Hvordan beskytte virksomheten din mot nettangrep som utnytter Microsofts protokoll for eksternt skrivebord

Hvordan forhindre ødeleggelse av data fra cybersecurity-angrep IBMs Christoper Scott diskuterer skadelig programvare, hvordan cyberattackers kommer inn i miljøer, og hvorfor bruk av multifaktorautentisering er avgjørende hvis du bruker en online tjeneste.

Microsofts Remote Desktop Protocol (RDP) er et populært og allestedsnærværende middel til å få tilgang til, kontrollere og administrere eksterne datamaskiner, både for enkeltpersoner og organisasjoner. RDP er den underliggende teknologien for Microsofts Remote Desktop Connection (RDC), et verktøy innebygd i Windows, men også tilgjengelig for andre plattformer som macOS, iOS og Android. Men dens veldig popularitet gjør RDP til en innbydende og utnyttbar mulighet for hackere å få tilgang til eksterne datamaskiner. Heldigvis er det tiltak du kan ta for å kontrollere og tilpasse RDP i organisasjonen din for å bedre beskytte den mot angripere, ifølge Vectras 2019 Spotlight Report om RDP utgitt onsdag.

På grunn av den utbredte bruken er RDP en sårbar angrepsflate og vil sannsynligvis fortsette å være det i løpet av en nær fremtid, ifølge Vectra. Det er fordi cyberattackers vanligvis følger "banen til minst motstand" i deres forsøk på å hacke seg inn i datamaskiner og systemer. Strategien er å prøve å bruke eksisterende administrative verktøy for å få tilgang til et nettverk og deretter introdusere skadelig programvare for å omfatte målets miljø og til slutt stjele data fra en organisasjon.

Ransomware: Hva IT-proffene trenger å vite (gratis PDF)

Vectra oppdaget 26 800 mistenkelige RDP-oppførsler i mer enn 350 distribusjoner fra januar til juni 2019, ifølge rapporten. Hele 90% av de 350 utplasseringene viste RDP-angrep atferdsdeteksjoner. Produksjons- og finansorganisasjoner ble rammet av det høyeste nivået av RDP-deteksjoner med henholdsvis 10 og 8 deteksjoner per 10.000 arbeidsmengder og enheter. Utover disse to næringene var detaljhandel, myndigheter og helsevesen blant de fem største sektorene med risiko for angrep av RDP-angrep.

Vectra

I september 2018 advarte FBI at den ondsinnede bruken av RDP "har vært på vei opp siden midten av slutten av 2016, " bemerket Vectras rapport. Flere ransomware-angrep, for eksempel Samsam og CrySiS, brukte RDP for å bevege seg i siden av nettverk. I sin advarsel rådet byrået til og med selskaper å deaktivere RDP hvis det ikke er nødvendig.

Men mange organisasjoner veier fordelene ved å bruke RDP mot muligheten for at en hacker tapper inn på det. Spesielt vil IT-ledere i produksjonsbedrifter foretrekke de enorme kostnads- og tidsbesparelsene ved sentralisert ledelse som tilbys av RDP fremfor den potensielle abstrakte risikoen for at en cyberattacker utnytter den, heter det i rapporten. RDP tilbyr også forretningsverdi til selskaper, da det lar dem sentralt administrere datamaskiner og systemer rundt om i verden.

Hvorfor er RDP så sårbar som en tilkoblingsprotokoll? Har den iboende svakheter, eller er den for ofte konfigurert på en slik måte at den blir mottakelig for utnyttelse?

RDP er bestemt utsatt for sikkerhetsproblemer, som oppdages regelmessig, og tvinger Microsoft til å varsle brukere og lappe hullene. I august kunngjorde Microsoft flere nye RDP-sårbarheter som kan kjøres uten riktig legitimasjon eller innspill fra brukeren, slik at en angriper kan få ekstern tilgang til og kontrollere et system. I denne kunngjøringen anbefalte til og med Microsoft å deaktivere Remote Desktop Services hvis det ikke var nødvendig. Men det er fremdeles den brede spredningen av RDP som gjør det til et åpent mål.

"RDP er ikke mer eller mindre sårbar enn noen annen administrativ protokoll, noe som betyr at styrken til RDP er avhengig av hvor sterk er den administrative autentiseringen som brukes i organisasjonen, " sa Chris Morales, leder for sikkerhetsanalyse i Vectra, til TechRepublic i en e-post . "Det som gjør RDP attraktiv er allikevel protokollen, ettersom RDP er til stede i alle Windows-systemer siden 1996 og er mye brukt i hver bransje. RDP har utvidelser som gjør at en angriper kan omgå autentisering og utføre koden på et eksternt system, men dette er det samme som all programvare. "

Snarere hviler svakhetene ved RDP oftere innenfor dens konfigurasjon, eller feilkonfigurasjon.

"Problemet med RDP er ofte i konfigurasjonen og distribusjonen i organisasjonene selv, " sa Morales til TechRepublic. "Det er tilfeller av delt administrativ tilgang, RDP utsatt for Internett, og en generell mangel på bevissthet om hvordan RDP brukes i organisasjonen."

Det første trinnet mot mer effektiv sikring av RDP mot utnyttelse er ved å kontrollere tilgangen.

"Organisasjoner må begrense tilgangen til eksternt skrivebordshåndtering og bruke sterk autentisering, " sa Morales. "Og organisasjoner må anta kompromiss er mulig og fokusere på å lære hvem, hva, hvor og når tilgang til eksternt skrivebord. Dette inkluderer riktig tildeling av brukertilgang rettigheter og redusere forekomster av delt legitimasjon slik at organisasjoner kan konsentrere seg om hvordan og når denne tilgangen brukes. "

Neste trinn er å overvåke bruken av RDP.

"Å overvåke atferden på ekstern tilgang er viktig for å øke evnen til å oppdage en cyberattackers interne rekognosering og lateral bevegelse i organisasjonens nettverk, " la Morales til. "Synlighet for denne og andre angriperatferd er avhengig av implementering av riktige verktøy med synlighet i nettverksatferd."

Utover disse rådene, må organisasjoner gjøre seg oppmerksom på nye utnyttelser som er oppdaget i RDP via Microsofts supportbulletiner og laste ned de nødvendige oppdateringene. En artikkel fra Machine Design med tittelen Five Issues Facing Secure Remote Access to IIoT Machines tilbyr også nyttige råd for å håndtere RDP, spesielt i et produksjonsmiljø.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | mobilegn.com