Security Primer-Remote Desktop Protocol (Italiano)
Panoramica
Remote Desktop Protocol (RDP) è un protocollo proprietario Microsoft che consente connessioni remote ad altri computer, in genere sulla porta TCP 3389. Fornisce l’accesso alla rete per un utente remoto su un canale crittografato. Gli amministratori di rete utilizzano RDP per diagnosticare i problemi, accedere ai server ed eseguire altre azioni remote. Gli utenti remoti utilizzano RDP per accedere alla rete dell”organizzazione per accedere e-mail e file.
I Cyber Threat actors (CTA) utilizzano porte RDP configurate in modo errato aperte a Internet per ottenere l’accesso alla rete., Sono quindi in grado di spostarsi potenzialmente lateralmente in tutta la rete, aumentare i privilegi, accedere ed esfiltrare informazioni sensibili, raccogliere credenziali o distribuire un’ampia varietà di malware. Questo vettore di attacco popolare consente ai CTA di mantenere un profilo basso poiché utilizzano un servizio di rete legittimo e fornisce loro le stesse funzionalità di qualsiasi altro utente remoto. I CTA utilizzano strumenti, come il motore di ricerca Shodan, per scansionare Internet alla ricerca di porte RDP aperte e quindi utilizzare tecniche di password di forza bruta per accedere a reti vulnerabili., Le credenziali RDP compromesse sono anche ampiamente disponibili per la vendita sui mercati web scuri.
Nel 2018, il Multi-State Information Sharing and Analysis Center (MS-ISAC) ha osservato un aumento delle varianti ransomware che puntano strategicamente le reti attraverso porte RDP non protette o forzando la password. Il ransomware viene quindi distribuito manualmente su tutta la rete compromessa ed è associato a richieste di riscatto più elevate.,
Indicazioni:
- Valutare la necessità di avere RDP, la porta 3389, aperto su sistemi e, se necessario:
- luogo qualsiasi sistema con un apri porta RDP dietro un firewall e richiedono che gli utenti VPN attraverso il firewall;
- abilita password, autenticazione multi-fattore, di blocco degli account e delle politiche di difesa contro la forza bruta attacchi;
- whitelist connessioni a determinati host attendibili;
- limitare RDP accessi autorizzati account non amministratore, ove possibile., Rispettare il principio del privilegio minimo, assicurando che gli utenti abbiano il livello minimo di accesso richiesto per svolgere i loro compiti; e
- registrare e rivedere i tentativi di accesso RDP per attività anomale e conservare questi registri per un minimo di 90 giorni. Assicurarsi che solo gli utenti autorizzati accedono a questo servizio.
- Se RDP non è richiesto, eseguire controlli regolari per garantire che le porte RDP siano protette.
- Verifica che gli ambienti cloud aderiscano alle best practice, come definito dal provider di servizi cloud., Al termine della configurazione dell’ambiente cloud, assicurarsi che le porte RDP non siano abilitate a meno che non siano necessarie per uno scopo aziendale.
- Abilitare gli aggiornamenti automatici di Microsoft per garantire che le versioni più recenti del software client e server siano in esecuzione.
Il MS-ISAC è il punto focale per la prevenzione delle minacce informatiche, la protezione, la risposta e il recupero per i governi statali, locali, tribali e territoriali (SLTT) della nazione. Maggiori informazioni su questo argomento, così come l’assistenza 24×7 cybersecurity è disponibile a 866-787-4722, [email protected]., Il MS-ISAC è interessato ai vostri commenti – un sondaggio di feedback anonimo è disponibile.