cu cele mai recente știri, soluții și cele mai bune practici în materie de securitate cibernetică. Livrate marți și joi
Înscrieți-vă astăzi
de asemenea, consultați
- Dark Web: o foaie de înșelăciune pentru profesioniști (TechRepublic)
- conferințe și evenimente tehnologice 2020 pentru a le adăuga în calendar (PDF gratuit) (descărcare TechRepublic)
- pachet de politici: Etica la locul de muncă (TechRepublic Premium)
- lucrul la distanță 101: Ghidul profesionistului pentru instrumentele comerțului (ZDNet)
- 5 cele mai bune Convertoare de birou în picioare pentru 2020 (CNET)
- cele mai importante 10 aplicații pentru iPhone din toate timpurile (Download.com)
- Istoricul tehnologiei: consultați acoperirea noastră (TechRepublic pe Flipboard)