Security Primer-Remote Desktop Protocol (Polski)

0 Comments

przegląd

Remote Desktop Protocol (RDP) jest zastrzeżonym protokołem firmy Microsoft, który umożliwia zdalne połączenia z innymi komputerami, zazwyczaj przez port TCP 3389. Zapewnia dostęp do sieci dla zdalnego użytkownika przez zaszyfrowany kanał. Administratorzy sieci używają RDP do diagnozowania problemów, logowania się do serwerów i wykonywania innych zdalnych działań. Zdalni użytkownicy korzystają z RDP, aby zalogować się do sieci organizacji, aby uzyskać dostęp do poczty e-mail i plików.

aktorzy cyberzagrożeń (CTA) używają źle skonfigurowanych portów RDP, które są otwarte dla Internetu, aby uzyskać dostęp do sieci., Są wtedy w stanie potencjalnie przenosić się z boku w sieci, zwiększać uprawnienia, uzyskiwać dostęp i usuwać poufne informacje, zbierać poświadczenia lub wdrażać różnorodne złośliwe oprogramowanie. Ten popularny wektor ataku pozwala CTA zachować niski profil, ponieważ korzystają z legalnej usługi sieciowej i zapewnia im taką samą funkcjonalność, jak każdy inny zdalny użytkownik. CTA używają narzędzi, takich jak wyszukiwarka Shodan, do skanowania internetu w poszukiwaniu otwartych portów RDP, a następnie używają technik haseł brute force, aby uzyskać dostęp do podatnych na ataki sieci., Skompromitowane poświadczenia RDP są również szeroko dostępne w sprzedaży na ciemnych rynkach internetowych.

w 2018 roku Multi-State Information Sharing and Analysis Center (MS-ISAC) zaobserwowało wzrost liczby wariantów oprogramowania ransomware, które strategicznie atakują sieci za pośrednictwem niezabezpieczonych portów RDP lub wymuszając hasło. Oprogramowanie ransomware jest następnie ręcznie wdrażane w całej zagrożonej sieci i wiąże się z wyższymi żądaniami okupu.,

zalecenia:

  • ocenić potrzebę posiadania RDP, port 3389, otwarty na systemach i, jeśli jest to wymagane:
    • umieścić dowolny system z otwartym portem RDP za zaporą i wymagać od użytkowników VPN przez zaporę;
    • włączyć silne hasła, uwierzytelnianie wieloskładnikowe i zasady blokowania kont w celu ochrony przed atakami brute-force;
    • biała lista połączeń do określonych zaufanych hostów;
    • ograniczyć w miarę możliwości loguje się do autoryzowanych kont innych niż administrator., Przestrzegaj zasady najmniejszego przywileju, zapewniając, że użytkownicy mają minimalny poziom dostępu wymagany do wykonania swoich obowiązków; i
    • loguj i przeglądaj próby logowania RDP dla anomalnej aktywności i zachowuj te logi przez co najmniej 90 dni. Upewnij się, że dostęp do tej usługi mają tylko upoważnieni użytkownicy.
  • Jeśli RDP nie jest wymagany, należy regularnie sprawdzać, czy porty RDP są zabezpieczone.
  • weryfikacja zgodności środowisk chmurowych z najlepszymi praktykami zdefiniowanymi przez dostawcę usług w chmurze., Po zakończeniu konfiguracji środowiska w chmurze upewnij się, że porty RDP nie są włączone, chyba że są wymagane do celów biznesowych.
  • Włącz automatyczne aktualizacje firmy Microsoft, aby upewnić się, że działają najnowsze wersje oprogramowania klienta i serwera.

MS-ISAC jest centralnym punktem zapobiegania zagrożeniom cybernetycznym, ochrony, reagowania i naprawy dla rządów państw narodowych, lokalnych, plemiennych i terytorialnych (SLTT). Więcej informacji na ten temat, a także całodobowa pomoc w zakresie cyberbezpieczeństwa pod numerem telefonu 866-787-4722, [email protected], MS-ISAC jest zainteresowany twoimi komentarzami – dostępna jest anonimowa ankieta zwrotna.


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *