Môže byť vzdialená plocha hacknutá? Praktické hodnotenie rizika na prevenciu

Prístup k vzdialenému desktopu môže byť hacknutý, ale väčšina incidentov nie sú hollywoodske exploity. Väčšina incidentov sú predvídateľné výsledky vystavených služieb, opakovane použiteľných poverení a príliš širokého prístupu. Tento sprievodca poskytuje IT tímom nástrojovo agnostické hodnotenie rizika, ktoré sa vzťahuje na RDP, HTML5 portály, VDI a nástroje vzdialenej podpory, a potom mapuje hodnotenie na prioritné opravy.

Čo znamená „Hacked“ pre nástroje vzdialenej plochy?

Remote desktop nie je jeden produkt. Remote desktop je súbor prístupových ciest, ktoré môžu zahŕňať Microsoft Remote Desktop Protocol (RDP), Remote Desktop Services, VDI ako Azure Virtual Desktop, webové portály, ktoré proxy session, a nástroje na vzdialenú podporu, ktoré vytvárajú pripojenia na požiadanie.

V incidentných správach „ďaleko pracovná plocha bola hacknutá“ zvyčajne znamená jeden z týchto výsledkov:

• Prevzatie účtu: útočník sa normálne prihlasuje pomocou ukradnutých alebo uhádnutých poverení.
• Zneužitie prístupovej cesty: exponovaný brána, otvorený port, slabá politika alebo nesprávna konfigurácia uľahčuje neoprávnený prístup.
• Po prihlásení poškodenie: útočník využíva legitímnu schopnosť relácie na bočné pohyby, exfiltráciu údajov alebo nasadenie ransomvéru.

Toto rozlíšenie je dôležité, pretože prevencia ide o zníženie šance na úspešné prihlásenie a obmedzenie toho, čo môže prihlásenie robiť.

Prečo je Remote Desktop terčom?

Prístup k vzdialenému desktopu je atraktívny, pretože je interaktívny a navrhnutý s vysokými oprávneniami. RDP je bežné, široko podporované a často dostupné cez TCP port 3389, čo uľahčuje skenovanie a cielenie. Vectra zhrňuje základný problém prevalencia RDP a úroveň prístupu, ktorú poskytuje, z neho robí častý cieľ, keď nie je správne spravovaný.

Cloudflare rámcuje rovnaké rizikové faktory s dvoma opakujúcimi sa slabinami: slabá autentifikácia a neobmedzený prístup na porty, ktoré sa kombinujú do príležitostí pre brutálne útoky a naplnenie poverení, keď je RDP vystavené.

Stredne trhová realita tiež zvyšuje riziko. Hybridná práca, prístup dodávateľov, fúzie a distribuované IT operácie vytvárajú „rozšírenie prístupu“. Remote access sa rozširuje rýchlejšie ako politika a monitorovanie, a útočníci uprednostňujú túto medzeru.

Aké je riziko skóre hackovania vzdialeného pracovného stola (RDRS)?

Rizikové skóre hackovania vzdialeného pracovného stola (RDRS) je rýchly model na úrovni návrhu. Cieľom nie je nahradiť bezpečnostný audit. Cieľom je zoradiť faktory rizika, aby tím IT mohol vykonať tri zmeny, ktoré rýchlo znižujú pravdepodobnosť kompromitácie.

Ohodnoťte každý pilier od 0 do 3. Sčítajte ich pre celkový výsledok z 15.

• 0: silná kontrola, nízke praktické riziko
• 1: väčšinou kontrolované, malé medzery
• 2: čiastočná kontrola, realistická cesta útoku existuje
• 3: vysoké riziko, pravdepodobne bude zneužité v priebehu času

Pilar 1: Povrch vystavenia

Plocha vystavenia sa týka toho, čo môže útočník dosiahnuť z vonku. Najrizikovejším vzorom sú stále „priamo prístupné služby vzdialeného pracovného stola“ s minimálnymi kontrolami na predných dverách.

Hodnotenie:

1. 0: Remote desktop nie je prístupný cez internet; prístup je sprostredkovaný cez kontrolované cesty.
2. 1: remote desktop je prístupný iba cez obmedzené siete, VPN alebo úzko definované povolené zoznamy.
3. 2: brána alebo portál je orientovaný na internet, ale politiky sú nekonzistentné naprieč aplikáciami, skupinami alebo regiónmi.
4. 3: existuje priame vystavenie (bežné príklady zahŕňajú otvorené RDP, zabudnuté pravidlá NAT, povolené skupiny zabezpečenia v cloude).

Praktická poznámka pre zmiešané nehnuteľnosti:

Plocha vystavenia sa vzťahuje na brány RDP, VDI, HTML5 portály a konzoly vzdialenej podpory. Ak je niektorá z nich verejným vchodom, útočníci ju nájdu.

Pilar 2: Povrch identity

Identita povrchu je, ako ľahké je pre útočníka stať sa platným používateľom. Cloudflare zdôrazňuje zneužívanie hesiel a neovládané poverenia ako kľúčové faktory pre napadanie poverení a hrubú silu v scenároch vzdialeného prístupu.

Hodnotenie:

• 0: MFA je povinné, privilegované účty sú oddelené a dedičná autentifikácia nie je povolená.
• 1: MFA existuje, ale nie všade, existujú výnimky pre „len jeden server“ alebo „len jedného dodávateľa“.
• 2: Heslá sú primárnou kontrolou pre niektoré cesty vzdialeného pracovného stola alebo existujúce zdieľané administrátorské identity.
• 3: Prihlásenie z internetu sa spolieha iba na heslá, alebo sa miestne účty široko používajú na serveroch.

Praktická poznámka:

Identita je miesto, kde bezpečnosť vzdialeného pracovného stola zvyčajne zlyháva ako prvé. Útočníci nepotrebujú zraniteľnosť, ak je autentifikácia jednoduchá.

Pilar 3: Povrch autorizácie

Autorizovaná plocha je to, čo môže platný používateľ dosiahnuť a kedy. Mnohé prostredia sa zameriavajú na to, kto sa môže prihlásiť, ale prehliadajú, kto sa môže prihlásiť na čo, odkiaľ a počas akého časového okna.

Hodnotenie:

• 0: prístup s minimálnymi oprávneniami je vynútený pomocou explicitných skupín pre aplikáciu alebo desktop, plus samostatné administrátorské cesty.
• 1: existujú skupiny, ale prístup je široký, pretože je to operatívne jednoduchšie.
• 2: užívatelia môžu dosiahnuť príliš veľa serverov alebo desktopov; časové obmedzenia a obmedzenia zdrojov sú nekonzistentné.
• 3: akýkoľvek autentifikovaný používateľ môže dosiahnuť základné systémy, alebo administrátori môžu RDP všade z neadministratívnych koncových bodov.

Praktická poznámka:

Autorizácia je tiež pilierom, ktorý najlepšie podporuje mix stredného trhu. Keď potrebujú prístup Windows, macOS, dodávatelia a tretie strany, podrobná autorizácia je kontrola, ktorá zabraňuje tomu, aby sa jedno platné prihlásenie stalo prístupom na celú nehnuteľnosť.

Pilar 4: Povrch relácie a koncových bodov

Plocha relácie je to, čo môže vzdialená relácia robiť, keď sa začne. Plocha koncových bodov je, či je pripojené zariadenie dostatočne dôveryhodné pre udelený prístup.

Hodnotenie:

• 0: Privilegovaný prístup vyžaduje zabezpečené administrátorské pracovné stanice alebo skokové hostiteľské systémy; funkcie relácií s vysokým rizikom sú obmedzené tam, kde je to potrebné.
• 1: Existujú ovládacie prvky relácie, ale nie sú prispôsobené citlivosti údajov.
• 2: koncové body sú kombináciou spravovaných a nespravovaných s rovnakými schopnosťami relácie.
• 3: Vysoko privilégiovaný prístup k vzdialenému desktopu je povolený z akéhokoľvek zariadenia s minimálnymi obmedzeniami.

Praktická poznámka:

Tento pilier je obzvlášť relevantný pre prístup založený na prehliadači. HTML5 portály odstraňujú trenie medzi operačnými systémami a zjednodušujú onboarding, ale tiež uľahčujú široké poskytovanie prístupu. Politická otázka sa stáva „ktorí používatelia získajú prístup k prehliadaču k ktorým zdrojom“.

Pillar 5: Prevádzkový povrch

Prevádzkový povrch je údržbový postoj, ktorý určuje, ako dlho slabiny zostávajú na mieste. Toto nie je inžinierstvo detekcie. Toto je realita prevencie: ak sú opravy a odchýlky v konfigurácii pomalé, vystavenie sa vracia.

Hodnotenie:

• 0: komponenty vzdialeného prístupu sú rýchlo opravené; konfigurácia je verzionovaná; kontroly prístupu sa vykonávajú podľa plánu.
• 1: Opravy sú dobré pre servery, ale slabé pre brány, pluginy alebo podporné služby.
• 2: drift existuje; výnimky sa hromadia; dedičné koncové body zostávajú.
• 3: vlastníctvo nie je jasné a zmeny v vzdialenom prístupe nie sú sledované od začiatku do konca.

Praktická poznámka:

Prevádzkový povrch je miesto, kde sa najviac prejavuje zložitost stredného trhu. Pokiaľ nie je správne spravovaný, viaceré tímy a viaceré nástroje vytvárajú medzery, ktoré útočníci môžu trpezlivo využiť.

Ako prejsť od hodnotenia k ochrannému opatreniu?

Skóre je užitočné iba vtedy, ak zmení to, čo sa robí ďalej. Použite celkový súčet na výber potenciálneho scenára na zmenu. Nezabudnite, že cieľom je znížiť vystavenie s cieľom minimalizovať riziko.

• 0–4 (Nízke): overiť odchýlku, posilniť zostávajúci slabý stĺp a zabezpečiť konzistenciu naprieč nástrojmi.
• 5–9 (Stredné): uprednostniť expozíciu a identitu najprv, potom sprísniť autorizáciu.
• 10–15 (Vysoké): odstrániť priamu expozíciu okamžite, pridať silnú autentifikáciu, potom agresívne zúžiť rozsah prístupu.

Scenár 1: IT administrátor RDP plus koncový používateľ VDI

Bežný vzor je „administrátori používajú RDP, používatelia používajú VDI.“ Útoková cesta zvyčajne vedie cez najslabšiu identitu alebo najexponovanejšiu administrátorskú cestu, nie cez samotný produkt VDI.

Prioritné opravy:

1. Znížte vystavenie administrátorským cestám najprv, aj keď prístup koncového používateľa zostáva nezmenený.
2. Vynútiť oddelenie privilegovaných účtov a MFA konzistentne.
3. Obmedziť, ktoré hostiteľské počítače akceptujú interaktívne prihlásenia administrátora.

Poznámka:

Tento scenár ťaží z toho, že sa administrátorský prístup považuje za samostatný produkt so samostatnou politikou, aj keď tá istá platforma obsahuje oboje.

Scenár 2: Dodávatelia a BYOD cez HTML5

Prístup založený na prehliadači je užitočný most v zmiešaných prostrediach operačných systémov. Riziko spočíva v tom, že „jednoduchý prístup“ sa stáva „širokým prístupom.“

Prioritné opravy:

• Použite HTML5 portál ako kontrolované predné dvere, nie ako všeobecná brána.
• Zverejnite konkrétne aplikácie pre dodávateľov namiesto plných pracovných plôch, ak je to možné.
• Použite časové obmedzenia a priradenie na základe skupín, aby prístup dodávateľa automaticky skončil, keď sa okno zatvorí.

Poznámka:

TSplus Remote Access popisuje model klienta HTML5, kde sa používatelia prihlasujú prostredníctvom prispôsobiteľného webového portálu a získavajú prístup k plnej pracovnej ploche alebo publikovaným aplikáciám v prehliadači. Odporúčame jednorazové prihlásenie a viacfaktorovú autentifikáciu, aby sme prispeli k prísnej bezpečnosti procesu prihlásenia založeného na prehliadači.

Scenár 3: Nástroje vzdialenej podpory v rovnakom majetku

Nástroje na vzdialenú podporu sa často prehliadajú, pretože sú „pre helpdesk“, nie „pre produkciu“. Útočníci sa o to nestarajú. Ak nástroj na podporu dokáže vytvoriť nepretržitý prístup alebo zvýšiť oprávnenia, stáva sa súčasťou povrchu útoku na vzdialenú plochu.

Prioritné opravy:

• Oddelene funkcie helpdesku od administrátorských funkcií.
• Obmedziť nepretržitý prístup na explicitné skupiny a schválené koncové body.
• Zlaďte autentifikáciu nástroja podpory s podnikovou identitou a MFA, kde je to možné.

Poznámka:

Aby sa predišlo problémom súvisiacim s asistenciou, TSplus Remote Support je samo-hostovaný, pozvánky generuje hostiteľ pre agenta podpory a prihlasovacie kódy sú jednorazové digitálne sady, ktoré sa menia pri každom použití. Navyše, jednoduché zatvorenie aplikácie hostiteľom úplne prerušuje pripojenie.

Kde sa TSplus Remote Access hodí do vzoru „Znížiť vystavenie“?

Bezpečnosť riadená softvérovým produktom

Pri plánovaní prevencie sa TSplus Remote Access hodí ako vzor publikovania a dodávky: môže štandardizovať alebo diferencovať, ako sa používatelia a skupiny pripájajú a čo môžu dosiahnuť, ako aj kedy a z ktorého zariadenia, takže vzdialený prístup sa stáva riadeným politikou namiesto ad hoc.

TSplus Advanced Security je navrhnutý na ochranu aplikačných serverov a nenecháva nič na náhodu. Od momentu, keď je nainštalovaný, sú známe škodlivé IP adresy zablokované, keď začne pracovať. Každá z jeho starostlivo vybraných funkcií potom prispieva k zabezpečeniu a ochrana vašich serverov a aplikácií a preto každý desktop.

Režimy pripojenia ako voľby politiky (RDP, RemoteApp, HTML5…)

Keď sú režimy pripojenia považované za „pouhý UX“, bezpečnostné rozhodnutia sa prehliadajú. TSplus Remote Access má tri známejšie režimy pripojenia: RDP klient, RemoteApp klient a HTML5 klient, pričom každý z nich zodpovedá inej skúsenosti s dodávkou. Naša rýchla príručka rozširuje zoznam flexibilných možností, ktorý zahŕňa aj klasické pripojenie k vzdialenej pracovnej ploche, prenosný TSplus RDP klient, MS RemoteApp klient, plus Windows a HTML5 klientov prostredníctvom webového portálu.

Prevencia na strane:

Režimy pripojenia môžu znížiť riziko, keď pomáhajú zabezpečiť konzistenciu.

• RDP klientský prístup môže zostať interný pre administratívne pracovné toky, zatiaľ čo koncoví používatelia používajú publikované aplikácie.
• RemoteApp znižuje „expozíciu plnej plochy“ pre používateľov, ktorí potrebujú iba jednu aplikáciu.
• HTML5 môže nahradiť krehké požiadavky na koncové body, čo pomáha presadiť jeden kontrolovaný vstup namiesto mnohých improvizovaných.

TSplus Advanced Security v postupe „guard RDP“

Rizikové skóre zvyčajne identifikuje rovnaké hlavné problémy: internetový šum, opakované pokusy o prihlásenie a nekonzistentné vzory prístupu naprieč servermi. Tu je TSplus Advanced Security umiestnený ako ochranná vrstva pre prostredia vzdialených desktopov, vrátane ochrana zameraná na ransomware a témy zamerané na zabezpečenie relácií, ktoré sú popísané v našich produktoch, dokumentácii alebo blogových stránkach.

V modeli hodnotenia rizika podporuje Advanced Security časť prevencie „znižovanie pravdepodobnosti“:

• Zabráňte pokusom o zneužitie poverení, aby hádanie hesiel nezostalo trvalou súčasťou pozadia.
• Obmedzte prístupové cesty pomocou pravidiel IP a geografie, keď je verejný vstup nevyhnutný.
• Pridajte ochranné prvky, ktoré znižujú pravdepodobnosť, že sa jediné prihlásenie stane dopadom ransomvéru.

Záver: Bude prevencia dostatočná?

Hodnotenie rizika znižuje pravdepodobnosť kompromitácie. Nezaručuje bezpečnosť, najmä v zmiešaných prostrediach, kde môžu byť poverenia ukradnuté phishingom alebo infostealermi. Preto je plánovanie detekcie a reakcie stále dôležité. Ohodnoťte päť pilierov, najprv opravte najslabšie, potom znovu ohodnoťte, kým sa vzdialený prístup nestane kontrolovanou službou namiesto hromady výnimiek.

Vo všeobecnosti sa snažte o konzistenciu. Štandardizujte prístupové cesty, používajte HTML5 tam, kde odstraňuje prekážky na koncových bodoch bez rozširovania rozsahu, a publikujte iba to, čo každá skupina potrebuje s jasnými časovými oknami.

Ako je uvedené vyššie, Remote Access štruktúruje a zverejňuje prístup, zatiaľ čo Advanced Security bráni servery za týmto prístupom proti útočníkom, ktorí tlačia na perimetr. Otázka nie je, či budú útočníci. Skôr je to „ako dobre je váš perimetr chránený?“.

Ďalšie čítanie a akcie:

Na tento pohľad, pre tímy, ktoré chcú ďalšiu vrstvu, môže byť náš sprievodca detekčným inžinierstvom zameraný na útoky ransomvérom vedené RDP zaujímavý. Ukazuje na vzory s vysokým signálom a zaoberá sa “ čo robiť v prvých 30–60 minútach .” Skvelé sledovanie, akonáhle je model prevencie implementovaný, môže tiež poskytnúť nápady na maximalizáciu Advanced Security a ďalších nastavení softvéru TSplus pre zabezpečenie vašej infraštruktúry.

ČASTO KLADENÉ OTÁZKY:

Môže byť vzdialená plocha hacknutá, aj keď je softvér „bezpečný“?

Áno. Väčšina kompromisov sa deje prostredníctvom vystavených prístupových ciest a slabých identít, nie prostredníctvom zraniteľnosti softvéru. RDP je často kanál, ktorý sa používa po získaní poverení.

Je RDP inherentne nebezpečný?

RDP nie je inherentne nebezpečný, ale RDP sa stáva vysoko rizikovým, keď je prístupný cez internet a chránený hlavne heslami. Cielenie na porty a slabá autentifikácia sú bežné faktory.

Znižuje HTML5 portál vzdialenej plochy riziko hackovania?

Môže to, ak centralizuje prístup za jednými kontrolovanými dverami s konzistentnou autentifikáciou a autorizáciou. Zvyšuje to riziko, ak uľahčuje široký prístup bez prísnej politiky.

Aký je najrýchlejší spôsob, ako znížiť riziko hackovania vzdialeného pracovného stola?

Najprv znížte vystavenie, potom posilnite identitu. Ak je cesta k vzdialenému desktopu verejne prístupná a založená na hesle, prostredie by sa malo považovať za „nakoniec kompromitované“.

Ako zistím, čo opraviť ako prvé v zmiešanom prostredí?

Použite rizikový skóre ako RDRS a najprv opravte najvyšší pilier. Vo väčšine prostredí Expozícia a Identita produkujú najväčší pokles rizika na hodinu strávenú.