Можно ли взломать удаленный рабочий стол? Практический риск-оценка для предотвращения

Удаленный доступ к рабочему столу может быть взломан, но большинство инцидентов не являются голливудскими эксплойтами. Большинство инцидентов являются предсказуемыми последствиями открытых сервисов, повторно используемых учетных данных и чрезмерно широкого доступа. Этот гид предоставляет ИТ-командам инструмент, не зависящий от конкретного программного обеспечения, для оценки рисков, который применим к RDP, HTML5 порталам, VDI и инструментам удаленной поддержки, а затем сопоставляет оценку с приоритетными исправлениями.

Что означает "взломанный" для инструментов удаленного рабочего стола?

Удаленный рабочий стол не является одним продуктом. Удаленный рабочий стол представляет собой набор путей доступа, которые могут включать Microsoft Remote Desktop Protocol (RDP), службы удаленного рабочего стола, VDI, такие как Azure Virtual Desktop, браузерные порталы, которые проксируют сессию, и инструменты удаленной поддержки, которые создают соединения по запросу.

В отчетах об инцидентах фраза "удаленный рабочий стол был взломан" обычно означает один из следующих результатов:

• Захват учетной записи: атакующий входит в систему нормально, используя украденные или угаданные учетные данные.
• Злоупотребление путем доступа: открытый шлюз, открытый порт, слабая политика или неправильная конфигурация упрощают несанкционированный доступ.
• После входа в систему: атакующий использует законные возможности сессии для перемещения по сети, эксфильтрации данных или развертывания программ-вымогателей.

Это различие имеет значение, потому что предотвращение сводится к снижению вероятности успешного входа и ограничению того, что может сделать вход.

Почему целятся в удаленный рабочий стол?

Удаленный доступ к рабочему столу привлекателен, потому что он интерактивен и по своей сути имеет высокий уровень привилегий. RDP является распространенным, широко поддерживаемым и часто доступным через TCP-порт 3389, что делает его легким для сканирования и нацеливания. Vectra подводит итог основная проблема распространенность RDP и уровень доступа, который он предоставляет, делают его частой целью, когда он не управляется должным образом.

Cloudflare выделяет те же риски с двумя повторяющимися уязвимостями: слабая аутентификация и неограниченный доступ к портам, которые объединяются в возможности для брутфорса и кражи учетных данных, когда RDP открыт.

Реальность среднего рынка также увеличивает риски. Гибридная работа, доступ поставщиков, слияния и распределенные ИТ-операции создают "расползание доступа". Удаленный доступ расширяется быстрее, чем политика и мониторинг, и злоумышленники предпочитают этот разрыв.

Каков риск-оценка хакерской атаки на удаленный рабочий стол (RDRS)?

Оценка риска взлома удаленного рабочего стола (RDRS) — это быстрая модель на этапе проектирования. Цель не в том, чтобы заменить аудит безопасности. Цель состоит в том, чтобы оценить факторы риска, чтобы команда ИТ могла внести три изменения, каждое из которых быстро снижает вероятность компрометации.

Оцените каждый столп от 0 до 3. Сложите их для общего результата из 15.

• 0: сильный контроль, низкий практический риск
• 1: в основном контролируемый, незначительные пробелы
• 2: частичный контроль, существует реалистичный путь атаки
• 3: высокий риск, вероятно, будет использован со временем

Столбец 1: Поверхность воздействия

Поверхность воздействия — это то, что злоумышленник может достичь снаружи. Наивысший риск по-прежнему представляет собой «непосредственно доступные службы удаленного рабочего стола» с минимальным контролем на входе.

Руководство по оценке:

1. 0: удаленный рабочий стол недоступен через интернет; доступ осуществляется через контролируемые пути.
2. 1: удаленный рабочий стол доступен только через ограниченные сети, VPN или строго определенные белые списки.
3. 2: шлюз или портал обращен к интернету, но политики непоследовательны в разных приложениях, группах или регионах.
4. 3: прямое воздействие существует (распространенные примеры включают открытый RDP, забытые правила NAT, разрешительные группы безопасности в облаке).

Практическое примечание для смешанных владений:

Поверхность воздействия относится к RDP, VDI шлюзам, HTML5 порталам и консолям удаленной поддержки. Если хотя бы один из них является публичной дверью, злоумышленники найдут его.

Столп 2: Поверхность идентичности

Идентификационная поверхность — это то, насколько легко злоумышленнику стать действительным пользователем. Cloudflare подчеркивает повторное использование паролей и неуправляемые учетные данные как ключевые факторы для кражи учетных данных и атак методом перебора в сценариях удаленного доступа.

Руководство по оценке:

• 0: MFA требуется, привилегированные учетные записи разделены, а устаревшая аутентификация не допускается.
• 1: MFA существует, но не везде, есть исключения для "только одного сервера" или "только одного поставщика".
• 2: пароли являются основным контролем для некоторых путей удаленного рабочего стола или общих администраторских учетных записей.
• 3: вход с интернет-стороны зависит только от паролей, или локальные учетные записи широко используются на серверах.

Практическое примечание:

Идентификация — это то место, где безопасность удаленного рабочего стола обычно терпит неудачу в первую очередь. Злоумышленникам не нужен эксплойт, если аутентификация проста.

Столп 3: Поверхность авторизации

Поверхность авторизации — это то, к чему может получить доступ действительный пользователь и когда. Многие среды сосредотачиваются на том, кто может войти в систему, но пропускают, кто может войти в систему, к чему, откуда и в какой временной интервал.

Руководство по оценке:

• 0: доступ с наименьшими привилегиями обеспечивается с помощью явных групп для каждого приложения или рабочего стола, а также отдельных путей для администраторов.
• 1: группы существуют, но доступ широк, потому что это проще с точки зрения операций.
• 2: пользователи могут получить доступ к слишком многим серверам или рабочим столам; временные ограничения и ограничения по источникам непоследовательны.
• 3: любой аутентифицированный пользователь может получить доступ к основным системам, или администраторы могут подключаться по RDP от неуправляемых конечных устройств.

Практическое примечание:

Авторизация также является основой, которая лучше всего поддерживает смешанный рынок среднего сегмента. Когда Windows, macOS, подрядчики и сторонние поставщики нуждаются в доступе, детализированная авторизация является контролем, который предотвращает превращение одного действительного входа в доступ ко всему имуществу.

Столбец 4: Поверхность сеанса и конечной точки

Сессионная поверхность — это то, что удаленная сессия может делать после ее начала. Поверхность конечной точки является ли подключаемое устройство достаточно доверенным для предоставленного доступа.

Руководство по оценке:

• 0: привилегированный доступ требует защищенных рабочих станций администратора или промежуточных хостов; функции сессий высокого риска ограничены по мере необходимости.
• 1: Существуют элементы управления сессией, но они не соответствуют чувствительности данных.
• 2: конечные точки представляют собой смесь управляемых и неуправляемых с одинаковыми возможностями сессий.
• 3: доступ к удаленному рабочему столу с высокими привилегиями разрешен с любого устройства с минимальными ограничениями.

Практическое примечание:

Этот аспект особенно актуален для доступа через браузер. Порталы HTML5 устраняют проблемы с ОС и упрощают процесс подключения, но также облегчают предоставление широкого доступа. Вопрос политики становится: "каким пользователям предоставляется доступ к каким ресурсам через браузер".

Столбец 5: Поверхность операций

Операционная поверхность — это состояние обслуживания, которое определяет, как долго уязвимости остаются в силе. Это не инженерия обнаружения. Это реальность предотвращения: если обновления и отклонения в конфигурации происходят медленно, уязвимость возвращается.

Руководство по оценке:

• 0: компоненты удаленного доступа быстро обновляются; конфигурация версионируется; проверки доступа происходят по расписанию.
• 1: Патчинг хорош для серверов, но слаб для шлюзов, плагинов или вспомогательных служб.
• 2: дрифт существует; исключения накапливаются; устаревшие конечные точки остаются.
• 3: неясно, кто является владельцем, и изменения удаленного доступа не отслеживаются от начала до конца.

Практическое примечание:

Операционная поверхность — это место, где сложность среднего рынка проявляется наиболее ярко. Если не управлять ею должным образом, несколько команд и несколько инструментов создают пробелы, которые злоумышленники могут терпеливо использовать.

Как перейти от оценки к защитным действиям?

Оценка полезна только в том случае, если она изменяет то, что будет сделано дальше. Используйте общий балл, чтобы выбрать потенциальный сценарий для изменений. Помните, цель состоит в том, чтобы уменьшить воздействие с целью минимизации риска.

• 0–4 (Низкий): проверить отклонение, укрепить оставляющийся слабый столб, и обеспечить согласованность между инструментами.
• 5–9 (Средний): приоритизируйте сначала экспозицию и идентичность, затем ужесточите авторизацию.
• 10–15 (Высокий): немедленно устраните прямое воздействие, добавьте сильную аутентификацию, затем агрессивно сократите объем доступа.

Сценарий 1: ИТ-администратор RDP плюс конечный пользователь VDI

Распространенная схема: «администраторы используют RDP, пользователи используют VDI». Путь атаки обычно проходит через самую слабую идентичность или наиболее уязвимый путь администратора, а не через сам продукт VDI.

Приоритетные исправления:

1. Сначала уменьшите доступ для администраторских путей, даже если доступ конечного пользователя останется прежним.
2. Обеспечьте разделение привилегированных учетных записей и МФА последовательно.
3. Ограничить, какие хосты принимают интерактивные входы администратора.

Примечание:

Этот сценарий выигрывает от того, что администраторский доступ рассматривается как отдельный продукт с отдельной политикой, даже если одна и та же платформа включает оба.

Сценарий 2: Подрядчики и BYOD через HTML5

Доступ через браузер является полезным мостом в смешанных ОС-средах. Риск заключается в том, что "легкий доступ" становится "широким доступом".

Приоритетные исправления:

• Используйте HTML5 портал в качестве контролируемой входной двери, а не универсального шлюза.
• Публикуйте конкретные приложения для подрядчиков вместо полных рабочих столов, когда это возможно.
• Используйте временные ограничения и групповую привязку, чтобы доступ подрядчика автоматически прекращался, когда окно закрывается.

Примечание:

TSplus Remote Access описывает модель клиента HTML5, где пользователи входят через настраиваемый веб-портал и получают доступ к полному рабочему столу или опубликованным приложениям внутри браузера. Мы рекомендуем использовать единую точку входа и многофакторную аутентификацию для повышения безопасности процесса входа в систему через браузер.

Сценарий 3: Инструменты удаленной поддержки в одном поместье

Инструменты удаленной поддержки часто остаются незамеченными, потому что они предназначены «для службы поддержки», а не «для производства». Нападающим все равно. Если инструмент поддержки может создать несанкционированный доступ или повысить привилегии, он становится частью поверхности атаки удаленного рабочего стола.

Приоритетные исправления:

• Отделите возможности службы поддержки от возможностей администратора.
• Ограничьте несанкционированный доступ к определенным группам и одобренным конечным точкам.
• Согласуйте аутентификацию инструмента поддержки с корпоративной идентичностью и MFA, где это возможно.

Примечание:

В качестве примера, чтобы избежать проблем, связанных с поддержкой, TSplus Remote Support размещается на собственном сервере, приглашения генерируются хостом для агента поддержки, а коды входа представляют собой одноразовые наборы цифр, которые меняются каждый раз. Более того, простое закрытие приложения хостом полностью разрывает соединение.

Где TSplus Remote Access вписывается в модель "Снижение воздействия"?

Безопасность, основанная на программном обеспечении

В планировании предотвращения TSplus Remote Access подходит как модель публикации и доставки: он может стандартизировать или дифференцировать, как пользователи и группы подключаются и к чему они могут получить доступ, а также когда и с какого устройства, так что удаленный доступ становится управляемым политикой, а не произвольным.

TSplus Advanced Security создан для защиты серверов приложений и не оставляет ничего на волю случая. С момента установки известные вредоносные IP-адреса блокируются, как только он начинает работать. Каждая из тщательно выбранных функций затем способствует обеспечению безопасности и защита ваших серверов и приложений , и поэтому каждый рабочий стол.

Режимы подключения как выбор политики (RDP, RemoteApp, HTML5…)

Когда режимы подключения рассматриваются как «просто UX», решения по безопасности упускаются. TSplus Remote Access имеет три более известных режима подключения: RDP Client, RemoteApp Client и HTML5 Client, каждый из которых соответствует различному опыту доставки. Наше руководство по быстрому старту расширяет список гибких опций, который также включает классическое подключение к удаленному рабочему столу, портативный клиент TSplus RDP, клиент MS RemoteApp, а также клиенты Windows и HTML5 через веб-портал.

Предотвращение в стороне:

Режимы подключения могут снизить риск, когда они помогают обеспечить согласованность.

• Доступ к клиенту RDP может оставаться внутренним для администраторских рабочих процессов, в то время как конечные пользователи используют опубликованные приложения.
• RemoteApp снижает "полное воздействие рабочего стола" для пользователей, которым нужно только одно приложение.
• HTML5 может заменить хрупкие требования к конечным точкам, что помогает обеспечить один контролируемый вход вместо множества импровизированных.

TSplus Advanced Security в прогрессии "защита RDP"

Оценка риска обычно выявляет одни и те же основные проблемы: интернет-шум, повторяющиеся попытки входа и непоследовательные шаблоны доступа к серверам. Здесь TSplus Advanced Security занимает позицию защитного слоя для удаленных рабочих столов, включая защита, ориентированная на программное обеспечение-вымогатель и темы усиления сеансов, описанные в нашем продукте, документации или страницах блога.

В модели оценки риска Advanced Security поддерживает часть предотвращения «уменьшение вероятности»:

• Прекратите попытки злоупотребления учетными данными, чтобы угадывание паролей не оставалось постоянным фоном.
• Ограничьте пути доступа с помощью правил IP и географии, когда публичная входная дверь неизбежна.
• Добавьте контролы с приоритетом защиты, которые снижают вероятность того, что один вход в систему станет причиной воздействия программ-вымогателей.

Заключение: Будет ли достаточно профилактики?

Оценка рисков снижает вероятность компрометации. Она не гарантирует безопасность, особенно в смешанных средах, где учетные данные могут быть украдены с помощью фишинга или инфостилеров. Вот почему обнаружение и планирование реагирования по-прежнему важны. Оцените пять столпов, исправьте самый слабый в первую очередь, затем переоцените, пока удаленный доступ не станет контролируемой услугой, а не кучей исключений.

В общем, стремитесь к последовательности. Стандартизируйте пути доступа, используйте HTML5, где это устраняет барьеры на конечных устройствах без расширения объема, и публикуйте только то, что необходимо каждой группе, с четкими временными рамками.

Как видно выше, Remote Access структурирует и публикует доступ, в то время как Advanced Security защищает серверы за этим доступом от атакующих, которые давят на периметр. Вопрос не в том, будут ли атакующие. Скорее, это "насколько хорошо охраняется ваш периметр?".

Дополнительные материалы и действия:

С этой точки зрения, для команд, которые хотят следующий уровень, наше руководство по инженерии обнаружения, сосредоточенное на вторжениях программ-вымогателей, связанных с RDP, может быть интересно. Оно указывает на высокосигнальные паттерны и подробно останавливается на что делать в первые 30–60 минут Отличное последующее действие, как только модель предотвращения будет внедрена, она также может предоставить идеи для максимизации Advanced Security и других настроек программного обеспечения TSplus для безопасности вашей инфраструктуры.

Часто задаваемые вопросы:

Можно ли взломать удаленный рабочий стол, даже если программное обеспечение "безопасно"?

Да. Большинство компрометаций происходит через открытые пути доступа и слабую идентификацию, а не через уязвимость программного обеспечения. Удаленный рабочий стол часто является каналом, используемым после получения учетных данных.

Является ли RDP по своей сути небезопасным?

RDP не является по своей сути небезопасным, но RDP становится высоко рискованным, когда он доступен через интернет и защищен в основном паролями. Целевое нажатие на порты и слабая аутентификация являются распространенными факторами риска.

Снижает ли HTML5 портал удаленного рабочего стола риск взлома?

Это может быть, если оно централизует доступ за единой контролируемой входной дверью с последовательной аутентификацией и авторизацией. Это увеличивает риск, если оно упрощает предоставление широкого доступа без строгой политики.

Какой самый быстрый способ снизить риск взлома удаленного рабочего стола?

Сначала уменьшите уязвимость, затем укрепите идентичность. Если путь к удаленному рабочему столу доступен публично и основан на пароле, следует считать, что среда "в конечном итоге скомпрометирована".

Как я могу узнать, что исправить в первую очередь в смешанной среде?

Используйте риск-оценку, такую как RDRS, и сначала исправьте самый высокий столп. В большинстве сред Уязвимость и Идентичность обеспечивают наибольшее снижение риска за час работы.