• Articles
• admin

med koronaviruset spredt over hele verden, jobber flere mennesker hjemmefra som en måte å øve sosial distansering på. Men eksterne arbeidere trenger fortsatt å gjøre jobben sin til det beste av deres evner. Noen ganger betyr det å koble til en arbeidsstasjon eller server i selskapet for å utføre viktige oppgaver. Og for det er mange organisasjoner med Windows-datamaskiner avhengige Av Microsofts Remote Desktop Protocol (RDP). Ved hjelp av slike innebygde verktøy som Eksternt Skrivebordstilkobling, kan folk få tilgang til og jobbe med eksterne maskiner.

RDP har blitt rammet av ulike sikkerhetshull og hindringer gjennom årene. Mest spesielt, 2019 ga opphav til Et sårbarhet kjent som BlueKeep som kunne tillate cyberkriminelle å eksternt overta en tilkoblet PC som ikke er riktig patched. Videre bruker hackere kontinuerlig brute force-angrep for å prøve å få brukerlegitimasjonen til kontoer som har eksternt skrivebordstilgang. Hvis de lykkes, kan de få tilgang til de eksterne arbeidsstasjonene eller serverne som er konfigurert for den kontoen. Av disse grunnene og mer må organisasjoner vedta visse sikkerhetstiltak for å beskytte seg selv når De bruker Microsofts RDP.

SE: hvordan jobbe hjemmefra: IT pros veiledning til telecommuting og eksternt arbeid (TechRepublic Premium)

I Følgende Q & A, Jerry Gamblin, hovedsikkerhetsingeniør Hos Kenna Security, og A. N. Ananth, chief strategy officer Hos managed security service provider Netsurion, tilbyr sine tanker og råd til organisasjoner som bruker RDP.

Hvilke sikkerhetsproblemer og feil bør organisasjoner være oppmerksomme på MED RDP?

Gamblin: Som alle sårbarheter er det viktig å ta en risikobasert tilnærming og prioritere patching RDP sårbarheter som har kjent weaponized offentlige utnytter SOM Cve-2019-0708 (BlueKeep). Patching sårbarheter uten weaponized offentlige utnyttelser SOM CVE-2020-0660 er trygge å holde i din normale patching cadence.

Ananth: RDP som implementert i versjoner Av Windows, inkludert Server 2008/12 R2, 7, 8.1, 10, er kjent som sårbare for utnyttelser beskrevet som CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 og CVE-2019-1226. Fra midten av 2019 ble rundt 800 millioner brukere ansett som sårbare. Exploits for disse sikkerhetsproblemene har vært på salg på web kriminelle markedsplasser siden 2018.

Eldre servere, som er sårbare, blir ofte oppdatert i en langsommere syklus, og dette forlenger levetiden til slike sårbarheter. Web crawlere som shodan.io gjør det enkelt for angripere å raskt identifisere sårbare maskiner som vender mot publikum. Over hele verden er mer enn to millioner systemer utsatt for internett via RDP, hvorav mer enn 500 000 er I USA.

hvordan prøver hackere og nettkriminelle å dra nytte av RDP-kontoer og-tilkoblinger?

Gambling: Å Finne og utnytte ET RDP-sårbarhet vil være det første trinnet i en angrepskjede som sannsynligvis vil bli brukt til å angripe interne datalagre og katalogtjenester for å svinge til enten et økonomisk motiv eller evnen til å forstyrre operasjoner.

Ananth: EN vanlig taktikk ER RDP brute-forcing, hvor angripere automatiserer mange påloggingsforsøk ved hjelp av felles legitimasjon, og håper en treff. Den andre innebærer å utnytte en programvare sårbarhet for å få kontroll over EN RDP-server. For eksempel kan angripere utnytte BlueKeep (CVE-2019-0708) for å få full kontroll over EN administrert tjenesteleverandørs (MSP) upatchede RDP-servere.

en ny modul i Trickbot prøver spesielt å brute-force RDP-kontoer. De Sodinokibi og GandCrab malware angrep innlemme RDP moduler. Ryuk ransomware, som har vært spesielt aktiv I 1Q 2020, bruker RDP til å spre seg sideveis etter at det første fotfestet er oppnådd. RobinHood-angrepet mot Baltimore I Mai 2019 og SamSam-angrepet mot Atlanta i August 2018 er eksempler på RDP-opprinnelige angrep.

Hvilke sikkerhetsalternativer bør organisasjoner sette på plass for å bedre beskytte seg mot trusler MOT RDP-kontoer og tilkoblinger?

Gamblin: uten mange unntak bør ALLE RDP-forekomster kreve flere nivåer av tilgangs-og autentiseringskontroller. Dette vil inkludere BRUK AV EN VPN for å få tilgang TIL EN RDP-forekomst og krever en annen faktor (Som Duo) for autentisering. NOEN store organisasjoner plasserer RDP direkte på internett, men de fleste (forhåpentligvis) gjør dette uvitende. Kontroll på dette er ganske enkelt; bare fyre opp din favoritt internett-wide skanner og se på alle RDP forekomster direkte utsatt.

Ananth: det er noen innebygde, kostnadsfrie forsvar som kan sikre RDP. Disse inkluderer:

• Patching: Hold servere spesielt oppdatert.
• Komplekse passord: Bruk også tofaktorautentisering og implementer lockout-policyer.
• Standardport: Endre standardporten som BRUKES AV RDP fra 3389 til noe annet via Registret.
• Windows-brannmur: Bruk den innebygde windows-brannmuren til å begrense RDP-økter etter IP-adresse.
• Nettverksnivåautentisering (Nla): Aktiver NLA, som ikke er standard på eldre versjoner.
• Begrens RDP-tilgang: Begrens RDP-tilgang til en bestemt brukergruppe. Ikke tillat noen domeneadministrator å få TILGANG TIL RDP.
• TUNNEL RDP-tilgang: Tunnel tilgang via IPSec eller Secure Shell (SSH).

selv om du tok alle disse forebyggende og herdende trinnene, kan man imidlertid ikke garantere sikkerhet. Overvåk RDP utnyttelse. Se etter første gangs sett og uregelmessig oppførsel. En rekke mislykkede forsøk etterfulgt av et vellykket forsøk indikerer vellykket brute force passord gjette. EN SIKKERHETSINFORMASJON og Event Management (SIEM) løsning med effektive korrelasjons evner kan raskt finne slike forsøk.

Se også

• Dark Web: en jukselapp for profesjonelle (TechRepublic)
• 2020 tekniske konferanser og arrangementer for å legge til i kalenderen din (Gratis PDF) (TechRepublic nedlasting)
• Policy pack: Arbeidsplass etikk(TechRepublic Premium)
• Remote working 101: Profesjonell guide til verktøy av handelen (ZDNet)
• 5 beste stående skrivebord omformere for 2020 (CNET)
• de 10 viktigste iPhone apps av all tid (Download.com)
• Teknisk historie: Sjekk ut vår dekning(TechRepublic På Flipboard)