Може ли Remote Desktop да бъде хакнат? Практически риск оценка за превенция

Достъпът до отдалечен работен плот може да бъде хакнат, но повечето инциденти не са холивудски експлойти. Повечето инциденти са предсказуеми резултати от изложени услуги, повторно използваеми идентификационни данни и прекалено широк достъп. Това ръководство предоставя на ИТ екипите инструмент, независим от конкретни решения, за оценка на риска, който се прилага за RDP, HTML5 портали, VDI и инструменти за отдалечена поддръжка, след което свързва оценката с приоритетни корекции.

Какво означава "Хакнат" за инструментите за отдалечен работен плот?

Отдалеченият работен плот не е един продукт. Отдалеченият работен плот е набор от пътища за достъп, които могат да включват Microsoft Remote Desktop Protocol (RDP), Remote Desktop Services, VDI като Azure Virtual Desktop, браузърни портали, които проксирват сесия, и инструменти за отдалечена поддръжка, които създават връзки при поискване.

В инцидентните доклади „отдалеченият работен плот беше хакнат“ обикновено означава един от тези резултати:

• Поемане на акаунт: атакувачът влиза нормално, използвайки откраднати или познати идентификационни данни.
• Злоупотреба с пътя за достъп: изложена шлюз, отворен порт, слаба политика или неправилна конфигурация улесняват неоторизирания достъп.
• Постлогинова повреда: атакуващият използва легитимната способност на сесията, за да се движи странично, да ексфилтрира данни или да разпространява ransomware.

Тази разлика е важна, защото предотвратяване става въпрос за намаляване на шанса за успешен вход и ограничаване на това, което може да направи един вход.

Защо Remote Desktop е цел на атаките?

Достъпът до отдалечен работен плот е привлекателен, защото е интерактивен и с високи привилегии по дизайн. RDP е общ, широко поддържан и често достъпен през TCP порт 3389, което го прави лесен за сканиране и насочване. Vectra обобщава основен проблем Разпространението на RDP и нивото на достъп, което предоставя, го правят често цел за атаки, когато не се управлява правилно.

Cloudflare очертава същите рискови фактори с две повтарящи се слабости: слаба автентикация и неограничен достъп до портове, които се комбинират в възможности за брутфорс и натъпкване на идентификационни данни, когато RDP е изложен.

Средната пазарна реалност също увеличава риска. Хибридната работа, достъпът на доставчици, сливанията и разпределените ИТ операции създават "разширяване на достъпа". Дистанционният достъп се разширява по-бързо от политиката и мониторинга, а нападателите предпочитат тази пропаст.

Какъв е рискът от хакване на Remote Desktop (RDRS)?

Рискът от хакване на отдалечен работен плот (RDRS) е бърз модел за проектиране. Целта не е да се замени одитът по сигурността. Целта е да се класират факторите на риска, така че ИТ екипът да може да направи три промени, които бързо да намалят вероятността от компрометиране.

Оценете всеки стълб от 0 до 3. Съберете ги за общо 15.

• 0: силен контрол, нисък практически риск
• 1: предимно контролирано, малки пропуски
• 2: частичен контрол, реален път на атака съществува
• 3: висок риск, вероятно ще бъде експлоатиран с времето

Пillar 1: Повърхност на експозиция

Повърхността на експозицията е свързана с това, до което атакувачът може да достигне от външната страна. Най-високорисковият модел все още е "директно достъпни услуги за отдалечен работен плот" с минимални контролни механизми на входа.

Ръководство за оценка:

1. 0: дистанционният работен плот не е достъпен в интернет; достъпът се осъществява чрез контролирани пътища.
2. 1: дистанционният работен плот е достъпен само чрез ограничени мрежи, VPN или стриктно определени разрешителни.
3. 2: портал или шлюз е насочен към интернет, но политиките са непоследователни между приложения, групи или региони.
4. 3: пряка експозиция съществува (чести примери включват отворен RDP, забравени NAT правила, разрешителни облачни защитни групи).

Практическа бележка за смесени имоти:

Повърхността на експозиция се отнася до RDP, VDI шлюзове, HTML5 портали и конзоли за дистанционна поддръжка. Ако някой от тях е публична входна врата, нападателите ще я намерят.

Стълб 2: Повърхност на идентичността

Идентичността на повърхността е колко лесно е за нападател да стане валиден потребител. Cloudflare подчертава повторна употреба на пароли и неуправляеми удостоверения като ключови фактори за натрупване на удостоверения и атаки с груба сила в сценарии за отдалечен достъп.

Ръководство за оценка:

• 0: Изисква се MFA, привилегированите акаунти са разделени и наследствената автентикация не е разрешена.
• 1: MFA съществува, но не навсякъде, има изключения за "само един сървър" или "само един доставчик".
• 2: паролите са основният контрол за някои пътища за отдалечен работен плот или споделени администраторски идентичности.
• 3: входът, достъпен от интернет, разчита само на пароли или локални акаунти, които се използват широко на сървърите.

Практическа бележка:

Идентичността е мястото, където сигурността на отдалечения работен плот обикновено се проваля първо. Нападателите не се нуждаят от експлоататор, ако удостоверяването е лесно.

Пillar 3: Повърхност на авторизацията

Авторизационната повърхност е това, до което валиден потребител има право да достигне и кога. Много среди се фокусират върху това кой може да влезе, но пропускат кой може да влезе в какво, откъде и през кой времеви интервал.

Ръководство за оценка:

• 0: достъп с най-малко права се прилага с експлицитни групи за всяко приложение или работен плот, плюс отделни администраторски пътища.
• 1: Групи съществуват, но достъпът е широк, защото е по-прост оперативно.
• 2: потребителите могат да достигнат до твърде много сървъри или десктопи; времевите ограничения и ограниченията на източника са несъответстващи.
• 3: всеки удостоверен потребител може да получи достъп до основните системи, или администраторите могат да RDP навсякъде от неуправляеми крайни точки.

Практическа бележка:

Авторизация е също така основата, която най-добре поддържа смес от средния пазар. Когато Windows, macOS, изпълнители и трети страни всички се нуждаят от достъп, детайлната авторизация е контролът, който предотвратява един валиден вход да се превърне в достъп за цялото имение.

Стълб 4: Повърхност на сесията и крайна точка

Сесийната повърхност е това, което може да прави отдалечената сесия, след като започне. Повърхност на крайна точка дали свързаното устройство е достатъчно доверено за предоставения достъп.

Ръководство за оценка:

• 0: привилегированият достъп изисква подсилени администраторски работни станции или хостове за скок; функции за сесии с висок риск са ограничени, където е необходимо.
• 1: Съществуват контрол на сесиите, но не са съобразени с чувствителността на данните.
• 2: крайни точки са комбинация от управлявани и неуправлявани с еднакви възможности за сесии.
• 3: достъп до отдалечен работен плот с високи привилегии е разрешен от всяко устройство с минимални ограничения.

Практическа бележка:

Този стълб е особено важен за достъп, базиран на браузър. HTML5 порталите премахват триенето на операционната система и опростяват въвеждането, но също така улесняват предоставянето на достъп в широк мащаб. Въпросът с политиката става "кои потребители получават достъп до браузър до кои ресурси".

Стълб 5: Операционна повърхност

Операционната повърхност е поддържащата позиция, която определя колко дълго слабостите остават в сила. Това не е инженерство за откритие. Това е реалността на превенцията: ако коригирането и отклонението в конфигурацията са бавни, експозицията се възстановява.

Ръководство за оценка:

• 0: компонентите за отдалечен достъп се актуализират бързо; конфигурацията е версирана; прегледите на достъпа се извършват по график.
• 1: Патчингът е добър за сървъри, но слаб за шлюзове, плъгини или поддържащи услуги.
• 2: дрифт съществува; изключенията се натрупват; наследствените крайни точки остават.
• 3: собствеността е неясна, а промените в отдалечения достъп не се проследяват от край до край.

Практическа бележка:

Операционната повърхност е мястото, където сложността на средния пазар се проявява най-силно. Ако не се управлява правилно, множество екипи и множество инструменти създават пропуски, които нападателите могат търпеливо да експлоатират.

Как да преминете от оценяване към защитни действия?

Резултатът е полезен само ако променя какво ще се направи след това. Използвайте общия резултат, за да изберете потенциален сценарий за промяна. Помнете, целта е да се намали експозицията, за да се минимизира рискът.

• 0–4 (Нисък): валидирайте отклонението, укрепете оставащия слаб стълб и наложете последователност между инструментите.
• 5–9 (Среден): приоритизирайте експозицията и идентичността първо, след това затегнете авторизацията.
• 10–15 (Високо): премахнете директната експозиция незабавно, добавете силна автентикация, след това агресивно стеснете обхвата на достъпа.

Сценарий 1: IT администратор RDP плюс крайния потребител VDI

Общата схема е „администратори използват RDP, потребители използват VDI.“ Пътят на атаката обикновено е през най-слабата идентичност или най-изложения администраторски път, а не през самия продукт VDI.

Приоритетни корекции:

1. Намалете експозицията за администраторските пътища първо, дори ако достъпът на крайния потребител остане същият.
2. Налагайте разделение на привилегированите акаунти и МФА постоянно.
3. Ограничете кои хостове приемат интерактивни входове на администратори.

Забележка:

Този сценарий печели от третирането на администраторския достъп като отделен продукт с отделна политика, дори ако същата платформа предлага и двете.

Сценарий 2: Подизпълнители и BYOD чрез HTML5

Достъпът чрез браузър е полезен мост в смесени операционни среди. Рискът е, че "лесният достъп" става "широк достъп."

Приоритетни корекции:

• Използвайте HTML5 портал като контролирана входна врата, а не като обща врата.
• Публикувайте специфични приложения за изпълнители вместо пълни десктопи, когато е възможно.
• Използвайте времеви ограничения и групова база за назначаване, така че достъпът на изпълнителя да приключи автоматично, когато прозорецът се затвори.

Забележка:

TSplus Remote Access описва модел на HTML5 клиент, при който потребителите влизат през персонализируем уеб портал и получават достъп до пълен работен плот или публикувани приложения в браузъра. Препоръчваме единично влизане и многофакторна автентикация, за да допринесем за стегнатата сигурност на процеса на влизане в браузъра.

Сценарий 3: Инструменти за дистанционна поддръжка в същото имение

Инструментите за дистанционна поддръжка често се пренебрегват, защото са "за помощен център", а не "за продукция". Нападателите не се интересуват. Ако инструментът за поддръжка може да създаде неуправляван достъп или да повиши привилегиите, той става част от атакуваемата повърхност на дистанционния работен плот.

Приоритетни корекции:

• Разделете възможностите на помощния център от администраторските възможности.
• Ограничете неуправлявания достъп до конкретни групи и одобрени крайни точки.
• Синхронизирайте удостоверяването на инструмента за поддръжка с корпоративната идентичност и MFA, където е възможно.

Забележка:

Като пример, за да се избегнат проблеми, свързани с помощта, TSplus Remote Support е самостоятелно хостван, поканите се генерират от хоста за агента по поддръжка, а кодовете за вход са еднократни набори от цифри, които се променят всеки път. Освен това, просто затваряне на приложението от хоста напълно прекъсва връзката.

Къде се вписва TSplus Remote Access в модела "Намаляване на експозицията"?

Сигурност, основана на софтуерни продукти

В планирането на превенция, TSplus Remote Access се вписва като модел за публикуване и доставка: той може да стандартизира или диференцира как потребителите и групите се свързват и какво могат да достигнат, както и кога и от кое устройство, така че отдалеченият достъп да стане управляван от политика, вместо ad hoc.

TSplus Advanced Security е създаден, за да защитава сървъри за приложения и не оставя нищо на случайността. От момента на инсталирането му, известни злонамерени IP адреси се блокират, докато започва да работи. Всяка от внимателно подбраните му функции след това допринася за осигуряването и защита на вашите сървъри и приложения и следователно всеки десктоп.

Режими на свързване като избор на политика (RDP, RemoteApp, HTML5…)

Когато режимите на свързване се третират като "просто UX", решенията за сигурност се пропускат. TSplus Remote Access има три по-известни режима на свързване: RDP клиент, RemoteApp клиент и HTML5 клиент, всеки от които съответства на различно изживяване при доставка. Нашето ръководство за бързо стартиране разширява списъка с гъвкави опции, които също включват класическо свързване на Remote Desktop, преносим TSplus RDP клиент, MS RemoteApp клиент, плюс Windows и HTML5 клиенти чрез уеб портала.

Предотвратяване настрана:

Режимите на свързване могат да намалят риска, когато помагат за налагане на последователност.

• Достъпът на RDP клиента може да остане вътрешен за администраторски работни потоци, докато крайните потребители използват публикувани приложения.
• RemoteApp намалява "пълната експозиция на работния плот" за потребители, които се нуждаят само от едно приложение.
• HTML5 може да замени крехките изисквания за крайни точки, което помага да се наложи един контролиран вход вместо много импровизирани.

TSplus Advanced Security в прогресията "guard RDP"

Рисковият рейтинг обикновено идентифицира същите основни проблеми: интернет шум, повторни опити за удостоверяване и непоследователни модели на достъп до сървъри. Тук TSplus Advanced Security е позициониран като защитен слой за среди за отдалечен работен плот, включително защита, насочена срещу ransomware и теми за укрепване на сесията, описани в нашия продукт, документация или блог страници.

В модела на оценка на риска, Advanced Security поддържа частта "намаляване на вероятността" от превенцията:

• Прекратете опитите за злоупотреба с удостоверения, така че познаването на пароли да не остава постоянен фон.
• Ограничете пътищата за достъп с IP и географски правила, когато публичната входна врата е неизбежна.
• Добавете контролите protect-first, които намаляват вероятността единственото влизане да стане влияние на ransomware.

Заключение: Дали превенцията ще бъде достатъчна?

Оценяването на риска намалява вероятността от компрометиране. То не гарантира безопасност, особено в смесени среди, където удостоверенията могат да бъдат откраднати чрез фишинг или инфостийлери. Затова планирането на откритие и реакция все още е важно. Оценете петте стълба, поправете най-слабия първо, след това преоценявайте, докато отдалеченият достъп не стане контролирана услуга, а не куп изключения.

Като цяло, стремете се към последователност. Стандартизирайте пътищата за достъп, използвайте HTML5, където премахва бариерите на крайни точки, без да разширява обхвата, и публикувайте само това, от което всяка група се нуждае, с ясни времеви прозорци.

Както е видно по-горе, Remote Access структурира и публикува достъп, докато Advanced Security защитава сървърите зад този достъп срещу нападатели, които оказват натиск върху периметъра. Въпросът не е дали ще има нападатели. По-скоро е "колко добре е защитен вашият периметър?".

Допълнително четене и действия:

С тази гледна точка, за екипи, които искат следващото ниво, нашият наръчник за откриване на инциденти, фокусиран върху инвазии с рансъмуер, водени от RDP, може да бъде от интерес. Той посочва високо сигнални модели и се задълбочава в какво да правите в първите 30–60 минути .” Отлично последващо действие, след като моделът за предотвратяване бъде внедрен, той може също да предостави идеи за максимизиране на Advanced Security и други настройки на TSplus софтуера за сигурността на вашата инфраструктура.

Често задавани въпроси:

Може ли отдалеченият работен плот да бъде хакнат, дори ако софтуерът е "сигурен"?

Да. Повечето компромиси се случват чрез открити пътища за достъп и слаба идентичност, а не чрез експлоатиране на софтуер. Отдалеченият десктоп често е каналът, използван след получаване на удостоверения.

RDP по същество ли е небезопасен?

RDP не е по същество небезопасен, но RDP става с висок риск, когато е достъпен в интернет и е защитен основно с пароли. Насочването на портове и слабото удостоверяване са чести причини.

Намалява ли HTML5 портал за отдалечен работен плот риска от хакерски атаки?

Може, ако централизира достъпа зад една контролирана входна врата с последователна автентикация и авторизация. Увеличава риска, ако улеснява предоставянето на широк достъп без строга политика.

Какъв е най-бързият начин за намаляване на риска от хакване на отдалечен работен плот?

Намалете експозицията първо, след това укрепете идентичността. Ако пътят до отдалечен работен плот е публично достъпен и базиран на парола, средата трябва да се счита за "в крайна сметка компрометирана".

Как да разбера какво да поправя първо в смесена среда?

Използвайте оценка на риска като RDRS и първо поправете най-високия стълб. В повечето среди, Излагането и Идентичността произвеждат най-голямото намаление на риска на час.