Security Primer-Remote Desktop Protocol (Español)

0 Comments

Overview

Remote Desktop Protocol (RDP) es un protocolo propietario de Microsoft que permite conexiones remotas a otros equipos, generalmente a través del puerto TCP 3389. Proporciona acceso a la red para un usuario remoto a través de un canal cifrado. Los administradores de red usan RDP para diagnosticar problemas, iniciar sesión en servidores y realizar otras acciones remotas. Los usuarios remotos usan RDP para iniciar sesión en la red de la organización para acceder al correo electrónico y los archivos.

Los agentes de amenazas cibernéticas (CTA) utilizan puertos RDP mal configurados que están abiertos a Internet para obtener acceso a la red., Luego están en condiciones de moverse potencialmente lateralmente a través de una red, escalar privilegios, acceder y exfiltrar información confidencial, recopilar credenciales o implementar una amplia variedad de malware. Este popular vector de ataque permite a los CTA mantener un perfil bajo, ya que están utilizando un servicio de red legítimo y les proporciona la misma funcionalidad que cualquier otro usuario remoto. Los CTA usan herramientas, como el motor de búsqueda Shodan, para escanear Internet en busca de puertos RDP abiertos y luego usan técnicas de contraseña de fuerza bruta para acceder a redes vulnerables., Las credenciales de RDP comprometidas también están ampliamente disponibles para la venta en los mercados de la web oscura.

en 2018, El Multi-State Information Sharing and Analysis Center (MS-ISAC) observó un aumento en las variantes de ransomware que se dirigen estratégicamente a las redes a través de puertos RDP no seguros o forzando brutalmente la contraseña. El ransomware se implementa manualmente en toda la red comprometida y se asocia con mayores demandas de rescate.,

recomendaciones:

  • Evaluar la necesidad de tener RDP, puerto 3389, abierto en los sistemas y, si es necesario:
    • Colocar cualquier sistema con un puerto RDP abierto detrás de un cortafuegos y requerir a los usuarios VPN a través del cortafuegos;
    • habilitar contraseñas seguras, autenticación multifactor y políticas de bloqueo de cuentas para defenderse contra ataques de fuerza bruta;
    • inicios de sesión RDP en cuentas no Administradoras autorizadas, cuando sea posible., Se adhieren al principio de menor privilegio, asegurando que los usuarios tengan el nivel mínimo de acceso requerido para cumplir con sus obligaciones; y
    • registrar y revisar los intentos de inicio de sesión RDP para detectar actividad anómala y retener estos registros durante un mínimo de 90 días. Asegúrese de que solo los usuarios autorizados accedan a este servicio.
  • si no se requiere RDP, realice comprobaciones periódicas para asegurarse de que los puertos RDP estén protegidos.
  • verificar que los entornos en la nube se adhieran a las prácticas recomendadas, definidas por el proveedor de servicios en la nube., Una vez finalizada la configuración del entorno en la nube, asegúrese de que los puertos RDP no estén habilitados a menos que sea necesario para fines comerciales.
  • habilite las actualizaciones automáticas de Microsoft para asegurarse de que se estén ejecutando las versiones más recientes del software cliente y del servidor.

El MS-ISAC es el punto focal para la prevención, protección, respuesta y recuperación de amenazas cibernéticas para los gobiernos estatales, locales, tribales y territoriales (SLTT) de la nación. Más información sobre este tema, así como asistencia de ciberseguridad 24×7 está disponible en 866-787-4722, [email protected], El MS-ISAC está interesado en sus comentarios-una encuesta de retroalimentación anónima está disponible.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *