آیا می‌توان دسکتاپ از راه دور را هک کرد؟ نمره ریسک عملی برای پیشگیری

دسترسی به دسکتاپ از راه دور می‌تواند هک شود، اما بیشتر حوادث، بهره‌برداری‌های هالیوودی نیستند. بیشتر حوادث نتایج قابل پیش‌بینی از خدمات در معرض، اعتبارنامه‌های قابل استفاده مجدد و دسترسی بیش از حد گسترده هستند. این راهنما به تیم‌های IT یک امتیاز ریسک مستقل از ابزار می‌دهد که به RDP، پورتال‌های HTML5، VDI و ابزارهای پشتیبانی از راه دور اعمال می‌شود و سپس امتیاز را به اصلاحات اولویت‌دار مرتبط می‌کند.

هک شده به چه معناست برای ابزارهای دسکتاپ از راه دور؟

رابطه از راه دور یک محصول نیست. رابطه از راه دور مجموعه‌ای از مسیرهای دسترسی است که می‌تواند شامل پروتکل ارتباطی از راه دور مایکروسافت (RDP)، خدمات ارتباط از راه دور، VDI مانند Azure Virtual Desktop، پورتال‌های مرورگری که یک جلسه را پروکسی می‌کنند و ابزارهای پشتیبانی از راه دور که اتصالات درخواستی ایجاد می‌کنند، باشد.

در گزارش‌های حادثه، "دسکتاپ از راه دور هک شده است" معمولاً به یکی از این نتایج اشاره دارد:

• تصرف حساب: یک مهاجم به طور عادی با استفاده از اعتبارنامه‌های دزدیده شده یا حدس زده شده وارد می‌شود.
• سوءاستفاده از مسیر دسترسی: یک دروازه نمایان، پورت باز، سیاست ضعیف یا پیکربندی نادرست دسترسی غیرمجاز را آسان‌تر می‌کند.
• پس از ورود به سیستم آسیب: مهاجم از قابلیت جلسه قانونی برای حرکت جانبی، استخراج داده‌ها یا استقرار باج‌افزار استفاده می‌کند.

این تمایز مهم است زیرا پیشگیری کاهش احتمال ورود موفق و محدود کردن اقداماتی که یک ورود می‌تواند انجام دهد.

چرا دسکتاپ از راه دور هدف قرار می‌گیرد؟

دسترسی به دسکتاپ از راه دور جذاب است زیرا به طور تعاملی و با امتیاز بالا طراحی شده است. RDP رایج است، به طور گسترده‌ای پشتیبانی می‌شود و اغلب از طریق پورت TCP 3389 قابل دسترسی است، که این امر اسکن و هدف‌گیری را آسان می‌کند. Vectra خلاصه می‌کند که مسئله پایه شیوع RDP و سطح دسترسی که فراهم می‌کند، آن را به هدفی مکرر تبدیل می‌کند زمانی که به درستی مدیریت نشود.

کلودفلر همان عوامل خطر را با دو نقطه ضعف مکرر قاب می‌کند: احراز هویت ضعیف و دسترسی نامحدود به پورت، که در صورت افشای RDP به فرصت‌های حمله با نیروی brute و پر کردن اعتبار ترکیب می‌شوند.

واقعیت‌های میان‌رده همچنین خطر را افزایش می‌دهد. کار هیبریدی، دسترسی فروشندگان، ادغام‌ها و عملیات IT توزیع‌شده باعث ایجاد "گسترش دسترسی" می‌شود. دسترسی از راه دور سریع‌تر از سیاست و نظارت گسترش می‌یابد و مهاجمان این شکاف را ترجیح می‌دهند.

نمره ریسک هک دسکتاپ از راه دور (RDRS) چیست؟

نمره ریسک هک دسکتاپ از راه دور (RDRS) یک مدل سریع و در زمان طراحی است. هدف جایگزینی یک ممیزی امنیتی نیست. هدف رتبه‌بندی عوامل ریسک است تا یک تیم IT بتواند سه تغییر ایجاد کند که هر کدام به سرعت احتمال نفوذ را کاهش دهد.

هر ستون را از ۰ تا ۳ امتیاز دهید. آنها را جمع کنید تا مجموعی از ۱۵ به دست آید.

• ۰: کنترل قوی، ریسک عملی کم
• ۱: بیشتر کنترل شده، شکاف‌های جزئی
• ۲: کنترل جزئی، مسیر حمله واقعی وجود دارد
• ۳: خطر بالا، احتمال بهره‌برداری در طول زمان

ستون ۱: سطح در معرض

سطح در معرض قرار گرفتن به این موضوع اشاره دارد که یک مهاجم از خارج می‌تواند به چه چیزی دسترسی پیدا کند. الگوی با بالاترین ریسک هنوز هم "خدمات دسکتاپ از راه دور که به‌طور مستقیم قابل دسترسی هستند" با حداقل کنترل‌های ورودی است.

راهنمای امتیاز:

1. ۰: دسکتاپ از راه دور به اینترنت قابل دسترسی نیست؛ دسترسی از طریق مسیرهای کنترل شده واسطه‌گری می‌شود.
2. ۱: دسترسی به دسکتاپ از راه دور تنها از طریق شبکه‌های محدود امکان‌پذیر است، VPN یا لیست‌های مجاز با دامنه محدود.
3. ۲: یک دروازه یا پورتال به اینترنت متصل است، اما سیاست‌ها در برنامه‌ها، گروه‌ها یا مناطق مختلف ناسازگار هستند.
4. ۳: قرار گرفتن در معرض مستقیم وجود دارد (نمونه‌های رایج شامل RDP باز، قوانین NAT فراموش شده، گروه‌های امنیتی ابری مجاز است).

یادداشت عملی برای املاک مختلط:

سطح در معرض خطر به دروازه‌های RDP، VDI، پورتال‌های HTML5 و کنسول‌های پشتیبانی از راه دور اعمال می‌شود. اگر هر یک از این‌ها یک درب ورودی عمومی باشد، مهاجمان آن را پیدا خواهند کرد.

ستون ۲: سطح هویت

سطح هویت به این معناست که یک مهاجم چقدر آسان می‌تواند به یک کاربر معتبر تبدیل شود. Cloudflare تأکید می‌کند استفاده مجدد از رمز عبور و اعتبارنامه‌های مدیریت‌نشده به عنوان عوامل کلیدی برای پر کردن اعتبار و حملات نیروی brute در سناریوهای دسترسی از راه دور.

راهنمای امتیاز:

• ۰: احراز هویت چندعاملی الزامی است، حساب‌های دارای امتیاز جدا شده‌اند و احراز هویت قدیمی مجاز نیست.
• ۱: MFA وجود دارد اما نه در همه جا، استثنائاتی برای "فقط یک سرور" یا "فقط یک فروشنده" وجود دارد.
• ۲: رمزهای عبور کنترل اصلی برای برخی از مسیرهای دسکتاپ از راه دور یا هویت‌های مدیریتی مشترک وجود دارد.
• ۳: ورود به سیستم از طریق اینترنت تنها به رمزهای عبور متکی است، یا حساب‌های محلی به طور گسترده در سرورها استفاده می‌شوند.

یادداشت عملی:

هویت جایی است که امنیت دسکتاپ از راه دور معمولاً ابتدا شکست می‌خورد. مهاجمان نیازی به یک آسیب‌پذیری ندارند اگر احراز هویت آسان باشد.

ستون ۳: سطح مجوزدهی

سطح مجوز به این معنی است که یک کاربر معتبر مجاز است به چه چیزی دسترسی پیدا کند و چه زمانی. بسیاری از محیط‌ها بر این تمرکز دارند که چه کسی می‌تواند وارد شود، اما از این که چه کسی می‌تواند به چه چیزی وارد شود، از کجا و در چه بازه زمانی، غافل می‌شوند.

راهنمای امتیاز:

• ۰: دسترسی حداقل‌اختیار با گروه‌های مشخص برای هر برنامه یا دسکتاپ، به‌علاوه مسیرهای جداگانه مدیریت، اعمال می‌شود.
• ۱: گروه‌ها وجود دارند، اما دسترسی گسترده است زیرا از نظر عملیاتی ساده‌تر است.
• ۲: کاربران می‌توانند به تعداد زیادی از سرورها یا دسکتاپ‌ها دسترسی پیدا کنند؛ محدودیت‌های زمانی و محدودیت‌های منبع نامنظم هستند.
• ۳: هر کاربر تأیید شده می‌تواند به سیستم‌های اصلی دسترسی پیدا کند، یا مدیران می‌توانند از نقاط پایانی مدیریت‌نشده به همه جا RDP کنند.

یادداشت عملی:

مجوز همچنین پایه‌ای است که بهترین حمایت را از ترکیب بازار میانه ارائه می‌دهد. زمانی که ویندوز، macOS، پیمانکاران و فروشندگان شخص ثالث همه به دسترسی نیاز دارند، مجوز دقیق کنترلی است که مانع از تبدیل یک ورود معتبر به دسترسی سراسری می‌شود.

ستون ۴: سطح جلسه و نقطه پایانی

سطح جلسه آنچه یک جلسه از راه دور می‌تواند انجام دهد، پس از شروع است. سطح نقطه پایانی این است که آیا دستگاه متصل به اندازه کافی مورد اعتماد است برای دسترسی اعطا شده.

راهنمای امتیاز:

• ۰: دسترسی ویژه نیاز به ایستگاه‌های کاری مدیریت سخت‌افزاری یا میزبان‌های پرش دارد؛ ویژگی‌های جلسه با ریسک بالا در صورت نیاز محدود شده‌اند.
• ۱: کنترل‌های جلسه وجود دارند اما با حساسیت داده‌ها هم‌راستا نیستند.
• ۲: نقاط پایانی ترکیبی از مدیریت شده و مدیریت نشده با همان قابلیت‌های جلسه هستند.
• ۳: دسترسی به دسکتاپ از راه دور با امتیاز بالا از هر دستگاهی با حداقل محدودیت‌ها مجاز است.

یادداشت عملی:

این اصل به ویژه برای دسترسی مبتنی بر مرورگر مرتبط است. پورتال‌های HTML5 اصطکاک سیستم‌عامل را حذف کرده و فرآیند ورود را ساده می‌کنند، اما همچنین دسترسی گسترده را آسان‌تر می‌کنند. سوال سیاست این می‌شود که "کدام کاربران به کدام منابع دسترسی مرورگر دارند".

ستون ۵: سطح عملیات

سطح عملیات وضعیت نگهداری است که تعیین می‌کند ضعف‌ها چه مدت در محل باقی می‌مانند. این مهندسی تشخیص نیست. این واقعیت پیشگیری است: اگر وصله‌گذاری و انحراف پیکربندی کند باشد، آسیب‌پذیری‌ها بازمی‌گردند.

راهنمای امتیاز:

• ۰: اجزای دسترسی از راه دور به سرعت وصله می‌شوند؛ پیکربندی نسخه‌بندی شده است؛ بررسی‌های دسترسی طبق برنامه انجام می‌شود.
• ۱: پچ کردن برای سرورها خوب است اما برای دروازه‌ها، پلاگین‌ها یا خدمات پشتیبانی ضعیف است.
• ۲: انحراف وجود دارد؛ استثناها جمع می‌شوند؛ نقاط پایانی قدیمی باقی می‌مانند.
• ۳: مالکیت نامشخص است و تغییرات دسترسی از راه دور به صورت کامل پیگیری نمی‌شوند.

یادداشت عملی:

سطح عملیات جایی است که پیچیدگی‌های بازار میانه بیشتر نمایان می‌شود. مگر اینکه به درستی مدیریت شود، تیم‌های متعدد و ابزارهای متعدد شکاف‌هایی ایجاد می‌کنند که مهاجمان می‌توانند به آرامی از آن‌ها بهره‌برداری کنند.

چگونه از امتیازدهی به اقدام حفاظتی بروید؟

امتیاز تنها زمانی مفید است که بر آنچه در مرحله بعد انجام می‌شود تأثیر بگذارد. از مجموع برای انتخاب یک سناریوی بالقوه برای تغییر استفاده کنید. به یاد داشته باشید، هدف کاهش قرارگیری به منظور حداقل کردن ریسک است.

• ۰–۴ (کم): تأیید انحراف، تقویت پایه ضعیف باقی‌مانده و تحمیل سازگاری در ابزارها.
• ۵–۹ (متوسط): اولویت دادن به افشا و هویت در ابتدا، سپس سخت‌گیری در مجوزها.
• ۱۰–۱۵ (بالا): بلافاصله دسترسی مستقیم را حذف کنید، احراز هویت قوی اضافه کنید، سپس دامنه دسترسی را به شدت محدود کنید.

سناریو ۱: مدیر IT RDP به علاوه کاربر نهایی VDI

یک الگوی رایج این است که "مدیران از RDP استفاده می‌کنند، کاربران از VDI استفاده می‌کنند." مسیر حمله معمولاً از طریق ضعیف‌ترین هویت یا آسیب‌پذیرترین مسیر مدیر است، نه از طریق خود محصول VDI.

رفع اولویت:

1. در ابتدا، قرار گرفتن در معرض مسیرهای مدیریتی را کاهش دهید، حتی اگر دسترسی کاربر نهایی به همان صورت باقی بماند.
2. جداسازی حساب‌های دارای امتیاز را اجباری کنید و MFA به طور مداوم.
3. محدود کردن اینکه کدام میزبان‌ها ورودهای تعاملی مدیر را بپذیرند.

توجه:

این سناریو از برخورد با دسترسی مدیر به عنوان یک محصول جداگانه با سیاست جداگانه بهره می‌برد، حتی اگر همان پلتفرم هر دو را داشته باشد.

سناریو ۲: پیمانکاران و BYOD از طریق HTML5

دسترسی مبتنی بر مرورگر یک پل مفید در محیط‌های مختلط سیستم‌عامل است. خطر این است که "دسترسی آسان" به "دسترسی گسترده" تبدیل شود.

رفع اولویت:

• استفاده کنید پورتال HTML5 به عنوان یک درب ورودی کنترل شده، نه یک دروازه عمومی.
• برای پیمانکاران به جای دسکتاپ‌های کامل، برنامه‌های خاص را در صورت امکان منتشر کنید.
• از محدودیت‌های زمانی و تخصیص مبتنی بر گروه استفاده کنید تا دسترسی پیمانکار به‌طور خودکار زمانی که پنجره بسته می‌شود، پایان یابد.

توجه:

TSplus Remote Access یک مدل کلاینت HTML5 را توصیف می‌کند که در آن کاربران از طریق یک پورتال وب قابل تنظیم وارد می‌شوند و به یک دسکتاپ کامل یا برنامه‌های منتشر شده در داخل مرورگر دسترسی پیدا می‌کنند. ما ورود یک‌باره و احراز هویت چندعاملی را برای کمک به امنیت بالای فرآیند ورود مبتنی بر مرورگر توصیه می‌کنیم.

سناریو ۳: ابزارهای پشتیبانی از راه دور در همان ملک

ابزارهای پشتیبانی از راه دور اغلب نادیده گرفته می‌شوند زیرا آنها "برای کمک به میز خدمات" هستند، نه "برای تولید". مهاجمان اهمیتی نمی‌دهند. اگر ابزار پشتیبانی بتواند دسترسی بدون نظارت ایجاد کند یا امتیازات را افزایش دهد، بخشی از سطح حمله دسکتاپ از راه دور می‌شود.

رفع اولویت:

• توانایی‌های کمک‌رسانی را از توانایی‌های مدیریت جدا کنید.
• دسترسی بدون نظارت را به گروه‌های مشخص و نقاط پایانی تأیید شده محدود کنید.
• ابزار پشتیبانی را با هویت سازمانی و احراز هویت چندعاملی (MFA) در صورت امکان همسو کنید.

توجه:

به عنوان یک مثال، برای جلوگیری از مشکلات مربوط به کمک، TSplus Remote Support به صورت خود میزبان است، دعوت‌نامه‌ها توسط میزبان به نماینده پشتیبانی تولید می‌شوند و کدهای ورود مجموعه‌های عددی یک‌بار مصرف هستند که هر بار تغییر می‌کنند. علاوه بر این، بسته شدن ساده برنامه توسط میزبان به طور کامل ارتباط را قطع می‌کند.

TSplus Remote Access در کجا الگوی "کاهش قرارگیری" را جا می‌دهد؟

امنیت مبتنی بر محصول نرم‌افزاری

در برنامه‌ریزی پیشگیری، TSplus Remote Access به عنوان یک الگوی انتشار و تحویل مناسب است: می‌تواند نحوه اتصال کاربران و گروه‌ها و اینکه چه چیزی را می‌توانند دسترسی پیدا کنند و همچنین زمان و از کدام دستگاه، استانداردسازی یا تفکیک کند، بنابراین دسترسی از راه دور به جای اینکه به صورت موردی باشد، به سیاست‌محور تبدیل می‌شود.

TSplus Advanced Security برای محافظت از سرورهای برنامه طراحی شده و هیچ چیزی را به شانس نمی‌گذارد. از لحظه‌ای که نصب می‌شود، IPهای مخرب شناخته شده مسدود می‌شوند و کار خود را آغاز می‌کند. هر یک از ویژگی‌های به دقت انتخاب شده‌اش سپس به تأمین امنیت و حفاظت از سرورها و برنامه‌های شما و بنابراین هر دسکتاپ.

حالت‌های اتصال به عنوان گزینه‌های سیاست (RDP، RemoteApp، HTML5…)

زمانی که حالت‌های اتصال به عنوان "فقط تجربه کاربری" در نظر گرفته می‌شوند، تصمیمات امنیتی نادیده گرفته می‌شوند. TSplus Remote Access سه حالت اتصال شناخته‌شده‌تر دارد: RDP Client، RemoteApp Client و HTML5 Client که هر کدام به یک تجربه تحویل متفاوت مربوط می‌شوند. راهنمای شروع سریع ما فهرست گزینه‌های انعطاف‌پذیر را گسترش می‌دهد که همچنین شامل اتصال کلاسیک Remote Desktop، کلاینت قابل حمل TSplus RDP، کلاینت MS RemoteApp و همچنین کلاینت‌های ویندوز و HTML5 از طریق پورتال وب می‌شود.

یک پیشگیری جداگانه:

حالت‌های اتصال می‌توانند ریسک را کاهش دهند زمانی که به اجرای ثبات کمک کنند.

• دسترسی کلاینت RDP می‌تواند برای گردش کار مدیران داخلی باقی بماند در حالی که کاربران نهایی از برنامه‌های منتشر شده استفاده می‌کنند.
• RemoteApp خطر "نمایش کامل دسکتاپ" را برای کاربرانی که فقط به یک برنامه نیاز دارند کاهش می‌دهد.
• HTML5 می‌تواند پیش‌نیازهای آسیب‌پذیر نقطه پایانی را جایگزین کند، که به اجرای یک درب ورودی کنترل‌شده به جای بسیاری از درب‌های ورودی بداهه کمک می‌کند.

TSplus Advanced Security در پیشرفت "نگهبان RDP"

یک امتیاز ریسک معمولاً همان نقاط درد اصلی را شناسایی می‌کند: نویز اینترنت، تلاش‌های مکرر برای ورود به سیستم و الگوهای دسترسی نامنظم در سرورها. اینجاست که TSplus Advanced Security به عنوان یک لایه حفاظتی برای محیط‌های دسکتاپ از راه دور قرار می‌گیرد، از جمله حفاظت متمرکز بر باج‌افزار و تم‌های سخت‌افزاری جلسه که توسط محصول، مستندات یا صفحات وبلاگ ما توصیف شده‌اند.

در مدل امتیاز ریسک، Advanced Security از بخش "کاهش احتمال" پیشگیری پشتیبانی می‌کند:

• تلاش‌های سوءاستفاده از اعتبارنامه را مختل کنید تا حدس زدن رمز عبور به یک ثابت پس‌زمینه تبدیل نشود.
• دسترسی به مسیرها را با قوانین IP و جغرافیا محدود کنید زمانی که یک درب ورودی عمومی اجتناب‌ناپذیر است.
• کنترل‌های محافظت-اول را اضافه کنید که احتمال اینکه یک ورود به سیستم به تأثیر باج‌افزار تبدیل شود را کاهش دهد.

نتیجه‌گیری: آیا پیشگیری کافی خواهد بود؟

امتیازدهی ریسک احتمال نفوذ را کاهش می‌دهد. این امر ایمنی را تضمین نمی‌کند، به‌ویژه در املاک مختلط که در آن‌ها اعتبارنامه‌ها می‌توانند توسط فیشینگ یا دزدان اطلاعات سرقت شوند. به همین دلیل برنامه‌ریزی برای شناسایی و پاسخ همچنان اهمیت دارد. پنج رکن را امتیازدهی کنید، ابتدا ضعیف‌ترین را اصلاح کنید، سپس دوباره امتیازدهی کنید تا دسترسی از راه دور به یک سرویس کنترل‌شده تبدیل شود نه یک انبوه از استثناها.

به طور کلی، به دنبال ثبات باشید. مسیرهای دسترسی را استاندارد کنید، از HTML5 استفاده کنید جایی که موانع نقطه پایانی را بدون گسترش دامنه حذف می‌کند و فقط آنچه را که هر گروه نیاز دارد با زمان‌های مشخص منتشر کنید.

همانطور که در بالا مشاهده شد، Remote Access ساختارها و دسترسی را منتشر می‌کند در حالی که Advanced Security سرورهای پشت آن دسترسی را در برابر حمله‌کنندگان که به حاشیه فشار می‌آورند، محافظت می‌کند. سوال این نیست که آیا حمله‌کنندگان وجود خواهند داشت یا نه. بلکه این است که "چقدر خوب حاشیه شما محافظت شده است؟".

مطالعه و اقدامات بیشتر:

برای این منظور، برای تیم‌هایی که می‌خواهند لایه بعدی را داشته باشند، راهنمای مهندسی تشخیص ما که بر روی نفوذهای باج‌افزاری مبتنی بر RDP متمرکز است، می‌تواند جالب باشد. این راهنما به الگوهای با سیگنال بالا اشاره می‌کند و بر روی در ۳۰ تا ۶۰ دقیقه اول چه کارهایی باید انجام داد .” پیگیری عالی پس از پیاده‌سازی مدل پیشگیری، همچنین می‌تواند ایده‌هایی برای به حداکثر رساندن Advanced Security و سایر تنظیمات نرم‌افزار TSplus برای امنیت زیرساخت شما ارائه دهد.

سوالات متداول:

آیا می‌توان دسکتاپ از راه دور را هک کرد حتی اگر نرم‌افزار "امن" باشد؟

بله. بیشتر نفوذها از طریق مسیرهای دسترسی نمایان و هویت ضعیف اتفاق می‌افتند، نه از طریق یک آسیب‌پذیری نرم‌افزاری. دسکتاپ از راه دور اغلب کانالی است که پس از به‌دست آوردن اعتبارنامه‌ها استفاده می‌شود.

آیا RDP ذاتاً ناامن است؟

RDP به طور ذاتی ناامن نیست، اما RDP زمانی که از طریق اینترنت قابل دسترسی باشد و عمدتاً با رمزهای عبور محافظت شود، به خطر بالایی تبدیل می‌شود. هدف‌گیری پورت و احراز هویت ضعیف از عوامل رایج هستند.

آیا یک پورتال دسکتاپ از راه دور HTML5 خطر هک را کاهش می‌دهد؟

این امکان وجود دارد، اگر دسترسی را پشت یک درب کنترل شده واحد با احراز هویت و مجوزهای یکسان متمرکز کند. این خطر را افزایش می‌دهد اگر دسترسی گسترده را بدون سیاست‌های سختگیرانه آسان‌تر کند.

سریع‌ترین راه برای کاهش ریسک هک دسکتاپ از راه دور چیست؟

اول ابتدا در معرض خطر را کاهش دهید، سپس هویت را تقویت کنید. اگر یک مسیر دسکتاپ از راه دور به صورت عمومی قابل دسترسی و مبتنی بر رمز عبور باشد، باید فرض شود که محیط "در نهایت به خطر افتاده است".

چگونه می‌توانم بفهمم که در یک محیط مختلط ابتدا چه چیزی را باید اصلاح کنم؟

از یک امتیاز ریسک مانند RDRS استفاده کنید و ابتدا بالاترین ستون را اصلاح کنید. در بیشتر محیط‌ها، Exposure و Identity بزرگترین کاهش ریسک را در هر ساعت صرف شده تولید می‌کنند.