Může být vzdálená plocha napadena? Praktické hodnocení rizika pro prevenci

Přístup k vzdálené ploše může být napaden, ale většina incidentů nejsou hollywoodské exploity. Většina incidentů jsou předvídatelné výsledky vystavených služeb, znovu použitelných přihlašovacích údajů a příliš širokého přístupu. Tento průvodce poskytuje IT týmům nástrojově nezávislé hodnocení rizika, které se vztahuje na RDP, HTML5 portály, VDI a nástroje pro vzdálenou podporu, a poté mapuje hodnocení na prioritní opravy.

Co znamená „Hacked“ pro nástroje vzdálené plochy?

Remote desktop není jeden produkt. Remote desktop je soubor přístupových cest, které mohou zahrnovat Microsoft Remote Desktop Protocol (RDP), Remote Desktop Services, VDI jako Azure Virtual Desktop, webové portály, které zprostředkovávají relaci, a nástroje pro vzdálenou podporu, které vytvářejí připojení na vyžádání.

V incidentních zprávách „remote desktop byl hacknut“ obvykle znamená jeden z těchto výsledků:

• Převzetí účtu: útočník se přihlásí normálně pomocí ukradených nebo uhádnutých přihlašovacích údajů.
• Zneužití přístupové cesty: exponovaná brána, otevřený port, slabá politika nebo nesprávná konfigurace usnadňuje neoprávněný přístup.
• Po přihlášení poškození: útočník využívá legitimní schopnost relace k laterálnímu pohybu, exfiltraci dat nebo nasazení ransomwaru.

Toto rozlišení je důležité, protože prevence jde o snížení šance na úspěšné přihlášení a omezení toho, co může přihlášení provést.

Proč je Remote Desktop cílem?

Přístup k vzdálené ploše je atraktivní, protože je interaktivní a navržený s vysokými oprávněními. RDP je běžné, široce podporované a často dostupné přes TCP port 3389, což usnadňuje skenování a cílení. Vectra shrnuje základní problém prevalence RDP a úroveň přístupu, kterou poskytuje, z něj činí častý cíl, když není správně spravován.

Cloudflare rámcuje stejné rizikové faktory se dvěma opakujícími se slabinami: slabá autentizace a neomezený přístup k portům, které se spojují do příležitostí pro hrubou sílu a plnění přihlašovacích údajů, když je RDP vystaveno.

Středně velká realita také zvyšuje riziko. Hybridní práce, přístup dodavatelů, fúze a distribuované IT operace vytvářejí „rozšíření přístupu“. Remote access se rozšiřuje rychleji než politika a monitorování, a útočníci dávají přednost této mezeře.

Jaké je riziko skóre hacku vzdálené plochy (RDRS)?

Skóre rizika hackování vzdálené plochy (RDRS) je rychlý model pro návrh. Cílem není nahradit bezpečnostní audit. Cílem je seřadit faktory rizika, aby IT tým mohl provést tři změny, které každá rychle sníží pravděpodobnost kompromitace.

Ohodnoťte každý pilíř od 0 do 3. Sečtěte je pro celkový výsledek z 15.

• 0: silná kontrola, nízké praktické riziko
• 1: většinou kontrolováno, drobné mezery
• 2: částečná kontrola, realistická útočná cesta existuje
• 3: vysoké riziko, pravděpodobně bude zneužito v průběhu času

Pilar 1: Povrch expozice

Plocha expozice se týká toho, co může útočník dosáhnout zvenčí. Nejvyšším rizikovým vzorem jsou stále „přímo dostupné služby vzdálené plochy“ s minimálními kontrolami na hlavním vchodu.

Pokyny pro hodnocení:

1. 0: Vzdálená plocha není přístupná přes internet; přístup je zprostředkován prostřednictvím kontrolovaných cest.
2. 1: Vzdálená plocha je přístupná pouze prostřednictvím omezených sítí, VPN nebo úzce definované povolené seznamy.
3. 2: brána nebo portál je orientován na internet, ale politiky jsou nekonzistentní napříč aplikacemi, skupinami nebo regiony.
4. 3: přímé vystavení existuje (běžné příklady zahrnují otevřené RDP, zapomenutá pravidla NAT, povolené skupiny zabezpečení cloudu).

Praktická poznámka pro smíšené majetky:

Plocha expozice se vztahuje na RDP, VDI brány, HTML5 portály a konzole pro vzdálenou podporu. Pokud je některá z těchto věcí veřejným vstupem, útočníci ji najdou.

Pilar 2: Povrch identity

Identita povrchu je, jak snadné je pro útočníka stát se platným uživatelem. Cloudflare zdůrazňuje znovupoužití hesel a neřízené přihlašovací údaje jako klíčové faktory pro krádež přihlašovacích údajů a útoky hrubou silou v scénářích vzdáleného přístupu.

Pokyny pro hodnocení:

• 0: MFA je vyžadováno, privilegované účty jsou odděleny a zastaralé ověřování není povoleno.
• 1: MFA existuje, ale ne všude, existují výjimky pro „jen jeden server“ nebo „jen jednoho dodavatele“.
• 2: Hesla jsou primární kontrolou pro některé cesty vzdálené plochy nebo sdílené identity administrátorů.
• 3: přihlášení na internetové straně se spoléhá pouze na hesla, nebo jsou místní účty široce používány na serverech.

Praktická poznámka:

Identita je místo, kde bezpečnost vzdálené plochy obvykle selhává jako první. Útočníci nepotřebují exploit, pokud je ověřování snadné.

Pilar 3: Povrch autorizace

Autorizovaná plocha je to, co může platný uživatel dosáhnout a kdy. Mnoho prostředí se zaměřuje na to, kdo se může přihlásit, ale opomíjí, kdo se může přihlásit k čemu, odkud a během jakého časového okna.

Pokyny pro hodnocení:

• 0: přístup s nejmenšími oprávněními je vynucován pomocí explicitních skupin pro každou aplikaci nebo plochu, plus samostatné cesty pro správce.
• 1: skupiny existují, ale přístup je široký, protože je to operačně jednodušší.
• 2: uživatelé mohou dosáhnout příliš mnoha serverů nebo desktopů; časová omezení a omezení zdrojů jsou nekonzistentní.
• 3: jakýkoli ověřený uživatel může dosáhnout jádrových systémů, nebo mohou administrátoři RDP všude z neřízených koncových bodů.

Praktická poznámka:

Autorizace je také pilíř, který nejlépe podporuje mix středního trhu. Když potřebují přístup Windows, macOS, dodavatelé a třetí strany, je granularní autorizace kontrolou, která zabraňuje tomu, aby se jedno platné přihlášení stalo přístupem na celém majetku.

Pilar 4: Povrch relace a koncových bodů

Plocha relace je to, co může vzdálená relace dělat, jakmile začne. Plocha koncových bodů je, zda je připojené zařízení dostatečně důvěryhodné pro udělený přístup.

Pokyny pro hodnocení:

• 0: privilegovaný přístup vyžaduje zpevněné administrátorské pracovní stanice nebo skokové hostitele; funkce vysoce rizikových relací jsou omezeny tam, kde je to potřeba.
• 1: Ovládání relací existuje, ale není sladěno s citlivostí dat.
• 2: koncové body jsou kombinací spravovaných a nespravovaných s stejnými možnostmi relace.
• 3: vysoko-privilegovaný vzdálený přístup k desktopu je povolen z jakéhokoli zařízení s minimálními omezeními.

Praktická poznámka:

Tento pilíř je obzvlášť relevantní pro přístup založený na prohlížeči. HTML5 portály odstraňují tření mezi operačními systémy a zjednodušují onboarding, ale také usnadňují široké udělování přístupu. Politická otázka se stává „kterým uživatelům je udělen přístup k jakým zdrojům“.

Pilar 5: Povrch operací

Provozní povrch je údržbový postoj, který určuje, jak dlouho slabiny zůstávají na svém místě. To není inženýrství detekce. To je realita prevence: pokud je oprava a odchylka konfigurace pomalá, expozice se vrací.

Pokyny pro hodnocení:

• 0: komponenty vzdáleného přístupu jsou rychle opravovány; konfigurace je verzována; revize přístupu probíhají podle plánu.
• 1: Opravy jsou dobré pro servery, ale slabé pro brány, pluginy nebo podpůrné služby.
• 2: drift existuje; výjimky se hromadí; zastaralé koncové body zůstávají.
• 3: vlastnictví není jasné a změny v remote access nejsou sledovány od začátku do konce.

Praktická poznámka:

Provozní povrch je místo, kde se nejvíce projevuje složitost středního trhu. Pokud není správně řízen, více týmů a více nástrojů vytváří mezery, které mohou útočníci trpělivě využít.

Jak přejít od hodnocení k ochrannému opatření?

Skóre je užitečné pouze tehdy, pokud změní, co se udělá dál. Použijte celkový výsledek k výběru potenciálního scénáře pro změnu. Pamatujte, že cílem je snížit expozici, aby se minimalizovalo riziko.

• 0–4 (Nízké): ověřit odchylku, utáhnout zbývající slabý pilíř a prosadit konzistenci napříč nástroji.
• 5–9 (Střední): nejprve upřednostněte expozici a identitu, poté zpřísněte autorizaci.
• 10–15 (Vysoké): odstraňte přímé vystavení okamžitě, přidejte silnou autentizaci, poté agresivně zúžte rozsah přístupu.

Scénář 1: IT administrátor RDP plus koncový uživatel VDI

Běžný vzor je „administrátoři používají RDP, uživatelé používají VDI.“ Útoková cesta obvykle vede přes nejslabší identitu nebo nejvíce vystavenou cestu administrátora, nikoli přes samotný produkt VDI.

Prioritní opravy:

1. Snižte expozici pro administrátorské cesty nejprve, i když přístup koncového uživatele zůstává nezměněn.
2. Vynucení oddělení privilegovaných účtů a MFA konzistentně.
3. Omezit, které hostitele přijímají interaktivní přihlášení administrátorů.

Poznámka:

Tento scénář těží z toho, že se přístup administrátora považuje za samostatný produkt se samostatnou politikou, i když stejná platforma zahrnuje obojí.

Scénář 2: Dodavatelé a BYOD přes HTML5

Přístup založený na prohlížeči je užitečným mostem v prostředích s různými operačními systémy. Riziko spočívá v tom, že „snadný přístup“ se stává „širokým přístupem.“

Prioritní opravy:

• Použijte HTML5 portál jako řízené přední dveře, ne jako obecná brána.
• Publikujte konkrétní aplikace pro dodavatele místo plných desktopů, když je to možné.
• Použijte časová omezení a přiřazení na základě skupin, aby přístup dodavatele automaticky skončil, když se okno zavře.

Poznámka:

TSplus Remote Access popisuje model klienta HTML5, kde se uživatelé přihlašují prostřednictvím přizpůsobitelného webového portálu a získávají přístup k plné pracovní ploše nebo publikovaným aplikacím uvnitř prohlížeče. Doporučujeme jednorázové přihlášení a vícefaktorovou autentizaci, aby se přispělo k vysoké bezpečnosti procesu přihlášení založeného na prohlížeči.

Scénář 3: Nástroje pro vzdálenou podporu ve stejném majetku

Nástroje pro vzdálenou podporu jsou často přehlíženy, protože jsou „pro helpdesk“, nikoli „pro produkci“. Útočníci se o to nestarají. Pokud může nástroj pro podporu vytvořit neomezený přístup nebo zvýšit oprávnění, stává se součástí povrchu útoku na vzdálenou plochu.

Prioritní opravy:

• Oddělte funkce helpdesku od administrátorských funkcí.
• Omezte neřízený přístup na explicitní skupiny a schválené koncové body.
• Zarovnejte autentizaci nástroje podpory s podniková identitou a MFA, kde je to možné.

Poznámka:

Jako příklad, aby se předešlo problémům souvisejícím s asistencí, TSplus Remote Support je hostováno na vlastním serveru, pozvánky jsou generovány hostitelem pro podporu a přihlašovací kódy jsou jednorázové digitální sady, které se mění při každém použití. Co víc, jednoduché uzavření aplikace hostitelem plně přeruší spojení.

Kde se TSplus Remote Access hodí do vzoru „Snížení vystavení“?

Bezpečnost řízená softwarem

Při plánování prevence se TSplus Remote Access hodí jako vzor publikování a dodávání: může standardizovat nebo diferencovat, jak se uživatelé a skupiny připojují a co mohou dosáhnout, stejně jako kdy a z jakého zařízení, takže vzdálený přístup se stává řízeným politikou místo ad hoc.

TSplus Advanced Security je navržen tak, aby chránil aplikační servery a nenechal nic náhodě. Od okamžiku, kdy je nainstalován, jsou blokovány známé zlé IP adresy, jakmile začne pracovat. Každá z jeho pečlivě vybraných funkcí pak přispívá k zabezpečení a ochrana vašich serverů a aplikací a proto každá plocha.

Režimy připojení jako volby politiky (RDP, RemoteApp, HTML5…)

Když jsou režimy připojení považovány za „pouhou UX“, bezpečnostní rozhodnutí se přehlížejí. TSplus Remote Access má tři lépe známé režimy připojení: RDP klient, RemoteApp klient a HTML5 klient, přičemž každý mapuje na jiný zážitek z dodání. Náš rychlý průvodce rozšiřuje seznam flexibilních možností, které také zahrnují klasické připojení k vzdálené ploše, přenosného TSplus RDP klienta, MS RemoteApp klienta, plus Windows a HTML5 klienty prostřednictvím webového portálu.

Prevence na straně:

Režimy připojení mohou snížit riziko, když pomáhají prosazovat konzistenci.

• RDP klientský přístup může zůstat interní pro administrativní pracovní postupy, zatímco koncoví uživatelé používají publikované aplikace.
• RemoteApp snižuje „expozici plné plochy“ pro uživatele, kteří potřebují pouze jednu aplikaci.
• HTML5 může nahradit křehké požadavky na koncové body, což pomáhá prosadit jeden kontrolovaný vstup místo mnoha improvizovaných.

TSplus Advanced Security v progresi „guard RDP“

Rizikové skóre obvykle identifikuje stejné hlavní problémy: internetový šum, opakované pokusy o přihlášení a nekonzistentní vzorce přístupu napříč servery. Zde je TSplus Advanced Security umístěn jako ochranná vrstva pro prostředí vzdálené plochy, včetně ochrana zaměřená na ransomware a témata zpevnění relací popsaná naším produktem, dokumentací nebo blogovými stránkami.

V modelu skóre rizika podporuje Advanced Security část prevence „snížení pravděpodobnosti“:

• Zamezte pokusům o zneužití přihlašovacích údajů, aby hádání hesel nezůstalo trvalou hrozbou na pozadí.
• Omezte přístupové cesty pomocí pravidel IP a geografických pravidel, když je veřejný vstup nevyhnutelný.
• Přidejte ochranné prvky, které snižují pravděpodobnost, že se jediné přihlášení stane dopadem ransomwaru.

Závěr: Bude prevence dostatečná?

Hodnocení rizika snižuje pravděpodobnost kompromitace. Nezaručuje však bezpečnost, zejména v smíšených prostředích, kde mohou být přihlašovací údaje ukradeny phishingem nebo infostealery. Proto je plánování detekce a reakce stále důležité. Ohodnoťte pět pilířů, nejprve opravte nejslabší, poté znovu ohodnoťte, dokud se vzdálený přístup nestane řízenou službou spíše než hromadou výjimek.

Obecně se snažte o konzistenci. Standardizujte přístupové cesty, používejte HTML5 tam, kde odstraňuje překážky na koncových bodech, aniž by se rozšiřoval rozsah, a publikujte pouze to, co každá skupina potřebuje, s jasně vymezenými časovými okny.

Jak bylo uvedeno výše, Remote Access strukturuje a publikuje přístup, zatímco Advanced Security chrání servery za tímto přístupem před útočníky, kteří vyvíjejí tlak na perimetr. Otázka není, zda budou útočníci. Spíše je to „jak dobře je váš perimetr chráněn?“.

Další čtení a akce:

K tomu pohledu, pro týmy, které chtějí další úroveň, může být náš průvodce detekčním inženýrstvím zaměřený na ransomware útoky vedené RDP zajímavý. Ukazuje na vysoce signální vzory a zaměřuje se na “ co dělat v prvních 30–60 minutách .” Skvělý následný krok, jakmile je model prevence implementován, může také poskytnout nápady na maximalizaci Advanced Security a dalších nastavení softwaru TSplus pro zabezpečení vaší infrastruktury.

Často kladené otázky:

Může být vzdálená plocha hacknuta, i když je software „bezpečný“?

Ano. Většina kompromisů se děje prostřednictvím vystavených přístupových cest a slabé identity, nikoli prostřednictvím zranitelnosti softwaru. Vzdálená plocha je často kanál, který se používá poté, co jsou získány přihlašovací údaje.

Je RDP inherentně nebezpečné?

RDP není inherentně nebezpečný, ale RDP se stává vysoce rizikovým, když je přístupný přes internet a chráněný hlavně hesly. Cílení na porty a slabá autentizace jsou běžnými faktory.

Snižuje HTML5 portál vzdálené plochy riziko hackování?

Může to, pokud centralizuje přístup za jedněmi kontrolovanými dveřmi s konzistentní autentizací a autorizací. Zvyšuje to riziko, pokud usnadňuje široký přístup bez přísné politiky.

Jaký je nejrychlejší způsob, jak snížit riziko hackování vzdáleného desktopu?

Nejprve snižte expozici, poté zpevněte identitu. Pokud je cesta k vzdálené ploše veřejně dostupná a založená na hesle, mělo by se předpokládat, že prostředí je „nakonec kompromitováno“.

Jak mohu vědět, co opravit jako první v smíšeném prostředí?

Použijte rizikové skóre jako RDRS a nejprve opravte nejvyšší pilíř. Ve většině prostředí Expozice a Identita produkují největší pokles rizika na hodinu strávenou.