Bisakah Remote Desktop Diretas? Skor Risiko Praktis untuk Pencegahan

Akses desktop jarak jauh dapat diretas, tetapi sebagian besar insiden bukanlah eksploitasi Hollywood. Sebagian besar insiden adalah hasil yang dapat diprediksi dari layanan yang terekspos, kredensial yang dapat digunakan kembali, dan akses yang terlalu luas. Panduan ini memberikan tim TI skor risiko yang tidak tergantung pada alat yang berlaku untuk RDP, portal HTML5, VDI, dan alat dukungan jarak jauh, kemudian memetakan skor tersebut ke perbaikan yang diprioritaskan.

Apa Arti “Hacked” Untuk Alat Remote Desktop?

Remote desktop bukanlah satu produk. Remote desktop adalah sekumpulan jalur akses yang dapat mencakup Microsoft Remote Desktop Protocol (RDP), Remote Desktop Services, VDI seperti Azure Virtual Desktop, portal browser yang memproksi sesi, dan alat dukungan jarak jauh yang membuat koneksi sesuai permintaan.

Dalam laporan insiden, "remote desktop telah diretas" biasanya berarti salah satu dari hasil berikut:

• Pengambilalihan akun: seorang penyerang masuk secara normal menggunakan kredensial yang dicuri atau ditebak.
• Penyalahgunaan jalur akses: gerbang yang terbuka, port terbuka, kebijakan yang lemah, atau konfigurasi yang salah membuat akses tidak sah menjadi lebih mudah.
• Kerusakan pasca-login: penyerang menggunakan kemampuan sesi yang sah untuk bergerak secara lateral, mengekstrak data, atau menyebarkan ransomware.

Perbedaan ini penting karena pencegahan adalah tentang mengurangi kemungkinan login yang berhasil dan membatasi apa yang dapat dilakukan oleh login.

Mengapa Remote Desktop Menjadi Target?

Akses desktop jarak jauh menarik karena interaktif dan memiliki hak istimewa tinggi secara desain. RDP umum, didukung secara luas, dan sering dapat diakses melalui port TCP 3389, yang memudahkan untuk dipindai dan ditargetkan. Vectra merangkum masalah dasar Prevalensi RDP dan tingkat akses yang diberikannya menjadikannya target yang sering ketika tidak dikelola dengan baik.

Cloudflare membingkai penggerak risiko yang sama dengan dua kelemahan yang berulang: otentikasi yang lemah dan akses port yang tidak terbatas, yang bergabung menjadi peluang serangan brute force dan pengisian kredensial ketika RDP terpapar.

Realitas pasar menengah juga meningkatkan risiko. Pekerjaan hibrida, akses vendor, merger, dan operasi TI terdistribusi menciptakan "penyebaran akses". Akses jarak jauh berkembang lebih cepat daripada kebijakan dan pemantauan, dan penyerang lebih memilih celah itu.

Apa Itu Skor Risiko Peretasan Remote Desktop (RDRS)?

Skor Risiko Peretasan Remote Desktop (RDRS) adalah model cepat yang dirancang untuk waktu desain. Tujuannya bukan untuk menggantikan audit keamanan. Tujuannya adalah untuk mengurutkan penggerak risiko sehingga tim TI dapat melakukan tiga perubahan yang masing-masing mengurangi kemungkinan kompromi dengan cepat.

Nilai setiap pilar dari 0 hingga 3. Jumlahkan untuk total dari 15.

• 0: kontrol yang kuat, risiko praktis rendah
• 1: kebanyakan terkendali, celah kecil
• 2: kontrol parsial, jalur serangan realistis ada
• 3: risiko tinggi, kemungkinan akan dieksploitasi seiring waktu

Pilar 1: Permukaan paparan

Permukaan paparan adalah tentang apa yang dapat dijangkau oleh penyerang dari luar. Pola risiko tertinggi masih "layanan desktop jarak jauh yang dapat dijangkau secara langsung" dengan kontrol pintu depan yang minimal.

Panduan skor:

1. 0: remote desktop tidak dapat diakses melalui internet; akses dikelola melalui jalur yang terkendali.
2. 1: remote desktop hanya dapat diakses melalui jaringan terbatas, VPN atau daftar putih yang ketat.
3. 2: gerbang atau portal menghadap internet, tetapi kebijakan tidak konsisten di seluruh aplikasi, grup, atau wilayah.
4. 3: paparan langsung ada (contoh umum termasuk RDP terbuka, aturan NAT yang terlupakan, grup keamanan cloud yang permisif).

Catatan praktis untuk perkebunan campuran:

Permukaan paparan berlaku untuk RDP, gerbang VDI, portal HTML5, dan konsol dukungan jarak jauh. Jika salah satu dari itu adalah pintu depan publik, penyerang akan menemukannya.

Pilar 2: Permukaan identitas

Permukaan identitas adalah seberapa mudah bagi seorang penyerang untuk menjadi pengguna yang valid. Cloudflare menyoroti penggunaan ulang kata sandi dan kredensial yang tidak dikelola sebagai penggerak kunci untuk pengisian kredensial dan serangan brute force dalam skenario akses jarak jauh.

Panduan skor:

• 0: MFA diperlukan, akun yang memiliki hak istimewa dipisahkan dan otentikasi lama tidak diizinkan.
• 1: MFA ada tetapi tidak di mana-mana, pengecualian ada untuk "hanya satu server" atau "hanya satu vendor".
• 2: kata sandi adalah kontrol utama untuk beberapa jalur desktop jarak jauh atau identitas admin bersama ada.
• 3: login yang terhubung ke internet hanya bergantung pada kata sandi, atau akun lokal digunakan secara luas di seluruh server.

Catatan praktis:

Identitas adalah di mana keamanan desktop jarak jauh biasanya gagal pertama kali. Penyerang tidak memerlukan eksploitasi jika otentikasi mudah.

Pilar 3: Permukaan otorisasi

Permukaan otorisasi adalah apa yang diizinkan untuk dijangkau oleh pengguna yang valid, dan kapan. Banyak lingkungan fokus pada siapa yang dapat masuk, tetapi melewatkan siapa yang dapat masuk ke apa, dari mana, selama jendela waktu mana.

Panduan skor:

• 0: akses dengan hak istimewa terendah diterapkan dengan grup eksplisit per aplikasi atau desktop, ditambah jalur admin terpisah.
• 1: grup ada, tetapi aksesnya luas karena lebih sederhana secara operasional.
• 2: pengguna dapat mengakses terlalu banyak server atau desktop; pembatasan waktu dan pembatasan sumber tidak konsisten.
• 3: setiap pengguna yang terautentikasi dapat mengakses sistem inti, atau admin dapat RDP ke mana saja dari titik akhir yang tidak dikelola.

Catatan praktis:

Otorisasi juga merupakan pilar yang paling mendukung campuran pasar menengah. Ketika Windows, macOS, kontraktor, dan vendor pihak ketiga semuanya memerlukan akses, otorisasi yang terperinci adalah kontrol yang mencegah satu login yang valid menjadi akses di seluruh estate.

Pilar 4: Permukaan sesi dan titik akhir

Permukaan sesi adalah apa yang dapat dilakukan sesi jarak jauh setelah dimulai. Permukaan titik akhir apakah perangkat yang terhubung cukup tepercaya untuk akses yang diberikan.

Panduan skor:

• 0: akses istimewa memerlukan workstation admin yang diperkuat atau host lompat; fitur sesi berisiko tinggi dibatasi di mana diperlukan.
• 1: kontrol sesi ada tetapi tidak disesuaikan dengan sensitivitas data.
• 2: endpoints adalah campuran dari yang dikelola dan yang tidak dikelola dengan kemampuan sesi yang sama.
• 3: akses desktop jarak jauh dengan hak istimewa tinggi diizinkan dari perangkat mana pun dengan pembatasan minimal.

Catatan praktis:

Pilar ini sangat relevan untuk akses berbasis browser. Portal HTML5 menghilangkan gesekan OS dan menyederhanakan proses onboarding, tetapi juga memudahkan untuk memberikan akses secara luas. Pertanyaan kebijakan menjadi "pengguna mana yang mendapatkan akses browser ke sumber daya mana".

Pilar 5: Permukaan operasi

Permukaan operasi adalah sikap pemeliharaan yang menentukan seberapa lama kelemahan tetap ada. Ini bukan rekayasa deteksi. Ini adalah kenyataan pencegahan: jika pemeliharaan dan penyimpangan konfigurasi lambat, paparan kembali.

Panduan skor:

• 0: komponen akses jarak jauh diperbaiki dengan cepat; konfigurasi diberi versi; tinjauan akses dilakukan sesuai jadwal.
• 1: Patching baik untuk server tetapi lemah untuk gateway, plugin, atau layanan pendukung.
• 2: drift ada; pengecualian terakumulasi; titik akhir warisan tetap.
• 3: kepemilikan tidak jelas, dan perubahan akses jarak jauh tidak dilacak dari awal hingga akhir.

Catatan praktis:

Permukaan operasi adalah tempat di mana kompleksitas pasar menengah paling terlihat. Kecuali dikelola dengan baik, banyak tim dan banyak alat menciptakan celah yang dapat dimanfaatkan oleh penyerang dengan sabar.

Bagaimana Anda Beralih Dari Skor Ke Tindakan Perlindungan?

Skor hanya berguna jika itu mengubah apa yang dilakukan selanjutnya. Gunakan total untuk memilih skenario potensial untuk perubahan. Ingat, tujuannya adalah untuk mengurangi paparan guna meminimalkan risiko.

• 0–4 (Rendah): validasi drift, perkuat pilar lemah yang tersisa, dan tegakkan konsistensi di seluruh alat.
• 5–9 (Sedang): utamakan eksposur dan identitas terlebih dahulu, kemudian perketat otorisasi.
• 10–15 (Tinggi): hapus paparan langsung segera, tambahkan otentikasi yang kuat, kemudian sempitkan ruang akses secara agresif.

Skenario 1: Admin IT RDP plus pengguna akhir VDI

Polanya yang umum adalah "admin menggunakan RDP, pengguna menggunakan VDI." Jalur serangan biasanya melalui identitas terlemah atau jalur admin yang paling terbuka, bukan melalui produk VDI itu sendiri.

Perbaikan prioritas:

1. Kurangi paparan untuk jalur admin terlebih dahulu, meskipun akses pengguna akhir tetap sama.
2. Tegakkan pemisahan akun istimewa dan MFA secara konsisten.
3. Batasi host mana yang menerima logon interaktif admin.

Catatan:

Skenario ini mendapatkan manfaat dari memperlakukan akses admin sebagai produk terpisah dengan kebijakan terpisah, meskipun platform yang sama membawa keduanya.

Skenario 2: Kontraktor dan BYOD melalui HTML5

Akses berbasis browser adalah jembatan yang berguna dalam lingkungan OS campuran. Risikonya adalah bahwa "akses mudah" menjadi "akses luas."

Perbaikan prioritas:

• Gunakan portal HTML5 sebagai pintu depan yang terkontrol, bukan gerbang umum.
• Terbitkan aplikasi spesifik untuk kontraktor alih-alih desktop penuh jika memungkinkan.
• Gunakan pembatasan waktu dan penugasan berbasis grup sehingga akses kontraktor berakhir secara otomatis ketika jendela ditutup.

Catatan:

TSplus Remote Access menjelaskan model klien HTML5 di mana pengguna masuk melalui portal web yang dapat disesuaikan dan mengakses desktop penuh atau aplikasi yang diterbitkan di dalam browser. Kami merekomendasikan single sign-on dan otentikasi multi-faktor untuk berkontribusi pada keamanan ketat dari proses login berbasis browser.

Skenario 3: Alat dukungan jarak jauh di properti yang sama

Alat dukungan jarak jauh sering diabaikan karena mereka "untuk helpdesk," bukan "untuk produksi." Penyerang tidak peduli. Jika alat dukungan dapat membuat akses tanpa pengawasan atau meningkatkan hak istimewa, itu menjadi bagian dari permukaan serangan desktop jarak jauh.

Perbaikan prioritas:

• Pisahkan kemampuan helpdesk dari kemampuan admin.
• Batasi akses tidak terawasi ke grup yang eksplisit dan titik akhir yang disetujui.
• Sesuaikan otentikasi alat dukungan dengan identitas perusahaan dan MFA jika memungkinkan.

Catatan:

Sebagai contoh, untuk menghindari masalah terkait bantuan, TSplus Remote Support dihosting sendiri, undangan dihasilkan oleh host kepada agen dukungan dan kode masuk adalah set digit sekali pakai yang berubah setiap kali. Selain itu, penutupan aplikasi oleh host sepenuhnya memutuskan koneksi.

Di Mana TSplus Remote Access Sesuai dengan Pola "Mengurangi Paparan"?

Keamanan yang didorong oleh produk perangkat lunak

Dalam perencanaan pencegahan, TSplus Remote Access cocok sebagai pola penerbitan dan pengiriman: ia dapat menstandarisasi atau membedakan bagaimana pengguna dan grup terhubung serta apa yang dapat mereka akses, serta kapan dan dari perangkat mana, sehingga akses jarak jauh menjadi didorong oleh kebijakan alih-alih ad hoc.

TSplus Advanced Security dirancang untuk melindungi server aplikasi dan tidak meninggalkan apa pun untuk kebetulan. Sejak saat diinstal, IP jahat yang dikenal diblokir saat mulai bekerja. Setiap fitur yang dipilih dengan cermat kemudian berkontribusi untuk mengamankan dan melindungi server dan aplikasi Anda , dan oleh karena itu setiap desktop.

Mode koneksi sebagai pilihan kebijakan (RDP, RemoteApp, HTML5…)

Ketika mode koneksi diperlakukan sebagai "hanya UX," keputusan keamanan terlewatkan. TSplus Remote Access memiliki tiga mode koneksi yang lebih dikenal: RDP Client, RemoteApp Client, dan HTML5 Client, masing-masing memetakan ke pengalaman pengiriman yang berbeda. Panduan Quickstart kami memperluas daftar opsi fleksibel yang juga mencakup koneksi Remote Desktop klasik, klien RDP TSplus portabel, klien MS RemoteApp, ditambah klien Windows dan HTML5 melalui portal web.

Pencegahan selain:

Mode koneksi dapat mengurangi risiko ketika mereka membantu menegakkan konsistensi.

• Akses klien RDP dapat tetap internal untuk alur kerja admin sementara pengguna akhir menggunakan aplikasi yang dipublikasikan.
• RemoteApp mengurangi "paparan desktop penuh" bagi pengguna yang hanya memerlukan satu aplikasi.
• HTML5 dapat menggantikan prasyarat endpoint yang rapuh, yang membantu menegakkan satu pintu masuk yang terkontrol alih-alih banyak yang improvisasi.

TSplus Advanced Security dalam progresi "guard RDP"

Skor risiko biasanya mengidentifikasi titik masalah utama yang sama: kebisingan internet, upaya kredensial yang berulang, dan pola akses yang tidak konsisten di seluruh server. Inilah di mana TSplus Advanced Security diposisikan sebagai lapisan pengaman untuk lingkungan desktop jarak jauh, termasuk perlindungan yang berfokus pada ransomware dan tema penguatan sesi yang dijelaskan oleh produk, dokumentasi, atau halaman blog kami.

Dalam model skor risiko, Advanced Security mendukung bagian "mengurangi kemungkinan" dari pencegahan:

• Ganggu upaya penyalahgunaan kredensial sehingga tebakan kata sandi tidak tetap menjadi konstanta latar belakang.
• Batasi jalur akses dengan aturan IP dan geografi ketika pintu depan publik tidak dapat dihindari.
• Tambahkan kontrol protect-first yang mengurangi kemungkinan bahwa satu login menjadi dampak ransomware.

Kesimpulan: Apakah Pencegahan Akan Cukup?

Penilaian risiko mengurangi kemungkinan kompromi. Ini tidak menjamin keamanan, terutama di lingkungan campuran di mana kredensial dapat dicuri melalui phishing atau infostealers. Itulah mengapa perencanaan deteksi dan respons tetap penting. Nilai lima pilar, perbaiki yang terlemah terlebih dahulu, lalu nilai ulang sampai akses jarak jauh menjadi layanan yang terkontrol daripada sekumpulan pengecualian.

Secara umum, tujuannya adalah untuk konsistensi. Standarkan jalur akses, gunakan HTML5 di mana ia menghilangkan hambatan endpoint tanpa memperluas cakupan, dan terbitkan hanya apa yang dibutuhkan setiap kelompok dengan jendela waktu yang jelas.

Seperti yang terlihat di atas, Remote Access menyusun dan menerbitkan akses sementara Advanced Security melindungi server di balik akses tersebut dari penyerang yang menekan perimeter. Pertanyaannya bukan apakah akan ada penyerang. Sebaliknya, itu adalah "seberapa baik perimeter Anda dijaga?".

Bacaan dan tindakan lebih lanjut:

Untuk itu, bagi tim yang menginginkan lapisan berikutnya, panduan rekayasa deteksi kami yang berfokus pada intrusi ransomware yang dipimpin RDP dapat menjadi menarik. Ini menunjukkan pola sinyal tinggi dan membahas tentang apa yang harus dilakukan dalam 30–60 menit pertama .” Tindak lanjut yang baik setelah model pencegahan diterapkan, ini juga dapat memberikan ide untuk memaksimalkan Advanced Security dan pengaturan perangkat lunak TSplus lainnya untuk keamanan infrastruktur Anda.

FAQ:

Bisakah desktop jarak jauh diretas meskipun perangkat lunaknya "aman"?

Ya. Sebagian besar kompromi terjadi melalui jalur akses yang terbuka dan identitas yang lemah, bukan melalui eksploitasi perangkat lunak. Remote desktop sering kali menjadi saluran yang digunakan setelah kredensial diperoleh.

Apakah RDP secara inheren tidak aman?

RDP tidak secara inheren tidak aman, tetapi RDP menjadi berisiko tinggi ketika dapat diakses melalui internet dan dilindungi terutama oleh kata sandi. Penargetan port dan otentikasi yang lemah adalah faktor umum.

Apakah portal desktop jarak jauh HTML5 mengurangi risiko peretasan?

Ini dapat, jika mengkonsolidasikan akses di belakang satu pintu depan yang terkontrol dengan autentikasi dan otorisasi yang konsisten. Ini meningkatkan risiko jika membuat akses yang luas lebih mudah diberikan tanpa kebijakan yang ketat.

Apa cara tercepat untuk mengurangi risiko peretasan desktop jarak jauh?

Kurangi paparan terlebih dahulu, kemudian perkuat identitas. Jika jalur desktop jarak jauh dapat diakses secara publik dan berbasis kata sandi, lingkungan harus dianggap "akhirnya terkompromi".

Bagaimana saya tahu apa yang harus diperbaiki terlebih dahulu di lingkungan campuran?

Gunakan skor risiko seperti RDRS dan perbaiki pilar tertinggi terlebih dahulu. Di sebagian besar lingkungan, Paparan dan Identitas menghasilkan penurunan risiko terbesar per jam yang dihabiskan.