Bolehkah Remote Desktop Dihack? Skor Risiko Praktikal untuk Pencegahan

Akses desktop jauh boleh diretas, tetapi kebanyakan insiden bukanlah eksploitasi Hollywood. Kebanyakan insiden adalah hasil yang boleh diramalkan daripada perkhidmatan yang terdedah, kelayakan yang boleh digunakan semula dan akses yang terlalu luas. Panduan ini memberikan pasukan IT skor risiko yang tidak bergantung kepada alat yang digunakan yang terpakai kepada RDP, portal HTML5, VDI dan alat sokongan jauh, kemudian memetakan skor tersebut kepada pembetulan yang menjadi keutamaan.

Apa Maksud “Dihack” Untuk Alat Desktop Jauh?

Remote desktop bukan satu produk. Remote desktop adalah satu set laluan akses yang boleh termasuk Protokol Desktop Jauh Microsoft (RDP), Perkhidmatan Desktop Jauh, VDI seperti Azure Virtual Desktop, portal pelayar yang memproxy sesi, dan alat sokongan jauh yang mencipta sambungan atas permintaan.

Dalam laporan insiden, "desktop jauh telah diretas" biasanya bermaksud salah satu daripada hasil ini:

• Pengambilan akaun: seorang penyerang log masuk secara normal menggunakan kelayakan yang dicuri atau diteka.
• Penyalahgunaan laluan akses: pintu gerbang yang terdedah, port terbuka, polisi lemah atau konfigurasi yang salah memudahkan akses tanpa kebenaran.
• Kerosakan selepas log masuk: penyerang menggunakan kemampuan sesi yang sah untuk bergerak secara lateral, mengeksfiltrasi data, atau menyebarkan ransomware.

Perbezaan ini penting kerana pencegahan adalah mengenai mengurangkan peluang log masuk yang berjaya dan mengehadkan apa yang boleh dilakukan oleh log masuk.

Mengapa Remote Desktop menjadi sasaran?

Akses desktop jauh menarik kerana ia interaktif dan mempunyai hak istimewa tinggi secara reka bentuk. RDP adalah biasa, disokong secara meluas, dan sering boleh diakses melalui port TCP 3389, yang memudahkan untuk mengimbas dan menyasarkan. Vectra merumuskan masalah asas Kepopuleran RDP dan tahap akses yang diberikannya menjadikannya sasaran yang kerap apabila ia tidak diurus dengan betul.

Cloudflare membingkai pemandu risiko yang sama dengan dua kelemahan berulang: pengesahan yang lemah dan akses port yang tidak terhad, yang digabungkan menjadi peluang serangan brute force dan pengisian kelayakan apabila RDP terdedah.

Realiti pasaran pertengahan juga meningkatkan risiko. Kerja hibrid, akses vendor, penggabungan dan operasi IT yang teragih mencipta "penyebaran akses". Akses jauh berkembang lebih cepat daripada dasar dan pemantauan, dan penyerang lebih suka jurang itu.

Apa Itu Skor Risiko Hacking Desktop Jauh (RDRS)?

Skor Risiko Penggodaman Desktop Jauh (RDRS) adalah model cepat pada masa reka bentuk. Tujuannya bukan untuk menggantikan audit keselamatan. Tujuannya adalah untuk mengklasifikasikan pendorong risiko supaya pasukan IT dapat membuat tiga perubahan yang masing-masing mengurangkan kemungkinan kompromi dengan cepat.

Skor setiap tiang dari 0 hingga 3. Jumlahkan untuk total daripada 15.

• 0: pengawalan yang kuat, risiko praktikal yang rendah
• 1: kebanyakan terkawal, jurang kecil
• 2: kawalan separa, laluan serangan yang realistik wujud
• 3: risiko tinggi, kemungkinan akan dieksploitasi dari semasa ke semasa

Pillar 1: Permukaan pendedahan

Permukaan pendedahan adalah tentang apa yang dapat dicapai oleh penyerang dari luar. Corak risiko tertinggi masih "perkhidmatan desktop jauh yang boleh diakses secara langsung" dengan kawalan pintu depan yang minimum.

Panduan skor:

1. 0: desktop jauh tidak dapat diakses melalui internet; akses dikendalikan melalui laluan terkawal.
2. 1: desktop jauh hanya boleh diakses melalui rangkaian terhad, VPN atau senarai putih yang ketat.
3. 2: gerbang atau portal yang menghadap internet, tetapi polisi tidak konsisten di seluruh aplikasi, kumpulan atau kawasan.
4. 3: pendedahan langsung wujud (contoh umum termasuk RDP terbuka, peraturan NAT yang terlupa, kumpulan keselamatan awan yang terlalu membenarkan).

Nota praktikal untuk harta campuran:

Permukaan pendedahan terpakai untuk RDP, pintu gerbang VDI, portal HTML5 dan konsol sokongan jauh. Jika mana-mana satu daripada itu adalah pintu depan awam, penyerang akan menemuinya.

Pilar 2: Permukaan identiti

Permukaan identiti adalah seberapa mudah bagi penyerang untuk menjadi pengguna yang sah. Cloudflare menekankan penggunaan semula kata laluan dan kelayakan yang tidak diurus sebagai pemangkin utama untuk pengisian kelayakan dan serangan brute force dalam senario akses jauh.

Panduan skor:

• 0: MFA diperlukan, akaun istimewa dipisahkan dan pengesahan warisan tidak dibenarkan.
• 1: MFA wujud tetapi tidak di mana-mana, pengecualian wujud untuk "hanya satu pelayan" atau "hanya satu vendor".
• 2: kata laluan adalah kawalan utama untuk beberapa laluan desktop jauh atau identiti pentadbir bersama wujud.
• 3: log masuk yang terdedah kepada internet bergantung pada kata laluan sahaja, atau akaun tempatan digunakan secara meluas di seluruh pelayan.

Nota praktikal:

Identiti adalah di mana keselamatan desktop jauh biasanya gagal terlebih dahulu. Penyerang tidak memerlukan eksploitasi jika pengesahan mudah.

Pilar 3: Permukaan Kebenaran

Permukaan kebenaran adalah apa yang dibenarkan untuk dicapai oleh pengguna yang sah, dan bila. Banyak persekitaran memberi tumpuan kepada siapa yang boleh log masuk, tetapi mengabaikan siapa yang boleh log masuk ke apa, dari mana, dalam tempoh masa yang mana.

Panduan skor:

• 0: akses dengan hak minimum dikuatkuasakan dengan kumpulan eksplisit bagi setiap aplikasi atau desktop, ditambah laluan admin yang berasingan.
• 1: Kumpulan wujud, tetapi akses adalah luas kerana ia lebih mudah dari segi operasi.
• 2: pengguna boleh mengakses terlalu banyak pelayan atau desktop; sekatan masa dan sekatan sumber adalah tidak konsisten.
• 3: mana-mana pengguna yang disahkan boleh mengakses sistem teras, atau pentadbir boleh RDP ke mana-mana dari titik akhir yang tidak diurus.

Nota praktikal:

Otorisasi juga merupakan tiang yang paling menyokong campuran pasaran pertengahan. Apabila Windows, macOS, kontraktor dan vendor pihak ketiga semuanya memerlukan akses, otorisasi terperinci adalah kawalan yang menghalang satu log masuk yang sah daripada menjadi akses seluruh harta.

Pillar 4: Permukaan sesi dan titik akhir

Permukaan sesi adalah apa yang boleh dilakukan oleh sesi jauh setelah ia bermula. Permukaan titik akhir adalah sama ada peranti yang menyambung itu cukup dipercayai untuk akses yang diberikan.

Panduan skor:

• 0: akses istimewa memerlukan stesen kerja admin yang diperkukuh atau hos lompat; ciri sesi berisiko tinggi adalah terhad di mana perlu.
• 1: Kawalan sesi wujud tetapi tidak selaras dengan sensitiviti data.
• 2: endpoints adalah campuran antara yang diurus dan tidak diurus dengan kemampuan sesi yang sama.
• 3: akses desktop jauh dengan hak istimewa tinggi dibenarkan dari mana-mana peranti dengan sekatan minimum.

Nota praktikal:

Tiang ini sangat relevan untuk akses berasaskan pelayar. Portal HTML5 menghapuskan geseran OS dan memudahkan proses pengenalan, tetapi ia juga memudahkan untuk memberikan akses secara meluas. Soalan dasar menjadi "pengguna mana yang mendapat akses pelayar kepada sumber mana".

Pillar 5: Permukaan operasi

Permukaan operasi adalah postur penyelenggaraan yang menentukan berapa lama kelemahan tetap ada. Ini bukan rekayasa pengesanan. Ini adalah realiti pencegahan: jika penampalan dan penyimpangan konfigurasi perlahan, pendedahan kembali.

Panduan skor:

• 0: komponen akses jauh dipatch dengan cepat; konfigurasi diberi versi; tinjauan akses berlaku mengikut jadual.
• 1: Patching baik untuk pelayan tetapi lemah untuk pintu masuk, pemalam atau perkhidmatan sokongan.
• 2: drift wujud; pengecualian terkumpul; titik akhir warisan kekal.
• 3: pemilikan tidak jelas, dan perubahan akses jauh tidak direkodkan dari hujung ke hujung.

Nota praktikal:

Permukaan operasi adalah di mana kompleksiti pasaran pertengahan paling ketara. Kecuali diurus dengan betul, pelbagai pasukan dan pelbagai alat mencipta jurang yang boleh dieksploitasi oleh penyerang dengan sabar.

Bagaimana Anda Beralih Dari Penilaian Ke Tindakan Perlindungan?

Skor hanya berguna jika ia mengubah apa yang dilakukan seterusnya. Gunakan jumlah untuk memilih senario potensi untuk perubahan. Ingat, matlamatnya adalah untuk mengurangkan pendedahan bagi meminimumkan risiko.

• 0–4 (Rendah): sahkan drift, ketatkan tiang lemah yang tinggal, dan kuatkuasakan konsistensi di seluruh alat.
• 5–9 (Sederhana): utamakan pendedahan dan identiti terlebih dahulu, kemudian ketatkan pengesahan.
• 10–15 (Tinggi): hapus pendedahan langsung dengan segera, tambah pengesahan yang kuat, kemudian sempitkan skop akses dengan agresif.

Senario 1: Pentadbir IT RDP ditambah pengguna akhir VDI

Pola umum adalah "pentadbir menggunakan RDP, pengguna menggunakan VDI." Laluan serangan biasanya melalui identiti yang paling lemah atau laluan pentadbir yang paling terdedah, bukan melalui produk VDI itu sendiri.

Pembaikan keutamaan:

1. Kurangkan pendedahan untuk laluan admin terlebih dahulu, walaupun akses pengguna akhir kekal seperti sedia ada.
2. Tegakkan pemisahan akaun istimewa dan MFA secara konsisten.
3. Hadkan hos yang menerima log masuk interaktif pentadbir.

Nota:

Senario ini mendapat manfaat daripada menganggap akses admin sebagai produk berasingan dengan polisi berasingan, walaupun platform yang sama membawa kedua-duanya.

Senario 2: Kontraktor dan BYOD melalui HTML5

Akses berasaskan pelayar adalah jambatan berguna dalam persekitaran OS campuran. Risiko adalah bahawa "akses mudah" menjadi "akses luas."

Pembaikan keutamaan:

• Gunakan portal HTML5 sebagai pintu depan yang terkawal, bukan gerbang umum.
• Terbitkan aplikasi tertentu untuk kontraktor dan bukannya desktop penuh jika boleh.
• Gunakan sekatan masa dan penugasan berasaskan kumpulan supaya akses kontraktor berakhir secara automatik apabila tetingkap ditutup.

Nota:

TSplus Remote Access menerangkan model klien HTML5 di mana pengguna log masuk melalui portal web yang boleh disesuaikan dan mengakses desktop penuh atau aplikasi yang diterbitkan di dalam pelayar. Kami mengesyorkan penggunaan pengesahan satu kali dan pengesahan pelbagai faktor untuk menyumbang kepada keselamatan ketat proses log masuk berasaskan pelayar.

Senario 3: Alat sokongan jarak jauh dalam harta yang sama

Alat sokongan jarak jauh sering diabaikan kerana ia "untuk helpdesk," bukan "untuk pengeluaran." Penyerang tidak peduli. Jika alat sokongan boleh mencipta akses tanpa pengawasan atau meningkatkan hak, ia menjadi sebahagian daripada permukaan serangan desktop jarak jauh.

Pembaikan keutamaan:

• Pisahkan keupayaan helpdesk daripada keupayaan pentadbir.
• Hadkan akses tidak diawasi kepada kumpulan tertentu dan titik akhir yang diluluskan.
• Selaraskan pengesahan alat sokongan dengan identiti perusahaan dan MFA jika boleh.

Nota:

Sebagai contoh, untuk mengelakkan isu berkaitan bantuan, TSplus Remote Support dihoskan sendiri, jemputan dihasilkan oleh hos kepada ejen sokongan dan kod log masuk adalah set digit sekali guna yang berubah setiap kali. Lebih-lebih lagi, penutupan aplikasi oleh hos sepenuhnya memutuskan sambungan.

Di manakah TSplus Remote Access sesuai dengan corak "Mengurangkan Pendedahan"?

Keselamatan yang didorong oleh produk perisian

Dalam perancangan pencegahan, TSplus Remote Access sesuai sebagai pola penerbitan dan penghantaran: ia boleh menstandardkan atau membezakan cara pengguna dan kumpulan menyambung dan apa yang mereka boleh capai serta bila dan dari peranti mana, jadi akses jauh menjadi dipacu oleh dasar dan bukannya ad hoc.

TSplus Advanced Security dibina untuk melindungi pelayan aplikasi dan tidak membiarkan apa-apa kepada kebetulan. Dari saat ia dipasang, IP jahat yang diketahui disekat sebaik sahaja ia mula berfungsi. Setiap ciri yang dipilih dengan teliti kemudian menyumbang kepada pengukuhan dan melindungi pelayan dan aplikasi anda , dan oleh itu setiap desktop.

Mod penyambungan sebagai pilihan dasar (RDP, RemoteApp, HTML5…)

Apabila mod sambungan dianggap sebagai "UX semata-mata," keputusan keselamatan akan terlepas. TSplus Remote Access mempunyai tiga mod sambungan yang lebih dikenali: RDP Client, RemoteApp Client dan HTML5 Client, masing-masing memetakan kepada pengalaman penghantaran yang berbeza. Panduan Permulaan Pantas kami memperluas senarai pilihan fleksibel yang juga merangkumi Sambungan Desktop Jauh klasik, klien RDP TSplus mudah alih, klien MS RemoteApp, serta klien Windows dan HTML5 melalui portal web.

Pencegahan selain:

Modus sambungan boleh mengurangkan risiko apabila ia membantu menguatkuasakan konsistensi.

• Akses klien RDP boleh kekal dalaman untuk aliran kerja pentadbir sementara pengguna akhir menggunakan aplikasi yang diterbitkan.
• RemoteApp mengurangkan "pendedahan desktop penuh" bagi pengguna yang hanya memerlukan satu aplikasi.
• HTML5 boleh menggantikan prasyarat titik akhir yang rapuh, yang membantu menguatkuasakan satu pintu masuk terkawal daripada banyak pintu masuk yang diubah suai.

TSplus Advanced Security dalam kemajuan “guard RDP”

Skor risiko biasanya mengenal pasti titik kesakitan utama yang sama: bunyi internet, percubaan kelayakan yang berulang, dan corak akses yang tidak konsisten di seluruh pelayan. Inilah di mana TSplus Advanced Security diposisikan sebagai lapisan penghadang untuk persekitaran desktop jauh, termasuk perlindungan yang fokus kepada ransomware dan tema pengukuhan sesi yang diterangkan oleh produk, dokumentasi atau halaman blog kami.

Dalam model skor risiko, Advanced Security menyokong bahagian "mengurangkan kemungkinan" pencegahan:

• Mengganggu percubaan penyalahgunaan kelayakan supaya tekaan kata laluan tidak kekal sebagai sesuatu yang berterusan di latar belakang.
• Hadkan laluan akses dengan peraturan IP dan geografi apabila pintu depan awam tidak dapat dielakkan.
• Tambah kawalan protect-first yang mengurangkan kemungkinan satu log masuk menjadi impak ransomware.

Kesimpulan: Adakah Pencegahan Cukup?

Penilaian risiko mengurangkan kemungkinan kompromi. Ia tidak menjamin keselamatan, terutamanya di kawasan campuran di mana kelayakan boleh dicuri melalui phishing atau infostealers. Itulah sebabnya perancangan pengesanan dan respons masih penting. Skor lima tiang, perbaiki yang paling lemah dahulu, kemudian skor semula sehingga akses jauh menjadi perkhidmatan terkawal dan bukannya sekumpulan pengecualian.

Secara umum, sasarkan konsistensi. Standardkan laluan akses, gunakan HTML5 di mana ia menghapuskan halangan titik akhir tanpa memperluas skop, dan terbitkan hanya apa yang diperlukan oleh setiap kumpulan dengan jendela waktu yang jelas.

Seperti yang dilihat di atas, Remote Access menyusun dan menerbitkan akses sementara Advanced Security melindungi pelayan di belakang akses itu daripada penyerang yang menekan perimeter. Soalan bukanlah sama ada akan ada penyerang. Sebaliknya, ia adalah "sejauh mana perimeter anda dilindungi?".

Bacaan dan tindakan lanjut:

Untuk pandangan itu, bagi pasukan yang ingin lapisan seterusnya, panduan kejuruteraan pengesanan kami yang memfokuskan kepada pencerobohan ransomware yang dipimpin oleh RDP boleh menjadi menarik. Ia menunjukkan corak isyarat tinggi dan membincangkan “ apa yang perlu dilakukan dalam 30–60 minit pertama .” Susulan yang hebat setelah model pencegahan dilaksanakan, ia juga boleh memberikan idea untuk memaksimumkan Advanced Security dan tetapan perisian TSplus yang lain untuk keselamatan infrastruktur anda.

Soalan Lazim:

Bolehkah desktop jauh dihack walaupun perisian itu "selamat"?

Ya. Kebanyakan kompromi berlaku melalui laluan akses yang terdedah dan identiti yang lemah, bukan melalui eksploitasi perisian. Desktop jauh sering menjadi saluran yang digunakan selepas kelayakan diperoleh.

Adakah RDP secara semula jadi tidak selamat?

RDP tidak secara inheren tidak selamat, tetapi RDP menjadi berisiko tinggi apabila ia boleh diakses melalui internet dan dilindungi terutamanya oleh kata laluan. Sasaran port dan pengesahan yang lemah adalah pendorong yang biasa.

Adakah portal desktop jauh HTML5 mengurangkan risiko penggodaman?

Ia boleh, jika ia memusatkan akses di belakang satu pintu depan yang dikawal dengan pengesahan dan kebenaran yang konsisten. Ia meningkatkan risiko jika ia memudahkan pemberian akses yang luas tanpa dasar yang ketat.

Apakah cara terpantas untuk mengurangkan risiko penggodaman desktop jauh?

Kurangkan pendedahan terlebih dahulu, kemudian kukuhkan identiti. Jika laluan desktop jauh boleh diakses secara awam dan berasaskan kata laluan, persekitaran harus dianggap "akhirnya terjejas".

Bagaimana saya tahu apa yang perlu diperbaiki terlebih dahulu dalam persekitaran campuran?

Gunakan skor risiko seperti RDRS dan perbaiki tiang tertinggi terlebih dahulu. Dalam kebanyakan persekitaran, Pendedahan dan Identiti menghasilkan penurunan risiko terbesar per jam yang dibelanjakan.