Haluaisitko nähdä sivuston eri kielellä?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Vaihda kieltä
Sisällysluettelo
Banner for article "Can Remote Desktop Be Hacked? A Practical Risk Score for Prevention", bearing article title, TSplus Advanced Security logo, website and illustration (metallic ball showing a locked padlock).

Etätyöpöydän käyttöoikeus voidaan hakkeroida, mutta useimmat tapaukset eivät ole Hollywoodin hyökkäyksiä. Useimmat tapaukset ovat ennakoitavissa olevia seurauksia altistuneista palveluista, uudelleenkäytettävistä tunnuksista ja liian laajasta pääsystä. Tämä opas antaa IT-tiimeille työkalusta riippumattoman riskipisteytyksen, joka koskee RDP:tä, HTML5-portaaleja, VDI:tä ja etätukityökaluja, ja sitten kartoittaa pisteet prioriteettikorjauksiin.

Mitä "hacked" tarkoittaa etätyöpöytävälineille?

Etätyöpöytä ei ole yksi tuote. Etätyöpöytä on joukko pääsyreittejä, jotka voivat sisältää Microsoftin etätyöpöytäprotokollan (RDP), etätyöpöytäpalvelut, VDI kuten Azure Virtual Desktop, selainportaalit, jotka välittävät istunnon, ja etätukityökalut, jotka luovat kysynnästä riippuvaisia yhteyksiä.

Onnettomuusraporteissa "etätyöpöytä hakkeroitiin" tarkoittaa yleensä yhtä näistä tuloksista:

  • Tilin haltuunotto: hyökkääjä kirjautuu normaalisti varastetuilla tai arvatuilla tunnuksilla.
  • Pääsyn polun väärinkäyttö: altistettu portti, avoin portti, heikko käytäntö tai väärä konfigurointi helpottaa luvattoman pääsyn saamista.
  • Post-login vahinko: hyökkääjä käyttää laillista istuntokykyä liikkuakseen sivusuunnassa, viedäkseen tietoja tai levittääkseen ransomwarea.

Tällä erolla on merkitystä, koska ennaltaehkäisy on kyse onnistuneen kirjautumisen mahdollisuuden vähentämisestä ja siitä, mitä kirjautuminen voi tehdä, rajoittamisesta.

Miksi etätyöpöytä on kohteena?

Etätyöpöydän käyttö on houkuttelevaa, koska se on vuorovaikutteista ja korkean etuoikeuden mukaista suunnittelultaan. RDP on yleinen, laajasti tuettu ja usein saavutettavissa TCP-portin 3389 kautta, mikä tekee siitä helpon skannata ja kohdistaa. Vectra tiivistää perusongelma RDP:n yleisyys ja sen tarjoama pääsyn taso tekevät siitä usein kohteen, kun sitä ei hallita asianmukaisesti.

Cloudflare kehittää samoja riskitekijöitä kahdella toistuvalla heikkoudella: heikko todennus ja rajoittamaton porttipääsy, jotka yhdistyvät bruteforce- ja tunnistetietojen täyttömahdollisuuksiin, kun RDP on altistettu.

Keskikokoisen markkinan todellisuus lisää myös riskiä. Hybridityö, toimittajien pääsy, fuusiot ja hajautetut IT-toiminnot luovat "pääsyn leviämistä". Etäyhteys laajenee nopeammin kuin politiikka ja valvonta, ja hyökkääjät suosivat tätä aukkoa.

Mikä on etätyöpöydän hakkeroinnin riskipisteet (RDRS)?

Etätyöpöydän hakkeroinnin riskipisteytys (RDRS) on nopea, suunnitteluaikainen malli. Tavoitteena ei ole korvata turvallisuusauditointia. Tavoitteena on arvioida riskitekijöitä, jotta IT-tiimi voi tehdä kolme muutosta, jotka kukin vähentävät vaarantumisen todennäköisyyttä nopeasti.

Arvioi jokainen pilari 0:sta 3:een. Yhteensä 15:stä.

  • 0: vahva hallinta, alhainen käytännön riski
  • 1: lähes hallittu, pieniä aukkoja
  • 2: osittainen hallinta, realistinen hyökkäysreitti on olemassa
  • 3: korkea riski, todennäköisesti hyödynnetään ajan myötä

Pilar 1: Altistuspinta

Altistuspinta tarkoittaa sitä, mitä hyökkääjä voi saavuttaa ulkopuolelta. Suurin riski on edelleen "suoraan saavutettavat etätyöpöytäpalvelut", joissa on vain vähäiset pääsyvalvonnat.

Pisteohjeet:

  1. 0: etätyöpöytä ei ole internetin kautta saavutettavissa; pääsy välitetään hallittujen polkujen kautta.
  2. 1: etätyöpöytä on saavutettavissa vain rajoitetuista verkoista, VPN tai tiukasti rajattuja sallittuja luetteloita.
  3. 2: portti tai portaali on internetin suuntaan, mutta käytännöt vaihtelevat sovellusten, ryhmien tai alueiden välillä.
  4. 3: suora altistuminen on olemassa (yleisiä esimerkkejä ovat avoin RDP, unohtuneet NAT-säännöt, sallivat pilviturvaryhmät).

Käytännön huomautus sekoitetuista omaisuuksista:

Altistuspinta koskee RDP-, VDI-portteja, HTML5-portaaleja ja etätukikonsolia. Jos jokin näistä on julkinen etuovi, hyökkääjät löytävät sen.

Pilar 2: Identiteettipinta

Identiteettipinta on se, kuinka helppoa hyökkääjälle on tulla voimassa olevaksi käyttäjäksi. Cloudflare korostaa salasanan uudelleenkäyttö ja hallitsemattomat käyttöoikeudet avaintekijöinä tunnistetietojen täyttämisessä ja bruteforce-hyökkäyksissä etäyhteyksissä.

Pisteohjeet:

  • 0: MFA vaaditaan, etuoikeutetut tilit on erotettu ja vanhentunutta todennusta ei sallita.
  • 1: MFA on olemassa, mutta ei kaikkialla; poikkeuksia on "vain yhdelle palvelimelle" tai "vain yhdelle toimittajalle".
  • 2: salasanat ovat ensisijainen hallinta joillekin etätyöpöytäpoluille tai jaetuille ylläpitoidentiteeteille.
  • 3: internetistä käsin tapahtuva kirjautuminen perustuu vain salasanoihin, tai paikallisia tilejä käytetään laajasti palvelimilla.

Käytännön huomautus:

Identiteetti on se, missä etätyöpöydän turvallisuus yleensä epäonnistuu ensin. Hyökkääjät eivät tarvitse hyväksikäyttöä, jos todennus on helppoa.

Pilar 3: Valtuutuspinta

Valtuutusalue on se, mihin voimassa oleva käyttäjä saa pääsyn ja milloin. Monet ympäristöt keskittyvät siihen, kuka voi kirjautua sisään, mutta ohittavat sen, kuka voi kirjautua sisään mihin, mistä ja millä aikavälillä.

Pisteohjeet:

  • 0: vähiten oikeuksin pääsyä valvotaan erillisillä ryhmillä sovelluksen tai työpöydän mukaan, plus erilliset ylläpitäjäpolut.
  • 1: ryhmiä on olemassa, mutta pääsy on laaja, koska se on toiminnallisesti yksinkertaisempaa.
  • 2: käyttäjät voivat päästä liian moniin palvelimiin tai työpöytiin; aikarajoitukset ja lähderajoitukset ovat epäjohdonmukaisia.
  • 3: mikä tahansa todennettu käyttäjä voi päästä ydinjärjestelmiin, tai ylläpitäjät voivat RDP:llä kaikkialle hallitsemattomista päätepisteistä.

Käytännön huomautus:

Valtuutus on myös perusta, joka parhaiten tukee keskikokoista markkinaseosta. Kun Windows, macOS, urakoitsijat ja kolmannen osapuolen toimittajat tarvitsevat kaikki pääsyä, yksityiskohtainen valtuutus on hallinta, joka estää yhden voimassa olevan kirjautumisen muuttumasta koko omaisuuden laajuiseksi pääsyksi.

Pilar 4: Istunto- ja päätepinta

Istunto pinta on se, mitä etäistunto voi tehdä, kun se alkaa. Päätepinta onko liitettävä laite tarpeeksi luotettava myönnetylle pääsylle.

Pisteohjeet:

  • 0: privilegioitu pääsy vaatii kovetettuja ylläpitäjätyöasemia tai hyppäysisäntiä; korkean riskin istunto-ominaisuudet on rajoitettu tarpeen mukaan.
  • 1: istunto-ohjauksia on olemassa, mutta ne eivät ole linjassa tietojen herkkyyden kanssa.
  • 2: päätepisteet ovat sekoitus hallittuja ja hallitsemattomia, joilla on samat istuntokyvyt.
  • 3: korkean etuoikeuden etätyöpöytäkäyttö on sallittu mistä tahansa laitteesta vähäisin rajoituksin.

Käytännön huomautus:

Tämä pilari on erityisen tärkeä selainpohjaiselle pääsylle. HTML5-portaalit poistavat käyttöjärjestelmäongelmat ja yksinkertaistavat käyttöönottoa, mutta ne myös helpottavat pääsyn myöntämistä laajasti. Politiikkakysymys muuttuu "mitkä käyttäjät saavat selainpääsyn mihin resursseihin".

Pilar 5: Toimintapinta

Toimintapinta on ylläpidon tila, joka määrittää, kuinka kauan heikkoudet pysyvät voimassa. Tämä ei ole havaitsemisen suunnittelua. Tämä on ennaltaehkäisyn todellisuus: jos päivitykset ja konfiguraation poikkeamat ovat hitaita, altistuminen palaa.

Pisteohjeet:

  • 0: etäyhteyskomponentit korjataan nopeasti; konfiguraatio on versioitu; pääsyn tarkastukset tapahtuvat aikataulun mukaisesti.
  • 1: Päivitys on hyvä palvelimille, mutta heikko porteille, liitännäisille tai tukipalveluille.
  • 2: drift on olemassa; poikkeukset kertyvät; perinteiset päätepisteet pysyvät.
  • 3: omistus on epäselvää, ja etäyhteyden muutoksia ei seurata päästä päähän.

Käytännön huomautus:

Toimintapinta on paikka, jossa keskikokoisen markkinan monimutkaisuus ilmenee eniten. Ellei sitä hallita asianmukaisesti, useat tiimit ja useat työkalut luovat aukkoja, joita hyökkääjät voivat kärsivällisesti hyödyntää.

Miten siirryt pisteytyksestä suojaavaan toimintaan?

Pisteet ovat hyödyllisiä vain, jos ne vaikuttavat seuraaviin toimiin. Käytä kokonaispistettä valitaksesi mahdollinen muutoskohtaus. Muista, että tavoite on vähentää altistumista riskin minimoimiseksi.

  • 0–4 (Matala): vahvista poikkeama, tiukenna jäljellä olevaa heikkoa pylvästä ja valvo johdonmukaisuutta työkalujen välillä.
  • 5–9 (Keskikoko): priorisoi altistumista ja identiteettiä ensin, sitten tiukenna valtuutusta.
  • 10–15 (Korkea): poista suora altistus heti, lisää vahva todennus, sitten rajoita pääsyn laajuutta aggressiivisesti.

Skenaario 1: IT-järjestelmänvalvoja RDP plus loppukäyttäjä VDI

Yleinen malli on "järjestelmänvalvojat käyttävät RDP:tä, käyttäjät käyttävät VDI:tä." Hyökkäysreitti kulkee yleensä heikoimman identiteetin tai eniten altistetun järjestelmänvalvojan reitin kautta, ei itse VDI-tuotteen kautta.

Prioriteettikorjaukset:

  1. Vähennä altistumista ylläpitäjäpoluille ensin, vaikka loppukäyttäjän pääsy pysyy ennallaan.
  2. Valvo etuoikeutettujen tilien erottelua ja MFA johdonmukaisesti.
  3. Rajoita, mitkä isännät hyväksyvät järjestelmänvalvojan vuorovaikutteiset kirjautumiset.

Huomautus:

Tässä skenaariossa on etua käsitellä ylläpito-oikeuksia erillisenä tuotteena erillisellä politiikalla, vaikka sama alusta sisältäisi molemmat.

Skenaario 2: Urakoitsijat ja BYOD HTML5:n kautta

Selaimeen perustuva pääsy on hyödyllinen silta sekoitetuissa käyttöjärjestelmäympäristöissä. Riski on, että "helppo pääsy" muuttuu "laajaksi pääsyksi."

Prioriteettikorjaukset:

  • Käytä sitä HTML5-portaali ohjatun etuoven tavoin, ei yleisenä porttina.
  • Julkaise erityisiä sovelluksia urakoitsijoille täysien työpöytien sijaan, kun se on mahdollista.
  • Käytä aikarajoituksia ja ryhmäpohjaista käyttöoikeuden myöntämistä, jotta urakoitsijan pääsy päättyy automaattisesti, kun ikkuna sulkeutuu.

Huomautus:

TSplus Remote Access kuvaa HTML5-asiakasmallia, jossa käyttäjät kirjautuvat sisään mukautettavan verkkoportaalin kautta ja pääsevät käsiksi täyteen työpöytään tai julkaistuihin sovelluksiin selaimessa. Suosittelemme kertakirjautumista ja monivaiheista todennusta, jotta voidaan edistää selaimeen perustuvan kirjautumisprosessin tiukkaa turvallisuutta.

Skenaario 3: Etätukityökalut samassa kiinteistössä

Etäyhteystyökalut jäävät usein huomiotta, koska ne ovat "tukipalvelua" eivätkä "tuotantoa" varten. Hyökkääjät eivät välitä. Jos tukityökalu voi luoda valvomattoman pääsyn tai nostaa oikeuksia, siitä tulee osa etätyöpöytähyökkäyksen pinta-alaa.

Prioriteettikorjaukset:

  • Erota tukipalvelun toiminnot ylläpitotoiminnoista.
  • Rajoita valvomattomien pääsyjen käyttöä erikseen määriteltyihin ryhmiin ja hyväksyttyihin päätepisteisiin.
  • Sovita tukityökalun todennus yrityksen identiteettiin ja MFA:han, jos mahdollista.

Huomautus:

Esimerkiksi, avustukseen liittyvien ongelmien välttämiseksi TSplus Remote Support on itse isännöity, kutsut luodaan isännöijän toimesta tukiedustajalle ja kirjautumiskoodit ovat kertakäyttöisiä numerosarjoja, jotka muuttuvat joka kerta. Lisäksi sovelluksen yksinkertainen sulkeminen isännöijän toimesta katkaisee yhteyden täysin.

Missä TSplus Remote Access sopii "Altistuksen vähentämiseen" -malliin?

Ohjelmistotuotteeseen perustuva turvallisuus

Ennakoivassa suunnittelussa TSplus Remote Access sopii julkaisu- ja toimitusmalliksi: se voi standardoida tai eriyttää, miten käyttäjät ja ryhmät yhdistyvät ja mitä he voivat saavuttaa sekä milloin ja miltä laitteelta, joten etäyhteydestä tulee politiikan ohjaamaa sen sijaan, että se olisi ad hoc.

TSplus Advanced Security on suunniteltu suojaamaan sovelluspalvelimia eikä jätä mitään sattuman varaan. Asennushetkestä alkaen tunnetut haitalliset IP-osoitteet estetään sen aloittaessa toimintansa. Jokainen sen huolellisesti valittu ominaisuus myötävaikuttaa sitten suojaamiseen ja suojaten palvelimiasi ja sovelluksiasi ja siksi jokainen työpöytä.

Yhteysmuodot politiikkavalintoina (RDP, RemoteApp, HTML5…)

Kun yhteysmoodit käsitellään vain "käyttäjäkokemuksena", turvallisuuspäätöksiä jää huomaamatta. TSplus Remote Accessilla on kolme tunnetumpaa yhteysmoodia: RDP-asiakas, RemoteApp-asiakas ja HTML5-asiakas, joista jokainen vastaa eri toimituskokemusta. Nopean aloituksen oppaamme laajentaa joustavien vaihtoehtojen luetteloa, johon sisältyy myös klassinen etätyöpöytäyhteys, kannettava TSplus RDP-asiakas, MS RemoteApp -asiakas sekä Windows- ja HTML5-asiakkaat verkkosivuston kautta.

Ennaltaehkäisy huomioituna:

Yhteysmuodot voivat vähentää riskiä, kun ne auttavat ylläpitämään johdonmukaisuutta.

  • RDP-asiakasyhteys voi pysyä sisäisenä ylläpito-työnkuluissa, kun loppukäyttäjät käyttävät julkaistuja sovelluksia.
  • RemoteApp vähentää "kokonaisen työpöydän altistumista" käyttäjille, jotka tarvitsevat vain yhden sovelluksen.
  • HTML5 voi korvata hauraat päätepistevaatimukset, mikä auttaa valvomaan yhtä hallittua etuovea useiden improvisoitujen sijaan.

TSplus Advanced Security "guard RDP" -kehityksessä

Riskipisteet tunnistavat yleensä samat tärkeimmät ongelmat: internetin häly, toistuvat tunnistetietoyritykset ja epäjohdonmukaiset pääsykuviot palvelimien välillä. Tässä TSplus Advanced Security on sijoitettu suojakerrokseksi etätyöpöytäympäristöille, mukaan lukien ransomware-keskeinen suojaus ja istunnon kovettamiseen liittyviä teemoja, joita on kuvattu tuotteessamme, asiakirjoissamme tai blogisivustollamme.

Riskipisteiden mallissa Advanced Security tukee ennaltaehkäisyn "toimintamahdollisuuksien vähentäminen" -osaa:

  • Häiritse käyttäjätunnusten väärinkäyttöyrityksiä, jotta salasanan arvaaminen ei pysy taustalla jatkuvana.
  • Rajoita pääsyreittejä IP- ja maantieteellisten sääntöjen avulla, kun julkinen etuovi on väistämätön.
  • Lisää suojaus ensin -ohjauksia, jotka vähentävät mahdollisuutta, että yksi kirjautuminen aiheuttaa ransomware-vaikutuksen.

Johtopäätös: Riittääkö ehkäisy?

Risk scoring vähentää kompromissin todennäköisyyttä. Se ei takaa turvallisuutta, erityisesti sekoitetuissa ympäristöissä, joissa tunnistetiedot voidaan varastaa kalastamalla tai tietojen varastamisella. Siksi havaitsemis- ja reagointisuunnittelu on edelleen tärkeää. Arvioi viisi pilaria, korjaa heikoin ensin, ja arvioi sitten uudelleen, kunnes etäyhteys muuttuu hallituksi palveluksi sen sijaan, että se olisi poikkeusten kasa.

Yleisesti ottaen pyri johdonmukaisuuteen. Standardoi pääsyreitit, käytä HTML5:ttä, kun se poistaa päätepisteiden esteitä laajentamatta laajuutta, ja julkaise vain se, mitä kukin ryhmä tarvitsee selkeillä aikarajoilla.

Kuten yllä on nähty, Remote Access jäsentää ja julkaisee pääsyn samalla kun Advanced Security puolustaa palvelimia, jotka ovat tuon pääsyn takana, hyökkääjiltä, jotka painostavat ympäristöä. Kysymys ei ole siitä, tuleeko hyökkääjiä. Pikemminkin se on "kuinka hyvin ympäristösi on suojattu?".

Lisätietoja ja toimenpiteitä:

Tähän näkemykseen liittyen, tiimeille, jotka haluavat seuraavan tason, RDP-pohjaisten kiristysohjelmahyökkäysten havaitsemiseen keskittyvä ohjeemme voi olla kiinnostava. Se viittaa korkeasignaalisesti malleihin ja käsittelee " mitä tehdä ensimmäisten 30–60 minuutin aikana .” Loistava seuranta, kun ennaltaehkäisy malli on toteutettu, se voi myös tarjota ideoita maksimoida Advanced Security ja muiden TSplus ohjelmistojen asetuksia infrastruktuurisi turvallisuuden parantamiseksi.

TSplus Etäkäyttö Ilmainen Kokeilu

Viimeisin Citrix/RDS-vaihtoehto työpöytä/sovelluskäyttöön. Turvallinen, kustannustehokas, paikallinen/pilvi

Aloita ilmainen kokeilu

UKK:

Voiko etätyöpöytä joutua hakkeroinnin kohteeksi, vaikka ohjelmisto on "turvallinen"?

Kyllä. Suurin osa tietomurroista tapahtuu altistuneiden pääsyreittien ja heikkojen identiteettien kautta, ei ohjelmiston hyväksikäytön kautta. Etätyöpöytä on usein kanava, jota käytetään sen jälkeen, kun käyttöoikeustiedot on saatu.

Onko RDP luontaisesti epäturvallinen?

RDP ei ole itsessään vaarallinen, mutta RDP:stä tulee korkean riskin ratkaisu, kun se on internetin saavutettavissa ja suojattu pääasiassa salasanoilla. Porttien kohdistaminen ja heikko todennus ovat yleisiä syitä.

Vähentääkö HTML5-etätyöpöytäportti hakkeroinnin riskiä?

Se voi, jos se keskittää pääsyn yhden hallitun etuoven taakse, jossa on johdonmukainen todennus ja valtuutus. Se lisää riskiä, jos se helpottaa laajaa pääsyä myöntämistä ilman tiukkaa politiikkaa.

Mikä on nopein tapa vähentää etätyöpöydän hakkeroinnin riskiä?

Vähennä altistumista ensin, sitten vahvista identiteetti. Jos etätyöpöydän polku on julkisesti saavutettavissa ja salasanasuojattu, ympäristön tulisi olettaa olevan "lopulta vaarantunut".

Miten tiedän, mitä korjata ensin sekoitetussa ympäristössä?

Käytä riskipistettä kuten RDRS ja korjaa ensin korkein pilari. Useimmissa ympäristöissä Altistuminen ja Identiteetti tuottavat suurimman riskin vähenemisen per tunti.

Jaa:

Facebook Twitter LinkedIn

Sinun TSplus tiimisi

Lisätietoja

back to top of the page icon