Πρωτόκολλο Απομακρυσμένης Επιφάνειας Εργασίας Ransomware: Μηχανική Ανίχνευσης Αντιμετώπιση Εισβολών που Οδηγούνται από RDP

Γιατί ένας οδηγός ανίχνευσης υψηλού σήματος ransomware για το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας;

Το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) περιστατικά ransomware συχνά ξεκινούν με τον ίδιο τρόπο: κατάχρηση διαπιστευτηρίων, μια επιτυχής διαδραστική σύνδεση και ήσυχη πλευρική κίνηση πριν από την κρυπτογράφηση. Πολλές ομάδες γνωρίζουν ήδη τα βασικά του σκληροποίηση RDP , αλλά οι χειριστές ransomware εξακολουθούν να διαφεύγουν όταν η παρακολούθηση είναι πολύ θορυβώδης ή η τριχοτόμηση πολύ αργή.

Αυτός ο οδηγός εστιάζει στη μηχανική ανίχνευσης για επιθέσεις που οδηγούνται από RDP: η ελάχιστη τηλεμετρία που πρέπει να συλλεχθεί, πώς να καθορίσετε τις συνήθειες, να εντοπίσετε έξι πρότυπα ειδοποιήσεων υψηλής σήμανσης και να σχεδιάσετε μια πρακτική ροή εργασίας τριγιάζ για να δράσετε πριν από την κρυπτογράφηση.

RDP Ransomware: Γιατί έχει σημασία η ανίχνευση;

Η αλυσίδα RDP προς ransomware που μπορείτε πραγματικά να παρατηρήσετε

RDP δεν είναι "η εκμετάλλευση" στις περισσότερες ιστορίες ransomware του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας. RDP είναι το διαδραστικό κανάλι που χρησιμοποιούν οι επιτιθέμενοι αφού αποκτήσουν διαπιστευτήρια, και στη συνέχεια επαναχρησιμοποιούν αυτό το ίδιο κανάλι για να μετακινηθούν μεταξύ συστημάτων. Συστάσεις CISA σχετικά με ομάδες ransomware καταγράψτε επανειλημμένα τη χρήση παραβιασμένων διαπιστευτηρίων και RDP για κίνηση μέσα σε περιβάλλοντα.

Τα καλά νέα είναι ότι αυτή η ροή εργασίας αφήνει ίχνη που είναι παρατηρήσιμα στις περισσότερες περιβάλλοντα Windows, ακόμη και χωρίς προηγμένα εργαλεία:

• αποτυχίες και επιτυχίες αυθεντικοποίησης,
• τύποι σύνδεσης συμβατοί με RDP,
• ξαφνικές αλλαγές προνομίων μετά από μια νέα σύνδεση,
• συμπεριφορά πλευρικής κίνησης (γνωστή και ως fan-out)
• ενέργειες διατήρησης όπως προγραμματισμένα καθήκοντα και υπηρεσίες.

Τι μοιάζει στην πράξη η ανίχνευση προ-κρυπτογράφησης;

Η ανίχνευση προ-κρυπτογράφησης δεν σημαίνει ότι θα πιάσουμε κάθε σάρωση ή κάθε αποτυχημένη προσπάθεια κωδικού πρόσβασης. Σημαίνει αξιόπιστη ανίχνευση των κρίσιμων σημείων μετάβασης που έχουν σημασία:

1. “ οι επιτιθέμενοι προσπαθούν με διαπιστευτήρια ”,
2. “οι επιτιθέμενοι μπήκαν”
3. “οι επιτιθέμενοι επεκτείνουν την εμβέλειά τους”
4. “οι επιτιθέμενοι προετοιμάζονται να αναπτύξουν”.

Αυτός είναι και ο λόγος για τον οποίο οι οδηγίες ransomware της CISA τονίζουν τον περιορισμό επικίνδυνων απομακρυσμένων υπηρεσιών όπως το RDP και την εφαρμογή βέλτιστων πρακτικών εάν το RDP είναι απαραίτητο. Η ανίχνευση και η αντίδραση είναι μέρος της πραγματικότητας των βέλτιστων πρακτικών σε περιβάλλοντα που δεν μπορούν να επανασχεδιαστούν από τη μια μέρα στην άλλη.

Τι Συνιστά Ελάχιστη Βιώσιμη Τηλεμετρία Για Ανίχνευση Εισβολών με RDP;

Καταγραφές ασφαλείας των Windows προς συλλογή

Καταγραφή συμβάντων - επιτυχείς και αποτυχημένες συνδέσεις:

Αν κάνετε μόνο ένα πράγμα, συλλέξτε και κεντρικοποιήστε τα γεγονότα ασφαλείας των Windows για τις συνδέσεις:

• Event ID 4624: επιτυχής σύνδεση
• Event ID 4625: αποτυχία σύνδεσης

Οι διαδραστικές συνεδρίες RDP συνήθως εμφανίζονται ως "απομακρυσμένες διαδραστικές" συνδέσεις (συνήθως τύπος σύνδεσης 10 σε πολλές περιβάλλοντα), και θα δείτε επίσης σχετική δραστηριότητα όταν είναι ενεργοποιημένη η Αυθεντικοποίηση Επιπέδου Δικτύου (NLA), επειδή η αυθεντικοποίηση συμβαίνει νωρίτερα και μπορεί να καταγραφεί διαφορετικά στην άκρη και στον ελεγκτή τομέα.

NB: Σημείωση Αν δείτε κενά, ελέγξτε τα γεγονότα του ελεγκτή τομέα που σχετίζονται με την επικύρωση διαπιστευτηρίων επίσης.

Τι να καταγράψετε από κάθε γεγονός για την μηχανική ανίχνευσης:

• στόχος υπολογιστής (προορισμός),
• όνομα λογαριασμού και τομέας,
• διεύθυνση IP πηγής / όνομα σταθμού εργασίας (όταν υπάρχει),
• τύπος σύνδεσης,
• πακέτο / διαδικασία ταυτοποίησης (όταν υπάρχει),
• κωδικοί λόγων αποτυχίας (για 4625).

RDS και τα αρχεία καταγραφής TerminalServices που προσθέτουν συμφραζόμενα

Τα αρχεία καταγραφής ασφαλείας σας λένε “ποιος συνδέθηκε και από πού”. Τα αρχεία καταγραφής RDS και TerminalServices βοηθούν να σας πουν “πώς συμπεριφέρθηκε η συνεδρία”, ειδικά σε περιβάλλοντα Υπηρεσιών Απομακρυσμένης Επιφάνειας Εργασίας με διακομιστές συνεδρίας.

Η συλλογή των παρακάτω καταγραφών επιταχύνει την τριχοτόμηση όταν εμπλέκονται πολλαπλές συνεδρίες:

• συνδέσεις/αποσυνδέσεις
• σχέδια επανασύνδεσης συνεδρίας,
• αυξήσεις στη δημιουργία συνεδριών σε ασυνήθιστους διακομιστές.

Αν το περιβάλλον σας είναι καθαρό “admin RDP σε διακομιστή”, αυτά τα αρχεία καταγραφής είναι προαιρετικά. Αν εκτελείτε RDS farms, αξίζουν τον κόπο.

Κεντροποίηση και διατήρηση: πώς φαίνεται το «αρκετό»

Η ανίχνευση χωρίς κεντροποίηση μετατρέπεται σε “απομακρυσμένο σε ένα κουτί και ελπίζω ότι τα αρχεία καταγραφής είναι ακόμα εκεί”. Κεντροποιήστε τα αρχεία καταγραφής σε ένα SIEM ή πλατφόρμα καταγραφής καθώς και διατηρήστε αρκετή διάρκεια για να δείτε αργές εισβολές.

Ένα πρακτικό ελάχιστο για τις έρευνες ransomware μετράται σε εβδομάδες, όχι σε ημέρες, επειδή οι μεσάζοντες πρόσβασης μπορεί να έχουν καθιερώσει πρόσβαση πολύ πριν από την κρυπτογράφηση. Εάν δεν μπορείτε να διατηρήσετε τα πάντα, διατηρήστε τουλάχιστον την αυθεντικοποίηση, τις αλλαγές δικαιωμάτων, τη δημιουργία εργασιών/υπηρεσιών και τα γεγονότα προστασίας τερματικών.

Πώς μπορείτε να καθορίσετε τη βασική γραμμή του κανονικού RDP ώστε οι ειδοποιήσεις να γίνουν υψηλής σημασίας;

Βασική γραμμή από χρήστη, πηγή, διακομιστή, χρόνο και αποτέλεσμα

Οι περισσότερες ειδοποιήσεις RDP αποτυγχάνουν επειδή δεν έχει γίνει καμία βασική γραμμή. Το RDP στην πραγματική ζωή έχει πρότυπα, όπως:

• οι συγκεκριμένοι λογαριασμοί διαχειριστή χρησιμοποιούν συγκεκριμένους κόμβους σύνδεσης,
• οι συνδέσεις συμβαίνουν κατά τη διάρκεια των παραθύρων συντήρησης,
• ορισμένοι διακομιστές δεν θα πρέπει ποτέ να δέχονται διαδραστικές συνδέσεις,
• ορισμένοι χρήστες δεν θα πρέπει ποτέ να αυθεντικοποιούνται σε διακομιστές καθόλου.

Βασικοί αυτοί οι διαστάσεις:

• χρήστης → τυπικοί διακομιστές,
• χρήστης → τυπικές πηγές IP / υποδίκτυα,
• χρήστης → τυπικοί χρόνοι σύνδεσης,
• host → τυπικούς χρήστες RDP,
• ποσοστό επιτυχίας τυπικής αυθεντικοποίησης.

Στη συνέχεια, δημιουργήστε ειδοποιήσεις που ενεργοποιούνται σε αποκλίσεις από αυτό το μοντέλο, όχι μόνο σε καθαρό όγκο.

Διαχωρίστε την RDP διαχείρισης από τις συνεδρίες RDS χρηστών για να μειώσετε τον θόρυβο

Αν εκτελείτε RDS για τελικούς χρήστες, μην αναμειγνύετε τον "θόρυβο συνεδρίας χρήστη" με τον "κίνδυνο διαδρομής διαχειριστή". Δημιουργήστε ξεχωριστές βάσεις αναφοράς και ανίχνευσης για:

• συνδέσεις τελικών χρηστών με τους διακομιστές συνεδριών (αναμενόμενο),
• συνεδρίες διαχειριστή σε υπολογιστές υποδομής (υψηλός κίνδυνος),
• admin sessions to domain controllers (υψηλός κίνδυνος, συχνά θα πρέπει να είναι “ποτέ”).

Αυτή η διαχωριστική γραμμή είναι ένας από τους ταχύτερους τρόπους για να κάνετε τις ειδοποιήσεις πιο ουσιαστικές χωρίς να προσθέσετε νέα εργαλεία.

Σημάδια Ανίχνευσης Υψηλού Σήματος Για Να Πιάσουν Προδρόμους Ransomware

Ο στόχος εδώ δεν είναι περισσότερες ανιχνεύσεις. Είναι λιγότερες ανιχνεύσεις με πιο σαφή ταξινόμηση γεγονότων.

Για κάθε ανίχνευση παρακάτω, ξεκινήστε με "Μόνο αρχεία καταγραφής ασφαλείας", στη συνέχεια εμπλουτίστε αν έχετε EDR/Sysmon.

Επίθεση με κωδικούς πρόσβασης vs βίαιη δύναμη: ανίχνευση με βάση μοτίβα

Σήμα:

Πολλές αποτυχημένες συνδέσεις κατανεμημένες σε λογαριασμούς (spray) ή συγκεντρωμένες σε έναν λογαριασμό (brute force).

Προτεινόμενη λογική:

• Σπρέι: “>X αποτυχίες από μία πηγή σε >Y διακριτά ονόματα χρηστών σε Z λεπτά”.
• Βία δύναμης : “>X αποτυχίες για ένα όνομα χρήστη από μία πηγή σε Ζ λεπτά”.

Ρύθμιση:

• εξαιρέστε γνωστούς κόμβους αναπήδησης και έξοδο VPN όπου προέρχονται πολλοί νόμιμοι χρήστες,
• ρυθμίστε τα κατώφλια ανάλογα με την ώρα της ημέρας (οι αποτυχίες εκτός ωρών εργασίας έχουν μεγαλύτερη σημασία),
• ρυθμίστε για λογαριασμούς υπηρεσιών που αποτυγχάνουν νόμιμα (αλλά επίσης επαληθεύστε γιατί).

Βήματα επόμενης αξιολόγησης:

• επιβεβαιώστε τη φήμη της πηγής IP και αν ανήκει στο περιβάλλον σας,
• έλεγξε αν υπάρχει οποιαδήποτε επιτυχής σύνδεση για την ίδια πηγή λίγο μετά,
• αν είναι συνδεδεμένο σε τομέα, ελέγξτε επίσης τις αποτυχίες επικύρωσης του ελεγκτή τομέα.

Σχέση με το Ransomware:

Η τεχνική του password spraying είναι μια κοινή μέθοδος "μεσίτη αρχικής πρόσβασης" που προηγείται της δραστηριότητας με το πληκτρολόγιο.

Πρώτη φορά προνομιακή σύνδεση RDP από μια νέα πηγή

Σήμα:

Ένας προνομιούχος λογαριασμός (Domain Admins, διαχειριστές διακομιστών, τοπικοί διαχειριστές ισοδύναμοι) συνδέεται επιτυχώς μέσω RDP από μια πηγή που δεν έχει παρατηρηθεί προηγουμένως.

Προτεινόμενη λογική:

• "Επιτυχής σύνδεση για προνομιακό λογαριασμό όπου η πηγή IP/σταθμός εργασίας δεν είναι στην ιστορία βάσης δεδομένων τις τελευταίες N ημέρες."

Ρύθμιση:

• διατηρήστε μια επιτρεπόμενη λίστα εγκεκριμένων σταθμών εργασίας διαχειριστών / jump hosts,
• αντιμετωπίστε το "πρώτη φορά που βλέπεται" κατά τη διάρκεια κανονικών παραθύρων αλλαγής διαφορετικά από τις 02:00.

Βήματα επόμενης αξιολόγησης:

• επικυρώστε το σημείο κατάληξης: είναι διαχειριζόμενο από την εταιρεία, ενημερωμένο και αναμενόμενο;
• έλεγχος αν ο λογαριασμός είχε πρόσφατους επανακαθορισμούς κωδικού πρόσβασης ή αποκλεισμούς,
• αναζητήστε αλλαγές προνομίων, δημιουργία εργασιών ή δημιουργία υπηρεσιών εντός 15–30 λεπτών μετά την είσοδο.

Σχέση με το Ransomware:

Οι χειριστές ransomware συχνά επιδιώκουν προνομιακή πρόσβαση γρήγορα για να απενεργοποιήσουν τις άμυνες και να προωθήσουν την κρυπτογράφηση ευρέως.

RDP fan-out: μία πηγή που πιστοποιεί σε πολλούς υπολογιστές

Σήμα:

Ένα μόνο σταθμός εργασίας ή IP αυθεντικοποιείται επιτυχώς σε πολλαπλούς διακομιστές σε ένα σύντομο χρονικό διάστημα.

Προτεινόμενη λογική:

• “Μία πηγή με επιτυχείς συνδέσεις σε >N διακριτούς προορισμούς σε M λεπτά.”

Ρύθμιση:

• εξαιρέστε τα γνωστά εργαλεία διαχείρισης και τους διακομιστές σύνδεσης που αγγίζουν νόμιμα πολλούς υπολογιστές,
• δημιουργήστε ξεχωριστά όρια για λογαριασμούς διαχειριστών έναντι λογαριασμών μη διαχειριστών,
• σφίξτε τα όρια εκτός ωρών εργασίας.

Βήματα επόμενης αξιολόγησης:

• καθορίστε τον “κεντρικό υπολογιστή” (την πηγή),
• επιβεβαιώστε εάν αναμένεται ο λογαριασμός να διαχειρίζεται αυτούς τους προορισμούς,
• αναζητήστε σημάδια συλλογής διαπιστευτηρίων ή εκτέλεσης απομακρυσμένων εργαλείων στο πηγαίο σημείο.

Σχέση με το Ransomware:

Η πλευρική κίνηση είναι πώς μια «συμβιβασμένη σύνδεση» γίνεται «κρυπτογράφηση σε επίπεδο τομέα».

Επιτυχία RDP ακολουθούμενη από αλλαγή προνομίων ή νέο διαχειριστή

Σήμα:

Λίγο μετά από μια επιτυχημένη σύνδεση, ο ίδιος υπολογιστής εμφανίζει αλλαγές χρηστών ή ομάδων που είναι συνεπείς με την κλιμάκωση προνομίων (νέος τοπικός διαχειριστής, προσθήκες μελών ομάδας).

Προτεινόμενη λογική:

• “Επιτυχής σύνδεση → εντός N λεπτών: νέα μέλη ομάδας διαχειριστών ή νέα τοπική δημιουργία χρήστη.”

Ρύθμιση:

• επιτρέπουν γνωστά παράθυρα προμήθειας, αλλά απαιτούν εισιτήρια αλλαγής για εξαιρέσεις,
• δώστε ιδιαίτερη προσοχή όταν η αλλαγή πραγματοποιείται από ένας χρήστης που σπάνια εκτελεί διαχειριστικά καθήκοντα .

Βήματα επόμενης αξιολόγησης:

• επικυρώστε τον στόχο αλλαγής (ποιο λογαριασμό έχει παραχωρηθεί διαχειριστής),
• έλεγχος αν ο νέος λογαριασμός χρησιμοποιείται για επιπλέον συνδέσεις αμέσως μετά,
• έλεγχος αν ο ηθοποιός στη συνέχεια εκτέλεσε κίνηση διασποράς.

Σχέση με το Ransomware:

Οι αλλαγές προνομίων είναι μια κοινή προάγγελος για την απενεργοποίηση της άμυνας και τη μαζική ανάπτυξη.

Επιτυχία RDP ακολουθούμενη από δημιουργία προγραμματισμένης εργασίας ή υπηρεσίας

Σήμα:

Μια διαδραστική συνεδρία ακολουθείται από μηχανισμούς διατήρησης ή ανάπτυξης όπως προγραμματισμένα καθήκοντα ή νέες υπηρεσίες.

Προτεινόμενη λογική:

• "Επιτυχής σύνδεση → εντός N λεπτών: προγραμματισμένο έργο δημιουργήθηκε ή υπηρεσία εγκαταστάθηκε/δημιουργήθηκε."

Ρύθμιση:

• εξαιρέστε τα γνωστά εργαλεία ανάπτυξης λογισμικού,
• συσχετίστε με τον λογαριασμό σύνδεσης και τον ρόλο του διακομιστή (οι ελεγκτές τομέα και οι διακομιστές αρχείων θα πρέπει να είναι εξαιρετικά ευαίσθητοι).

Βήματα επόμενης αξιολόγησης:

• εντοπίστε τη γραμμή εντολών και τη διαδρομή δυαδικού αρχείου (η EDR βοηθά εδώ),
• ελέγξτε εάν η εργασία/υπηρεσία στοχεύει σε πολλαπλά σημεία πρόσβασης,
• καραντίνα ύποπτα δυαδικά πριν διαδοθούν.

Σχέση με το Ransomware:

Οι προγραμματισμένες εργασίες και υπηρεσίες είναι κοινοί τρόποι για να προετοιμάσουν payloads και να εκτελέσουν κρυπτογράφηση σε μεγάλη κλίμακα.

Σημάδια αποδυνάμωσης άμυνας σύντομα μετά το RDP (όταν είναι διαθέσιμο)

Σήμα:

Η προστασία του τερματικού είναι απενεργοποιημένη, οι προστασίες κατά της παρεμβολής ενεργοποιούνται ή τα εργαλεία ασφαλείας σταματούν σύντομα μετά από μια νέα απομακρυσμένη σύνδεση.

Προτεινόμενη λογική:

• “RDP logon by admin → within N minutes: security product disabled event or tamper alert”.

Ρύθμιση:

• θεωρήστε οποιαδήποτε βλάβη στους διακομιστές ως υψηλότερη σοβαρότητα από τους σταθμούς εργασίας,
• επιβεβαιώστε εάν τα παράθυρα συντήρησης δικαιολογούν νόμιμες αλλαγές εργαλείων.

Βήματα επόμενης αξιολόγησης:

• απομονώστε τον διακομιστή αν μπορείτε να το κάνετε με ασφάλεια,
• απενεργοποίηση της συνεδρίας λογαριασμού και να περιστρέφουν τα διαπιστευτήρια,
• αναζητήστε τον ίδιο λογαριασμό σε άλλους διακομιστές.

Σχέση με το Ransomware:

Η εξασθένηση της άμυνας είναι ένας ισχυρός δείκτης δραστηριότητας χειριστή με τα χέρια στο πληκτρολόγιο, όχι τυχαίας σάρωσης.

Παράδειγμα Λίστας Ελέγχου Τριάδας Για Όταν Ένα Σήμα Προειδοποίησης RDP Ενεργοποιείται

Αυτό έχει σχεδιαστεί για ταχύτητα. Μην προσπαθήσετε να είστε σίγουροι πριν ενεργήσετε. Αναλάβετε δράσεις για να μειώσετε την ακτίνα έκρηξης καθώς ερευνάτε.

10 λεπτά αξιολόγησης: επιβεβαίωση και προσδιορισμός πεδίου

1. Επιβεβαιώστε ότι η ειδοποίηση είναι πραγματική εντοπίστε χρήστη, πηγή, προορισμό, χρόνο και τύπο σύνδεσης (δεδομένα 4624/4625).
2. Ελέγξτε εάν η πηγή ανήκει στο δίκτυό σας, σε έξοδο VPN ή σε έναν αναμενόμενο κόμβο μετάβασης.
3. Καθορίστε εάν ο λογαριασμός είναι προνομιακός και εάν αυτός ο υπολογιστής θα πρέπει να δέχεται διαδραστικές συνδέσεις καθόλου.
4. Περιστροφή στην πηγή: πόσες αποτυχίες, πόσες επιτυχίες, πόσοι προορισμοί;

Αποτέλεσμα: αποφασίστε αν αυτό είναι “πιθανώς κακόβουλο”, “ύποπτο” ή “αναμενόμενο”.

30 λεπτά περιορισμού: σταματήστε την πρόσβαση και περιορίστε την εξάπλωση

Μηχανισμοί περιορισμού που δεν απαιτούν πλήρη βεβαιότητα:

• απενεργοποιήστε ή επαναφέρετε τα υποψήφια διαπιστευτήρια λογαριασμού (ιδίως προνομιακών λογαριασμών),
• μπλοκάρετε τη ύποπτη πηγή IP στην άκρη (κατανοώντας ότι οι επιτιθέμενοι μπορούν να αλλάζουν).
• αφαίρεση πρόσβασης RDP προσωρινά από ευρείες ομάδες (επιβολή ελάχιστης προνομίας),
• απομονώστε το σημείο κατάληξης πηγής αν φαίνεται ότι είναι ο κόμβος για την κίνηση διασποράς.

Η καθοδήγηση της CISA τονίζει επανειλημμένα περιορισμός απομακρυσμένων υπηρεσιών όπως το RDP και εφαρμόζοντας ισχυρές πρακτικές όταν απαιτείται, επειδή η εκτεθειμένη ή αδύναμα ελεγχόμενη απομακρυσμένη πρόσβαση είναι μια κοινή οδός εισόδου.

60 λεπτών επέκταση κυνηγιού: ανίχνευση πλευρικής κίνησης και σταδιοποίησης

Τώρα υποθέστε ότι ο επιτιθέμενος προσπαθεί να σκηνοθετήσει.

• Αναζητήστε επιπλέον επιτυχείς συνδέσεις για τον ίδιο λογαριασμό σε άλλους διακομιστές.
• Αναζητήστε γρήγορες αλλαγές δικαιωμάτων, δημιουργία νέου διαχειριστή και δημιουργία εργασίας/υπηρεσίας στον πρώτο προορισμό.
• Ελέγξτε τους διακομιστές αρχείων και τους εικονικούς διακομιστές για ανώμαλες συνδέσεις (αυτές είναι οι "πολλαπλασιαστές επιπτώσεων" του ransomware).
• Επαληθεύστε τα αντίγραφα ασφαλείας και την ετοιμότητα αποκατάστασης, αλλά μην ξεκινήσετε τις αποκαταστάσεις μέχρι να είστε σίγουροι ότι η προετοιμασία έχει σταματήσει.

Πού εντάσσεται το TSplus Advanced Security;

Έλεγχοι πρώτης άμυνας για τη μείωση της πιθανότητας ransomware που οδηγείται από RDP

Φτιαγμένο για RDP και για διακομιστές εφαρμογών

Η ανίχνευση είναι κρίσιμη, αλλά το ransomware του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας συχνά επιτυγχάνει επειδή οι επιτιθέμενοι μπορούν να δοκιμάσουν διαπιστευτήρια επανειλημμένα μέχρι να λειτουργήσει κάτι, και στη συνέχεια να συνεχίσουν να κινούνται μόλις μπουν. TSplus Advanced Security είναι ένα προστασία-πρώτος στρώμα σχεδιασμένο να μειώσει αυτή την πιθανότητα περιορίζοντας και διακόπτοντας ενεργά τις κοινές διαδρομές επίθεσης RDP που προηγούνται του ransomware.

Σουίτα λογισμικού TSplus - ενσωματωμένη συμπληρωματικότητα

Λόγω της συμπληρωματικότητάς του με τους λεπτομερείς περιορισμούς και τις ρυθμίσεις χρηστών και ομάδων του TSplus Remote Access, παρέχει ισχυρές άμυνες κατά των προσπαθειών επίθεσης στους διακομιστές εφαρμογών σας.

Ασφάλεια παντού για να μην αφήνει κενά

Πρακτικά, η μείωση της επιφάνειας αυθεντικοποίησης και η καταπολέμηση των αυτοματοποιημένων προτύπων κακής χρήσης διαπιστευτηρίων είναι το κλειδί. Συμμετέχοντας στον περιορισμό του ποιος μπορεί να συνδεθεί, από πού και υπό ποιες συνθήκες, καθώς και μαθαίνοντας τυπικές συμπεριφορές και εφαρμόζοντας προστατευτικούς ελέγχους για τη μείωση της αποτελεσματικότητας των επιθέσεων brute-force και spray, η Advanced Security παρέχει σταθερές ασπίδες. Αυτό συμπληρώνει την τυπική υγιεινή RDP χωρίς να την αντικαθιστά και κερδίζει χρόνο αποτρέποντας ένα τυχερό διαπιστευτήριο από το να γίνει ένα διαδραστικό σημείο εισόδου.

Πολλαπλασιαστής μηχανικής ανίχνευσης: καλύτερο σήμα, ταχύτερη απόκριση

Οι έλεγχοι πρώτης άμυνας βελτιώνουν επίσης την ποιότητα ανίχνευσης. Όταν μειώνεται ο θόρυβος brute force σε κλίμακα διαδικτύου, οι βάσεις αναφοράς σταθεροποιούνται πιο γρήγορα και τα όρια μπορούν να είναι πιο αυστηρά. Οι ειδοποιήσεις γίνονται πιο εφαρμόσιμες καθώς λιγότερα γεγονότα προκαλούν υποβάθμιση.

Σε ένα περιστατικό, η ταχύτητα έχει σημασία σε κάθε επίπεδο. Οι περιορισμοί που καθορίζονται από πολιτική γίνονται άμεσοι μοχλοί αντίδρασης: αποκλείστε ύποπτες πηγές, καραντίνα επηρεαζόμενων περιοχών, σφίξτε τα επιτρεπόμενα πρότυπα πρόσβασης, μειώστε τις εξουσιοδοτήσεις και περιορίστε την ευκαιρία πλευρικής κίνησης ενώ η έρευνα προχωρά.

Λειτουργική ροή εργασίας: μοχλοί περιορισμού χαρτογραφημένοι στις ειδοποιήσεις σας

Χρησιμοποιήστε TSplus Προηγμένη Ασφάλεια ως "γρήγορες εναλλαγές" που συνδέονται με τις ανιχνεύσεις σε αυτόν τον οδηγό:

• Αν παρατηρηθεί αύξηση σε ένα μοτίβο ψεκασμού/βίας, σφίξτε τους κανόνες πρόσβασης και αυξήστε την αυτοματοποιημένη μπλοκάρισμα για να σταματήσετε τις επαναλαμβανόμενες προσπάθειες.
• Εάν εμφανιστεί μια πρώτη προνομιακή σύνδεση RDP από μια νέα πηγή, περιορίστε τις προνομιακές διαδρομές πρόσβασης σε γνωστές πηγές διαχειριστών μέχρι να επιβεβαιωθεί.
• Εάν ανιχνευθεί κίνηση fan-out, περιορίστε τις επιτρεπόμενες συνδέσεις για να μειώσετε την εξάπλωση, ενώ ταυτόχρονα απομονώνετε το σημείο επαφής.

Αυτή η προσέγγιση επικεντρώνεται στην ανίχνευση πρώτα, αλλά με πραγματική προστασία πρώτα γύρω της, έτσι ώστε ο επιτιθέμενος να μην μπορεί να συνεχίσει να προσπαθεί ενώ εσείς ερευνάτε.

Συμπέρασμα σχετικά με τον προγραμματισμό ανίχνευσης ransomware

Το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας ransomware σπάνια φτάνει χωρίς προειδοποίηση. Η κακή χρήση διαπιστευτηρίων, τα ασυνήθιστα πρότυπα σύνδεσης και οι ταχείες αλλαγές μετά τη σύνδεση είναι συχνά ορατές πολύ πριν ξεκινήσει η κρυπτογράφηση. Με την καθορισμένη κανονική δραστηριότητα RDP και την προειδοποίηση για ένα μικρό σύνολο συμπεριφορών υψηλής σήμανσης, οι ομάδες IT μπορούν να μετακινηθούν από την αντιδραστική καθαριότητα σε πρώιμη συγκράτηση .

Συνδυάζοντας αυτές τις ανιχνεύσεις με ελέγχους προτεραιότητας άμυνας, όπως ο περιορισμός των διαδρομών πρόσβασης και η διακοπή των προσπαθειών brute-force με το TSplus Advanced Security, μειώνει τον χρόνο παραμονής του επιτιθέμενου και κερδίζει τα λεπτά που έχουν σημασία κατά την πρόληψη της επίδρασης του ransomware.