Može li se Remote Desktop hakirati? Praktična ocjena rizika za prevenciju

Pristup udaljenom radnom stolu može biti hakiran, ali većina incidenata nisu holivudske eksploatacije. Većina incidenata su predvidljivi ishodi izloženih usluga, ponovo upotrebljivih vjerodajnica i preširokog pristupa. Ovaj vodič daje IT timovima alat koji nije vezan uz specifičan alat i koji primjenjuje ocjenu rizika na RDP, HTML5 portale, VDI i alate za udaljenu podršku, a zatim mapira ocjenu na prioritetne ispravke.

Što znači "Hacked" za alate za daljinski pristup?

Remote desktop nije jedan proizvod. Remote desktop je skup putanja za pristup koji može uključivati Microsoft Remote Desktop Protocol (RDP), Remote Desktop Services, VDI kao što je Azure Virtual Desktop, portale preglednika koji posreduju sesiju i alate za daljinsku podršku koji stvaraju veze na zahtjev.

U izvještajima o incidentima, "daljinski desktop je hakiran" obično znači jedan od ovih ishoda:

• Preuzimanje računa: napadač se normalno prijavljuje koristeći ukradene ili pogodene vjerodajnice.
• Zloupotreba pristupnog puta: izloženi pristupnik, otvoreni port, slaba politika ili pogrešna konfiguracija olakšavaju neovlašteni pristup.
• Šteta nakon prijave: napadač koristi legitimnu mogućnost sesije za lateralno kretanje, eksfiltraciju podataka ili implementaciju ransomware-a.

Ova razlika je važna jer prevencija je o smanjenju šanse za uspješnu prijavu i ograničavanju onoga što prijava može učiniti.

Zašto je Remote Desktop na meti?

Pristup udaljenom radnom stolu je privlačan jer je interaktivan i visoko privilegiran po dizajnu. RDP je uobičajen, široko podržan i često dostupan preko TCP porta 3389, što ga čini lakim za skeniranje i ciljanje. Vectra sažima osnovni problem Prevladavanje RDP-a i razina pristupa koju pruža čine ga čestom metom kada se ne upravlja pravilno.

Cloudflare oblikuje iste rizike s dva ponavljajuća slabosti: slaba autentifikacija i neograničen pristup portovima, koji se kombiniraju u prilike za brute force i punjenje vjerodajnica kada je RDP izložen.

Srednje tržišne stvarnosti također povećavaju rizik. Hibridni rad, pristup dobavljača, spajanja i distribuirane IT operacije stvaraju "širenje pristupa". Remote access se širi brže od politike i nadzora, a napadači preferiraju tu prazninu.

Koji je rizik od hakiranja udaljenog radnog stola (RDRS)?

Rizik od hakiranja udaljenog radnog stola (RDRS) je brz, model dizajniranja. Cilj nije zamijeniti sigurnosnu reviziju. Cilj je rangirati uzroke rizika kako bi IT tim mogao brzo napraviti tri promjene koje svaka smanjuje vjerojatnost kompromitacije.

Ocijenite svaki stup od 0 do 3. Zbrojite ih za ukupno 15.

• 0: snažna kontrola, nizak praktični rizik
• 1: uglavnom kontrolirano, manji nedostaci
• 2: djelomična kontrola, realna putanja napada postoji
• 3: visok rizik, vjerojatno će biti iskorišten tijekom vremena

Stup 1: Površina izloženosti

Izloženost površine odnosi se na ono što napadač može doseći s vanjske strane. Uzorak s najvećim rizikom i dalje je "izravno dostupne usluge udaljenog radnog stola" s minimalnim kontrolama na ulazu.

Vodič za ocjenjivanje:

1. 0: daljinski desktop nije dostupan putem interneta; pristup se posreduje kroz kontrolirane putanje.
2. 1: daljinski desktop je dostupan samo putem ograničenih mreža, VPN ili strogo definirane dopuštene liste.
3. 2: gateway ili portal je usmjeren prema internetu, ali politike su neusklađene među aplikacijama, grupama ili regijama.
4. 3: izravna izloženost postoji (uobičajeni primjeri uključuju otvoreni RDP, zaboravljena NAT pravila, permisivne sigurnosne grupe u oblaku).

Praktična napomena za mješovita imanja:

Površina izloženosti odnosi se na RDP, VDI prolaze, HTML5 portale i konzole za daljinsku podršku. Ako je bilo koja od njih javna ulazna vrata, napadači će ih pronaći.

Stup 2: Površina identiteta

Identitetska površina je koliko je lako napadaču postati valjani korisnik. Cloudflare ističe ponovna upotreba lozinki i neuredne vjerodajnice kao ključni omogućitelji za punjenje vjerodajnica i napade silom u scenarijima daljinskog pristupa.

Vodič za ocjenjivanje:

• 0: MFA je obavezan, privilegirani računi su odvojeni, a naslijeđena autentifikacija nije dozvoljena.
• 1: MFA postoji, ali ne svugdje, iznimke postoje za "samo jedan poslužitelj" ili "samo jednog dobavljača".
• 2: lozinke su primarna kontrola za neke putanje udaljenog radnog stola ili postoje dijeljeni administratorski identiteti.
• 3: prijava koja je dostupna putem interneta oslanja se samo na lozinke, ili se lokalni računi široko koriste na poslužiteljima.

Praktična napomena:

Identitet je mjesto gdje sigurnost udaljenog radnog stola obično prvi put ne uspijeva. Napadači ne trebaju iskorištavanje ako je autentifikacija jednostavna.

Stup 3: Površina autorizacije

Površina autorizacije je ono što validni korisnik može doseći i kada. Mnogi sustavi se fokusiraju na to tko se može prijaviti, ali preskoče tko se može prijaviti na što, odakle, tijekom kojeg vremenskog okvira.

Vodič za ocjenjivanje:

• 0: pristup s najmanjim privilegijama se provodi s eksplicitnim grupama po aplikaciji ili radnoj površini, plus odvojeni administrativni putevi.
• 1: grupe postoje, ali pristup je širok jer je operativno jednostavniji.
• 2: korisnici mogu pristupiti previše poslužitelja ili radnih površina; vremenska ograničenja i ograničenja izvora su nedosljedna.
• 3: bilo koji autentificirani korisnik može pristupiti osnovnim sustavima, ili administratori mogu RDP-ati svugdje s neuređenih krajnjih točaka.

Praktična napomena:

Autorizacija je također stup koji najbolje podržava mješavinu srednjeg tržišta. Kada Windows, macOS, izvođači i treće strane trebaju pristup, granularna autorizacija je kontrola koja sprječava da jedan valjani prijava postane pristup cijelom posjedu.

Stup 4: Površina sesije i krajnje točke

Površina sesije je ono što udaljena sesija može raditi kada započne. Površina krajnje točke je li uređaj za povezivanje dovoljno pouzdan za odobreni pristup.

Vodič za ocjenjivanje:

• 0: privilegirani pristup zahtijeva ojačane administratorske radne stanice ili skakačke poslužitelje; značajke sesije visokog rizika su ograničene gdje je to potrebno.
• 1: kontrole sesije postoje, ali nisu usklađene s osjetljivošću podataka.
• 2: krajni uređaji su mješavina upravljanih i neuređivanih s istim mogućnostima sesije.
• 3: pristup visoko privilegiranom udaljenom radnom površinom dopušten je s bilo kojeg uređaja uz minimalna ograničenja.

Praktična napomena:

Ova je točka posebno relevantna za pristup temeljen na pregledniku. HTML5 portali uklanjaju trenje operativnog sustava i pojednostavljuju uvođenje, ali također olakšavaju široko davanje pristupa. Pitanje politike postaje "koji korisnici dobivaju pristup pregledniku kojim resursima".

Stup 5: Površina operacija

Površina operacija je održavanje koje određuje koliko dugo slabosti ostaju na snazi. Ovo nije inženjering otkrivanja. Ovo je stvarnost prevencije: ako su zakrpe i drift konfiguracije spori, izloženost se vraća.

Vodič za ocjenjivanje:

• 0: komponente za daljinski pristup se brzo ispravljaju; konfiguracija je verzionirana; pregledi pristupa se odvijaju prema rasporedu.
• 1: zakrivanje je dobro za poslužitelje, ali slabo za prolaze, dodatke ili podržavajuće usluge.
• 2: drift postoji; iznimke se akumuliraju; naslijeđene točke ostaju.
• 3: vlasništvo nije jasno, a promjene u daljinskom pristupu nisu praćene od kraja do kraja.

Praktična napomena:

Površina operacija je mjesto gdje se srednje tržišne složenosti najviše očituju. Ako se ne upravlja pravilno, višestruki timovi i višestruki alati stvaraju praznine koje napadači mogu strpljivo iskoristiti.

Kako preći iz postizanja rezultata u zaštitnu akciju?

Rezultat je koristan samo ako mijenja ono što se radi sljedeće. Iskoristite ukupni rezultat za odabir potencijalnog scenarija za promjenu. Zapamtite, cilj je smanjiti izloženost kako bi se minimizirao rizik.

• 0–4 (Nisko): provjeriti odstupanje, učvrstiti preostali slabi stup i osigurati dosljednost među alatima.
• 5–9 (Srednje): prioritizirajte izloženost i identitet prvo, a zatim pojačajte autorizaciju.
• 10–15 (Visoko): odmah uklonite izravnu izloženost, dodajte jaku autentifikaciju, a zatim agresivno suzite opseg pristupa.

Scenarij 1: IT administrator RDP plus krajnji korisnik VDI

Uobičajeni obrazac je "administratori koriste RDP, korisnici koriste VDI." Put napada obično je kroz najslabiju identitet ili najizloženiji put administratora, a ne kroz sam VDI proizvod.

Prioritetne ispravke:

1. Smanjite izloženost za administrativne putanje prvo, čak i ako pristup krajnjeg korisnika ostane nepromijenjen.
2. Provedite odvajanje privilegiranih računa i MFA dosljedno.
3. Ograničite koji hostovi prihvaćaju interaktivne prijave administratora.

Napomena:

Ovaj scenarij ima koristi od tretiranja administratorskog pristupa kao odvojenog proizvoda s odvojenom politikom, čak i ako ista platforma nosi oboje.

Scenarij 2: Izvođači i BYOD putem HTML5

Pristup temeljen na pregledniku je koristan most u miješanim OS okruženjima. Rizik je da "laki pristup" postane "širok pristup."

Prioritetne ispravke:

• Koristite HTML5 portal kao kontrolirani ulaz, a ne opća vrata.
• Objavite specifične aplikacije za izvođače umjesto punih radnih površina kada je to moguće.
• Koristite vremenska ograničenja i dodjelu temeljenu na grupama tako da pristup izvođača automatski završi kada se prozor zatvori.

Napomena:

TSplus Remote Access opisuje HTML5 klijentski model gdje se korisnici prijavljuju putem prilagodljivog web portala i pristupaju punom radnom površinom ili objavljenim aplikacijama unutar preglednika. Preporučujemo jedinstvenu prijavu i višefaktorsku autentifikaciju kako bismo doprinijeli visokoj sigurnosti procesa prijave temeljenog na pregledniku.

Scenarij 3: Alati za daljinsku podršku u istom posjedu

Alati za daljinsku podršku često se zanemaruju jer su "za helpdesk", a ne "za proizvodnju". Napadači se ne brinu. Ako alat za podršku može stvoriti neprimjetan pristup ili podići privilegije, postaje dio površine napada daljinskog radnog stola.

Prioritetne ispravke:

• Odvojite mogućnosti helpdeska od administratorskih mogućnosti.
• Ograničite neovlašteni pristup na eksplicitne grupe i odobrene krajnje točke.
• Uskladite autentifikaciju alata za podršku s identitetom poduzeća i MFA gdje je to moguće.

Napomena:

Kao primjer, kako bi se izbjegli problemi vezani uz pomoć, TSplus Remote Support je samostalno hostan, pozivnice generira domaćin za agenta podrške, a kodovi za prijavu su jednokratni nizovi znamenki koji se mijenjaju svaki put. Štoviše, jednostavno zatvaranje aplikacije od strane domaćina potpuno prekida vezu.

Gdje se uklapa TSplus Remote Access u obrazac "Smanjenje izloženosti"?

Sigurnost vođena softverskim proizvodom

U planiranju prevencije, TSplus Remote Access uklapa se kao obrazac objavljivanja i isporuke: može standardizirati ili razlikovati kako se korisnici i grupe povezuju i što mogu doseći, kao i kada i s kojeg uređaja, tako da daljinski pristup postaje vođen politikom umjesto ad hoc.

TSplus Advanced Security je dizajniran za zaštitu aplikacijskih poslužitelja i ne prepušta ništa slučaju. Od trenutka kada se instalira, poznate zlonamjerne IP adrese se blokiraju dok počinje raditi. Svaka od njegovih pažljivo odabranih značajki tada doprinosi osiguranju i zaštita vaših poslužitelja i aplikacija , i stoga svaki radni stol.

Načini povezivanja kao izbori politika (RDP, RemoteApp, HTML5…)

Kada se načini povezivanja tretiraju kao "samo UX", sigurnosne odluke se propuštaju. TSplus Remote Access ima tri poznatija načina povezivanja: RDP klijent, RemoteApp klijent i HTML5 klijent, svaki od njih mapira se na različito iskustvo isporuke. Naš Vodič za brzi početak proširuje popis fleksibilnih opcija koje također uključuju klasičnu vezu za udaljeni radni stol, prijenosni TSplus RDP klijent, MS RemoteApp klijent, plus Windows i HTML5 klijente putem web portala.

Prevencija osim:

Načini povezivanja mogu smanjiti rizik kada pomažu u održavanju dosljednosti.

• Pristup RDP klijentu može ostati interno za administrativne radne procese dok krajnji korisnici koriste objavljene aplikacije.
• RemoteApp smanjuje "izloženost cijelog radnog površine" za korisnike koji trebaju samo jednu aplikaciju.
• HTML5 može zamijeniti krhke preduvjete za krajnje točke, što pomaže u nametanju jednih kontroliranih vrata umjesto mnogih improviziranih.

TSplus Advanced Security u progresiji “guard RDP”

Rizik ocjena obično identificira iste glavne probleme: internetska buka, ponovljeni pokušaji prijave i nekonzistentni obrasci pristupa na poslužiteljima. Ovo je mjesto gdje je TSplus Advanced Security postavljen kao zaštitni sloj za okruženja udaljenog radnog stola, uključujući zaštita usmjerena na ransomware i teme za jačanje sesija opisane u našim proizvodima, dokumentaciji ili blog stranicama.

U modelu ocjene rizika, Advanced Security podržava dio prevencije "smanjenje vjerojatnosti":

• Spriječite pokušaje zloupotrebe vjerodajnica kako bi pogađanje lozinki ostalo pozadinska konstanta.
• Ograničite pristupne putanje s IP i geografskim pravilima kada javni ulaz nije moguće izbjeći.
• Dodajte kontrole za zaštitu koje smanjuju šansu da se jedan prijavljeni korisnik pretvori u utjecaj ransomwarea.

Zaključak: Hoće li prevencija biti dovoljna?

Procjena rizika smanjuje vjerojatnost kompromitacije. Ne jamči sigurnost, posebno u mješovitim okruženjima gdje se vjerodajnice mogu ukrasti phishingom ili infostealerima. Zato je planiranje otkrivanja i odgovora i dalje važno. Ocijenite pet stupova, prvo ispravite najslabije, a zatim ponovo ocijenite dok daljinski pristup ne postane kontrolirana usluga umjesto hrpe iznimaka.

Općenito, težite dosljednosti. Standardizirajte pristupne putove, koristite HTML5 gdje uklanja prepreke na krajnjim točkama bez širenja opsega, i objavite samo ono što svaka grupa treba s jasnim vremenskim okvirima.

Kao što je prikazano iznad, Remote Access strukturira i objavljuje pristup dok Advanced Security brani poslužitelje iza tog pristupa od napadača koji pritisnu perimetar. Pitanje nije hoće li biti napadača. Umjesto toga, radi se o tome "koliko dobro je vaš perimetar zaštićen?".

Daljnje čitanje i radnje:

S tim na umu, za timove koji žele sljedeću razinu, naš vodič za inženjering detekcije usmjeren na RDP-vođene ransomware intruzije može biti zanimljiv. Ukazuje na visoko signalne obrasce i bavi se “ što učiniti u prvih 30–60 minuta .” Odlična nadogradnja, kada se model prevencije implementira, može također pružiti ideje za maksimalno iskorištavanje Advanced Security i drugih TSplus softverskih postavki za sigurnost vaše infrastrukture.

Česta pitanja:

Može li se daljinski desktop hakirati čak i ako je softver "siguran"?

Da. Većina kompromitacija događa se kroz izložene pristupne putove i slabe identitete, a ne kroz iskorištavanje softvera. Udaljena radna površina često je kanal koji se koristi nakon što su dobiveni vjerodajnice.

Je li RDP inherentno nesiguran?

RDP nije inherentno nesiguran, ali RDP postaje visok rizik kada je dostupan putem interneta i zaštićen uglavnom lozinkama. Ciljanje portova i slaba autentifikacija su uobičajeni uzroci.

Smanjuje li HTML5 portal za udaljeni desktop rizik od hakiranja?

Može, ako centralizira pristup iza jednih kontroliranih vrata s dosljednom autentifikacijom i autorizacijom. Povećava rizik ako olakšava širok pristup bez stroge politike.

Koji je najbrži način za smanjenje rizika od hakiranja udaljenog radnog stola?

Smanjite izloženost prvo, a zatim ojačajte identitet. Ako je put do udaljenog radnog stola javno dostupan i temelji se na lozinkama, treba pretpostaviti da je okruženje "na kraju kompromitirano".

Kako da znam što prvo popraviti u mješovitom okruženju?

Koristite ocjenu rizika poput RDRS i prvo ispravite najviši stup. U većini okruženja, Izloženost i Identitet donose najveći pad rizika po satu provedenom.