)
)
リモートデスクトップアクセスはハッキングされる可能性がありますが、ほとんどのインシデントはハリウッドの悪用ではありません。ほとんどのインシデントは、公開されたサービス、再利用可能な資格情報、過度に広範なアクセスの予測可能な結果です。このガイドは、ITチームにRDP、HTML5ポータル、VDI、リモートサポートツールに適用されるツールに依存しないリスクスコアを提供し、そのスコアを優先修正にマッピングします。
リモートデスクトップツールにおける「ハッキング」とは何を意味するのか?
リモートデスクトップは1つの製品ではありません。リモートデスクトップは、Microsoft Remote Desktop Protocol (RDP)、Remote Desktop Services、Azure Virtual DesktopのようなVDI、セッションをプロキシするブラウザポータル、オンデマンド接続を作成するリモートサポートツールなどを含むアクセスパスのセットです。
インシデントレポートでは、「リモートデスクトップがハッキングされた」というのは通常、これらの結果のいずれかを意味します:
- アカウント乗っ取り: 攻撃者は盗まれたまたは推測された認証情報を使用して通常通りログインします。
- アクセスパスの悪用: 露出したゲートウェイ、オープンポート、弱いポリシーまたは誤設定は、不正アクセスを容易にします。
- ログイン後の損害: 攻撃者は正当なセッション機能を使用して横移動し、データを抽出したり、ランサムウェアを展開したりします。
この区別は重要です 予防 成功したログインの可能性を減らし、ログインができることを制限することに関するものです。
リモートデスクトップはなぜ標的にされるのか?
リモートデスクトップアクセスは、インタラクティブで高い特権を持つ設計であるため魅力的です。RDPは一般的で広くサポートされており、通常はTCPポート3389を介してアクセス可能であるため、スキャンやターゲットにしやすいです。Vectraは次のように要約します。 基本的な問題 RDPの普及とそれが提供するアクセスレベルは、適切に管理されていない場合に頻繁に標的となる要因です。
Cloudflareは、RDPが公開されているときにブルートフォース攻撃や資格情報の詰め込みの機会を生む、弱い認証と制限のないポートアクセスという2つの繰り返しの弱点を持つ同じリスク要因を示しています。
中堅市場の現実はリスクを高めます。ハイブリッドワーク、ベンダーアクセス、合併、分散型IT運用は「アクセスの拡大」を生み出します。リモートアクセスはポリシーや監視よりも速く拡大し、攻撃者はそのギャップを好みます。
リモートデスクトップハックリスクスコア(RDRS)とは何ですか?
リモートデスクトップハックリスクスコア(RDRS)は、迅速な設計時モデルです。目的はセキュリティ監査を置き換えることではありません。目的はリスクドライバーをランク付けし、ITチームがそれぞれの妥協の可能性を迅速に減少させる3つの変更を行えるようにすることです。
各ピラーを0から3の範囲で評価し、合計を15点満点で算出してください。
- 0: 強力な制御、低い実用的リスク
- 1: 主に制御されている、わずかなギャップ
- 2: 部分的な制御、現実的な攻撃経路が存在する
- 3: 高リスク、時間の経過とともに悪用される可能性が高い
柱1: エクスポージャーサーフェス
攻撃者が外部から到達できる範囲を露出面と呼びます。最もリスクの高いパターンは、最小限のフロントドアコントロールを持つ「直接到達可能なリモートデスクトップサービス」です。
スコアガイダンス:
- 0: リモートデスクトップはインターネットに到達できません。アクセスは制御された経路を通じて仲介されます。
- 1: リモートデスクトップは制限されたネットワークを通じてのみアクセス可能です。 VPN または厳密にスコープされたホワイトリスト。
- 2: ゲートウェイまたはポータルはインターネットに接続されていますが、ポリシーはアプリ、グループ、または地域によって一貫していません。
- 3: 直接的な露出が存在します(一般的な例には、オープンRDP、忘れられたNATルール、許可されたクラウドセキュリティグループが含まれます)。
混合不動産に関する実用的な注意事項:
露出面はRDP、VDIゲートウェイ、HTML5ポータルおよびリモートサポートコンソールに適用されます。それらのいずれかが公の入り口であれば、攻撃者はそれを見つけるでしょう。
柱2:アイデンティティサーフェス
アイデンティティサーフェスは、攻撃者が有効なユーザーになることがどれだけ容易であるかを示しています。Cloudflareは強調しています。 パスワードの再利用と管理されていない資格情報 リモートアクセスシナリオにおける資格情報詰め込みとブルートフォースの主要な要因として。
スコアガイダンス:
- 0: MFAが必要で、特権アカウントは分離され、従来の認証は許可されていません。
- 1: MFAは存在しますが、すべての場所にはありません。「サーバーが1台だけ」や「ベンダーが1社だけ」の例外があります。
- 2: パスワードは、一部のリモートデスクトップパスや共有管理者のアイデンティティに対する主要な制御です。
- 3: インターネットに接続されたログインはパスワードのみに依存するか、ローカルアカウントがサーバー全体で広く使用されます。
実用的なメモ:
アイデンティティは、リモートデスクトップのセキュリティが最初に失敗する場所です。攻撃者は、認証が簡単であれば、エクスプロイトを必要としません。
柱3: 認可の範囲
認証サーフェスは、有効なユーザーが到達できる場所とそのタイミングを示します。多くの環境は、誰がログインできるかに焦点を当てますが、誰が何にログインできるか、どこから、どの時間帯にログインできるかを見落としています。
スコアガイダンス:
- 0: アプリまたはデスクトップごとに明示的なグループを使用して最小特権アクセスが強制され、さらに別の管理者パスがあります。
- 1: グループは存在しますが、運用上簡単であるためアクセスは広範です。
- 2: ユーザーはあまりにも多くのサーバーやデスクトップにアクセスできます; 時間制限とソース制限が一貫していません。
- 3: 認証されたユーザーはコアシステムにアクセスでき、管理者は管理されていないエンドポイントからどこでもRDPできます。
実用的なメモ:
認証は、中堅市場のミックスを最もよく支える柱でもあります。Windows、macOS、契約者、第三者のベンダーがすべてアクセスを必要とする場合、詳細な認証が1つの有効なログインが全体のアクセスに変わるのを防ぐ制御となります。
柱4: セッションとエンドポイントの表面
セッションサーフェスは、リモートセッションが開始された後にできることです。 エンドポイントサーフェス 接続デバイスが付与されたアクセスに対して十分に信頼されているかどうかです。
スコアガイダンス:
- 0: 特権アクセスには、強化された管理ワークステーションまたはジャンプホストが必要です。高リスクセッション機能は、必要に応じて制限されます。
- 1: セッションコントロールは存在しますが、データの機密性に合わせて調整されていません。
- 2: エンドポイントは、同じセッション機能を持つ管理されたものと管理されていないものの混合です。
- 3: 高権限のリモートデスクトップアクセスは、最小限の制限で任意のデバイスから許可されています。
実用的なメモ:
この柱は、特にブラウザベースのアクセスに関連しています。HTML5ポータルはOSの摩擦を取り除き、オンボーディングを簡素化しますが、アクセスを広く許可することも容易にします。ポリシーの問題は「どのユーザーがどのリソースにブラウザアクセスを得るか」となります。
柱5:オペレーションサーフェス
運用面は、弱点がどれだけ長く残るかを決定するメンテナンス姿勢です。これは検出エンジニアリングではありません。これは予防の現実です:パッチ適用と構成のずれが遅い場合、露出が戻ります。
スコアガイダンス:
- 0: リモートアクセスコンポーネントは迅速にパッチが適用され、構成はバージョン管理され、アクセスレビューは予定通りに行われます。
- 1: サーバーにはパッチ適用が良いですが、ゲートウェイ、プラグイン、またはサポートサービスには弱いです。
- 2: ドリフトが存在し、例外が蓄積され、レガシーエンドポイントが残ります。
- 3: 所有権が不明であり、リモートアクセスの変更がエンドツーエンドで追跡されていません。
実用的なメモ:
オペレーションの表面は、中堅市場の複雑さが最も顕著に現れる場所です。適切に管理されない場合、複数のチームと複数のツールがギャップを生み出し、攻撃者が忍耐強くそれを悪用することができます。
得点から保護行動に移るにはどうすればよいですか?
スコアは、次に何が行われるかを変える場合にのみ有用です。合計を使用して、変更の可能性のあるシナリオを選択します。目標は、リスクを最小限に抑えるために露出を減らすことを忘れないでください。
- 0–4(低): ドリフトを検証し、残りの弱い柱を強化し、ツール間の一貫性を強化します。
- 5–9 (中): 露出とアイデンティティを優先し、その後に認可を厳格にします。
- 10–15 (高): 直接の露出を直ちに削除し、強力な認証を追加し、その後アクセス範囲を積極的に狭めます。
シナリオ 1: IT 管理者 RDP とエンドユーザー VDI
一般的なパターンは「管理者はRDPを使用し、ユーザーはVDIを使用する」です。攻撃経路は通常、最も弱いアイデンティティまたは最も露出した管理者経路を通じて行われ、VDI製品自体を通じてではありません。
優先修正:
- 管理者パスへの露出を最初に減らし、エンドユーザーのアクセスがそのままであっても。
- 特権アカウントの分離を強制し、 MFA 一貫して。
- 管理者のインタラクティブログオンを受け入れるホストを制限します。
注意:
このシナリオは、同じプラットフォームが両方を持っている場合でも、管理者アクセスを別の製品として、別のポリシーで扱うことから利益を得ます。
シナリオ 2: 請負業者と BYOD の HTML5 経由
ブラウザベースのアクセスは、混合OS環境において便利な架け橋です。リスクは「簡単なアクセス」が「広範なアクセス」になることです。
優先修正:
- 使用する HTML5ポータル 制御されたフロントドアとして、単なるゲートウェイではありません。
- 契約者のために可能な限りフルデスクトップではなく特定のアプリケーションを公開します。
- 時間制限とグループベースの割り当てを使用して、ウィンドウが閉じると契約者のアクセスが自動的に終了するようにします。
注意:
TSplus Remote Accessは、ユーザーがカスタマイズ可能なウェブポータルを通じてログインし、ブラウザ内でフルデスクトップまたは公開アプリケーションにアクセスするHTML5クライアントモデルを説明しています。ブラウザベースのログインプロセスの厳重なセキュリティに貢献するために、シングルサインオンと多要素認証を推奨します。
シナリオ 3: 同一エステート内のリモートサポートツール
リモートサポートツールは「ヘルプデスク用」であり「生産用」ではないため、しばしば見落とされがちです。攻撃者は気にしません。サポートツールが無人アクセスを作成したり、特権を昇格させたりできる場合、それはリモートデスクトップ攻撃面の一部となります。
優先修正:
- ヘルプデスク機能を管理者機能から分離します。
- 明示的なグループと承認されたエンドポイントへの無人アクセスを制限します。
- 企業のアイデンティティとMFAに可能な限りサポートツールの認証を合わせる。
注意:
サンプルとして、支援に関連する問題を避けるために、TSplus Remote Supportは自己ホスティングされており、招待はホストからサポートエージェントに生成され、ログインコードは毎回変更される一回限りの数字セットです。さらに、ホストによるアプリの単純な終了は接続を完全に切断します。
TSplus Remote Accessは「露出を減らす」パターンにどのように適合しますか?
ソフトウェア製品主導のセキュリティ
予防計画において、TSplus Remote Accessは出版および配信パターンとして適合します:ユーザーやグループがどのように接続し、何にアクセスできるか、またいつどのデバイスから接続するかを標準化または差別化できるため、リモートアクセスはアドホックではなくポリシー主導になります。
TSplus Advanced Securityは、アプリケーションサーバーを保護するために構築されており、偶然に任せることはありません。インストールされた瞬間から、既知の悪意のあるIPがブロックされ、動作を開始します。その後、慎重に選ばれた各機能がセキュリティの強化に寄与します。 サーバーとアプリケーションを保護する 、したがって各デスクトップ。
接続モードはポリシーの選択肢(RDP、RemoteApp、HTML5…)です
接続モードが「単なるUX」として扱われると、セキュリティの決定が見落とされます。TSplus Remote Accessには、RDPクライアント、RemoteAppクライアント、HTML5クライアントという3つのよく知られた接続モードがあり、それぞれ異なる配信体験にマッピングされています。私たちのクイックスタートガイドは、クラシックなリモートデスクトップ接続、ポータブルTSplus RDPクライアント、MS RemoteAppクライアント、さらにウェブポータルを通じてのWindowsおよびHTML5クライアントを含む柔軟なオプションのリストを拡張しています。
予防策として:
接続モードは、一貫性を強化する際にリスクを軽減することができます。
- RDPクライアントアクセスは、管理者のワークフローのために内部に留まり、エンドユーザーは公開されたアプリを使用できます。
- RemoteAppは、1つのアプリケーションのみが必要なユーザーに対して「フルデスクトップの露出」を減らします。
- HTML5は脆弱なエンドポイントの前提条件を置き換えることができ、即興のものが多数ある代わりに、1つの制御された入り口を強化するのに役立ちます。
TSplus Advanced Securityの「guard RDP」進行中
リスクスコアは通常、同じ主要な問題点を特定します:インターネットのノイズ、繰り返される認証情報の試行、およびサーバー間の不一致なアクセスパターンです。ここで、TSplus Advanced Securityはリモートデスクトップ環境のためのガードレール層として位置付けられています。 ランサムウェアに特化した保護 および当社の製品、ドキュメント、またはブログページで説明されているセッション強化テーマ。
リスクスコアモデルでは、Advanced Securityは予防の「可能性を減らす」部分をサポートします。
- 資格情報の悪用の試みを妨げ、パスワードの推測が常にバックグラウンドに残らないようにします。
- IPと地理ルールでアクセスパスを制限する、公共の玄関が避けられない場合。
- 保護優先のコントロールを追加して、単一のログインがランサムウェアの影響を受ける可能性を減らします。
結論:予防は十分でしょうか?
リスクスコアリングは、侵害の可能性を減少させます。特に、資格情報がフィッシングやインフォスティーラーによって盗まれる可能性のある混合環境では、安全を保証するものではありません。だからこそ、検出と対応の計画が依然として重要です。5つの柱をスコアリングし、最も弱い部分を修正し、その後、リモートアクセスが例外の山ではなく、制御されたサービスになるまで再スコアリングを行います。
一般的に、一貫性を目指してください。アクセスパスを標準化し、エンドポイントの障壁を広げることなくHTML5を使用し、各グループが必要とするものだけを明確な時間枠で公開してください。
上記のように、Remote Accessはアクセスを構造化し、公開しますが Advanced Security そのアクセスの背後にあるサーバーを、周辺を攻撃する者から守ります。問題は、攻撃者がいるかどうかではありません。むしろ、「あなたの周辺はどれだけ守られていますか?」ということです。
さらなる読書とアクション:
その観点から、次のレイヤーを求めるチームにとって、RDP主導のランサムウェア侵入に焦点を当てた当社の検出エンジニアリングガイドは興味深いものとなるでしょう。それは高信号パターンを指摘し、" 最初の30〜60分に何をすべきか .” 予防モデルが実装されると、優れたフォローアップが行われ、インフラストラクチャのセキュリティのためにAdvanced Securityやその他のTSplusソフトウェア設定を最大化するためのアイデアも提供できます。
TSplus リモートアクセス 無料トライアル
デスクトップ/アプリアクセスのための究極のCitrix/RDS代替。安全で、コスト効果が高く、オンプレミス/クラウド
よくある質問:
リモートデスクトップは、ソフトウェアが「安全」であってもハッキングされる可能性がありますか?
はい。ほとんどの侵害は、ソフトウェアの脆弱性を通じてではなく、露出したアクセス経路や弱いアイデンティティを通じて発生します。リモートデスクトップは、資格情報が取得された後に使用されることが多いチャネルです。
RDPは本質的に安全ではないのですか?
RDPは本質的に安全ではありませんが、RDPはインターネットにアクセス可能で、主にパスワードによって保護されている場合、高リスクになります。ポートターゲティングと弱い認証は一般的な要因です。
HTML5リモートデスクトップポータルはハッキングリスクを減少させますか?
それは、単一の制御された玄関の背後にアクセスを集中させ、一貫した認証と承認を持つ場合に可能です。厳格なポリシーなしで広範なアクセスを容易に付与する場合、リスクが増加します。
リモートデスクトップのハッキングリスクを減らす最も迅速な方法は何ですか?
まず露出を減らし、その後アイデンティティを強化します。リモートデスクトップのパスが公開されていて、パスワードベースの場合、環境は「最終的に侵害される」と見なすべきです。
混合環境で最初に何を修正すべきかをどうやって知ることができますか?
リスクスコアを使用して、最初に最も高いピラーを修正します。ほとんどの環境では、露出とアイデンティティが1時間あたりのリスク低下を最大にします。
)
)
)
