)
)
การเข้าถึงเดสก์ท็อประยะไกลสามารถถูกแฮ็กได้ แต่เหตุการณ์ส่วนใหญ่ไม่ใช่การโจมตีแบบฮอลลีวูด เหตุการณ์ส่วนใหญ่เป็นผลลัพธ์ที่คาดเดาได้จากบริการที่เปิดเผย ข้อมูลประจำตัวที่นำกลับมาใช้ใหม่ และการเข้าถึงที่กว้างเกินไป คู่มือนี้ให้คะแนนความเสี่ยงที่ไม่ขึ้นกับเครื่องมือซึ่งใช้ได้กับ RDP, พอร์ทัล HTML5, VDI และเครื่องมือสนับสนุนระยะไกล จากนั้นจะทำการแมพคะแนนไปยังการแก้ไขที่มีความสำคัญสูงสุด
“ถูกแฮ็ก” หมายถึงอะไรสำหรับเครื่องมือ Remote Desktop?
Remote desktop ไม่ใช่ผลิตภัณฑ์เดียว Remote desktop เป็นชุดของเส้นทางการเข้าถึงที่สามารถรวมถึง Microsoft Remote Desktop Protocol (RDP), Remote Desktop Services, VDI เช่น Azure Virtual Desktop, พอร์ทัลเบราว์เซอร์ที่ทำหน้าที่เป็นพร็อกซีเซสชัน และเครื่องมือสนับสนุนระยะไกลที่สร้างการเชื่อมต่อตามความต้องการ
ในรายงานเหตุการณ์ “การเข้าถึงระยะไกลถูกแฮ็ก” มักหมายถึงผลลัพธ์หนึ่งในนี้:
- การเข้ายึดบัญชี: ผู้โจมตีเข้าสู่ระบบตามปกติด้วยข้อมูลรับรองที่ถูกขโมยหรือเดาได้
- การละเมิดเส้นทางการเข้าถึง: การเปิดเผยเกตเวย์, พอร์ตที่เปิด, นโยบายที่อ่อนแอหรือการกำหนดค่าที่ไม่ถูกต้องทำให้การเข้าถึงโดยไม่ได้รับอนุญาตง่ายขึ้น.
- ความเสียหหลังจากเข้าสู่ระบบ: ผู้โจมตีใช้ความสามารถในการเซสชันที่ถูกต้องตามกฎหมายเพื่อเคลื่อนที่ข้ามไปมา ขโมยข้อมูล หรือเผยแพร่แรนซัมแวร์
ความแตกต่างนี้มีความสำคัญเพราะ การป้องกัน เกี่ยวกับการลดโอกาสในการเข้าสู่ระบบที่สำเร็จและการจำกัดสิ่งที่การเข้าสู่ระบบสามารถทำได้
ทำไม Remote Desktop ถึงถูกโจมตี?
การเข้าถึงเดสก์ท็อประยะไกลนั้นน่าสนใจเพราะมันมีความโต้ตอบและมีสิทธิพิเศษสูงตามการออกแบบ RDP เป็นที่นิยม รองรับอย่างกว้างขวาง และมักจะเข้าถึงได้ผ่านพอร์ต TCP 3389 ซึ่งทำให้การสแกนและกำหนดเป้าหมายทำได้ง่าย Vectra สรุปว่า ปัญหาพื้นฐาน ความแพร่หลายของ RDP และระดับการเข้าถึงที่มันให้ทำให้มันเป็นเป้าหมายที่บ่อยครั้งเมื่อไม่ได้รับการจัดการอย่างเหมาะสม
Cloudflare กำหนดความเสี่ยงเดียวกันนี้ด้วยจุดอ่อนสองประการที่เกิดขึ้นซ้ำ: การตรวจสอบสิทธิ์ที่อ่อนแอและการเข้าถึงพอร์ตที่ไม่มีข้อจำกัด ซึ่งรวมกันเป็นโอกาสในการโจมตีแบบ brute force และการบรรจุข้อมูลประจำตัวเมื่อ RDP ถูกเปิดเผย.
ความเป็นจริงในตลาดกลางยังเพิ่มความเสี่ยง การทำงานแบบไฮบริด การเข้าถึงของผู้ขาย การควบรวมกิจการ และการดำเนินงานด้าน IT ที่กระจายตัวสร้าง “การเข้าถึงที่กว้างขวาง” การเข้าถึงระยะไกลขยายตัวเร็วกว่า นโยบายและการตรวจสอบ และผู้โจมตีชอบช่องว่างนั้น
ความเสี่ยงของการแฮ็ก Remote Desktop Score (RDRS) คืออะไร?
คะแนนความเสี่ยงจากการแฮ็ก Remote Desktop (RDRS) เป็นโมเดลที่รวดเร็วในช่วงการออกแบบ เป้าหมายไม่ใช่การแทนที่การตรวจสอบความปลอดภัย เป้าหมายคือการจัดอันดับปัจจัยเสี่ยงเพื่อให้ทีม IT สามารถทำการเปลี่ยนแปลงสามอย่างที่ลดความน่าจะเป็นของการถูกโจมตีได้อย่างรวดเร็ว
ให้คะแนนแต่ละเสาหลักจาก 0 ถึง 3 รวมคะแนนทั้งหมดเพื่อให้ได้คะแนนรวมสูงสุด 15 คะแนน
- 0: การควบคุมที่เข้มงวด ความเสี่ยงที่ปฏิบัติได้ต่ำ
- 1: ส่วนใหญ่ควบคุมได้, ช่องว่างเล็กน้อย
- 2: การควบคุมบางส่วน, เส้นทางการโจมตีที่สมจริงมีอยู่
- 3: ความเสี่ยงสูง, น่าจะถูกใช้ประโยชน์ในระยะยาว
เสาหลัก 1: พื้นที่การเปิดเผย
พื้นผิวการเปิดเผยเกี่ยวกับสิ่งที่ผู้โจมตีสามารถเข้าถึงจากภายนอก รูปแบบความเสี่ยงสูงสุดยังคงเป็น “บริการเดสก์ท็อประยะไกลที่เข้าถึงได้โดยตรง” โดยมีการควบคุมประตูหน้าที่น้อยที่สุด
แนวทางคะแนน:
- 0: การเข้าถึงเดสก์ท็อประยะไกลไม่สามารถเข้าถึงอินเทอร์เน็ตได้; การเข้าถึงจะถูกจัดการผ่านเส้นทางที่ควบคุม
- 1: การเข้าถึงเดสก์ท็อประยะไกลสามารถทำได้เฉพาะผ่านเครือข่ายที่จำกัดเท่านั้น VPN หรือรายการอนุญาตที่มีขอบเขตแน่นหนา
- 2: เกตเวย์หรือพอร์ทัลที่หันหน้าไปทางอินเทอร์เน็ต แต่มีนโยบายที่ไม่สอดคล้องกันระหว่างแอป กลุ่ม หรือภูมิภาค
- 3: การเปิดเผยโดยตรงมีอยู่ (ตัวอย่างทั่วไป ได้แก่ RDP ที่เปิดอยู่ กฎ NAT ที่ลืม และกลุ่มความปลอดภัยของคลาวด์ที่อนุญาต)
หมายเหตุเชิงปฏิบัติสำหรับอสังหาริมทรัพย์ผสม:
พื้นผิวการเปิดเผยใช้กับ RDP, VDI เกตเวย์, พอร์ทัล HTML5 และคอนโซลการสนับสนุนระยะไกล หากใด ๆ ในเหล่านี้เป็นประตูหน้าสาธารณะ ผู้โจมตีจะพบมัน
เสาหลักที่ 2: พื้นที่ระบุตัวตน
พื้นผิวอัตลักษณ์คือความง่ายในการที่ผู้โจมตีจะกลายเป็นผู้ใช้ที่ถูกต้อง Cloudflare เน้นย้ำ การใช้รหัสผ่านซ้ำและข้อมูลรับรองที่ไม่ได้จัดการ เป็นปัจจัยสำคัญสำหรับการโจมตีด้วยข้อมูลประจำตัวและการโจมตีแบบ brute force ในสถานการณ์การเข้าถึงระยะไกล
แนวทางคะแนน:
- 0: MFA เป็นสิ่งจำเป็น บัญชีที่มีสิทธิพิเศษถูกแยกออกและการตรวจสอบสิทธิแบบเก่าไม่ได้รับอนุญาต
- 1: MFA มีอยู่แต่ไม่ทั่วถึง มีข้อยกเว้นสำหรับ “เพียงเซิร์ฟเวอร์เดียว” หรือ “เพียงผู้ขายเดียว”
- 2: รหัสผ่านเป็นการควบคุมหลักสำหรับเส้นทางเดสก์ท็อประยะไกลบางเส้นทางหรือเอกลักษณ์ของผู้ดูแลระบบที่แชร์อยู่
- 3: การเข้าสู่ระบบที่เปิดเผยต่ออินเทอร์เน็ตขึ้นอยู่กับรหัสผ่านเท่านั้น หรือบัญชีท้องถิ่นถูกใช้ในวงกว้างทั่วทั้งเซิร์ฟเวอร์
หมายเหตุเชิงปฏิบัติ:
การระบุตัวตนคือจุดที่ความปลอดภัยของเดสก์ท็อประยะไกลมักล้มเหลวเป็นอันดับแรก ผู้โจมตีไม่จำเป็นต้องใช้ช่องโหว่หากการตรวจสอบสิทธิ์ทำได้ง่าย
เสาหลักที่ 3: พื้นที่การอนุญาต
พื้นผิวการอนุญาตคือสิ่งที่ผู้ใช้ที่ถูกต้องสามารถเข้าถึงได้ และเมื่อใด สภาพแวดล้อมหลายแห่งมุ่งเน้นไปที่ว่าใครสามารถเข้าสู่ระบบได้ แต่ละเลยว่าใครสามารถเข้าสู่ระบบได้ที่ไหน ในช่วงเวลาใด
แนวทางคะแนน:
- 0: การเข้าถึงที่มีสิทธิ์น้อยที่สุดจะถูกบังคับใช้ด้วยกลุ่มที่ชัดเจนต่อแอปหรือเดสก์ท็อป พร้อมกับเส้นทางผู้ดูแลระบบแยกต่างหาก
- 1: กลุ่มมีอยู่ แต่การเข้าถึงกว้างขวางเพราะมันง่ายกว่าในด้านการปฏิบัติงาน
- 2: ผู้ใช้สามารถเข้าถึงเซิร์ฟเวอร์หรือเดสก์ท็อปมากเกินไป; ข้อจำกัดด้านเวลาและข้อจำกัดด้านแหล่งที่มาไม่สอดคล้องกัน.
- 3: ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์สามารถเข้าถึงระบบหลักได้ หรือผู้ดูแลระบบสามารถ RDP ได้ทุกที่จากจุดสิ้นสุดที่ไม่ได้จัดการ
หมายเหตุเชิงปฏิบัติ:
การอนุญาตยังเป็นเสาหลักที่สนับสนุนการผสมผสานในตลาดกลางได้ดีที่สุด เมื่อ Windows, macOS, ผู้รับเหมา และผู้ขายภายนอกทั้งหมดต้องการการเข้าถึง การอนุญาตที่ละเอียดเป็นการควบคุมที่ป้องกันไม่ให้การเข้าสู่ระบบที่ถูกต้องหนึ่งรายการกลายเป็นการเข้าถึงทั่วทั้งอสังหาริมทรัพย์
เสาหลักที่ 4: พื้นที่เซสชันและจุดสิ้นสุด
พื้นผิวเซสชันคือสิ่งที่เซสชันระยะไกลสามารถทำได้เมื่อเริ่มต้นขึ้น พื้นผิวจุดสิ้นสุด คืออุปกรณ์ที่เชื่อมต่อมีความน่าเชื่อถือเพียงพอสำหรับการเข้าถึงที่ได้รับอนุญาตหรือไม่
แนวทางคะแนน:
- 0: การเข้าถึงที่มีสิทธิพิเศษต้องการสถานีงานผู้ดูแลระบบที่มีความปลอดภัยหรือโฮสต์กระโดด; ฟีเจอร์เซสชันที่มีความเสี่ยงสูงจะถูกจำกัดตามความจำเป็น.
- 1: การควบคุมเซสชันมีอยู่แต่ไม่สอดคล้องกับความไวของข้อมูล
- 2: จุดสิ้นสุดเป็นการผสมผสานระหว่างการจัดการและไม่จัดการโดยมีความสามารถในการเซสชันเดียวกัน
- 3: การเข้าถึงเดสก์ท็อประยะไกลที่มีสิทธิ์สูงได้รับอนุญาตจากอุปกรณ์ใดก็ได้โดยมีข้อจำกัดน้อยที่สุด
หมายเหตุเชิงปฏิบัติ:
เสาหลักนี้มีความสำคัญโดยเฉพาะสำหรับการเข้าถึงผ่านเบราว์เซอร์ พอร์ทัล HTML5 ขจัดความยุ่งยากของระบบปฏิบัติการและทำให้การเริ่มต้นใช้งานง่ายขึ้น แต่ยังทำให้การอนุญาตการเข้าถึงในวงกว้างเป็นเรื่องง่ายขึ้นอีกด้วย คำถามด้านนโยบายกลายเป็น “ผู้ใช้คนใดได้รับการเข้าถึงเบราว์เซอร์ไปยังทรัพยากรใด”
เสาหลักที่ 5: พื้นผิวการดำเนินงาน
พื้นผิวการดำเนินงานคือท่าทางการบำรุงรักษาที่กำหนดระยะเวลาที่จุดอ่อนยังคงอยู่ในสถานที่ นี่ไม่ใช่การวิศวกรรมการตรวจจับ นี่คือความเป็นจริงของการป้องกัน: หากการแพตช์และการเปลี่ยนแปลงการกำหนดค่าช้า การเปิดเผยจะกลับมาอีกครั้ง
แนวทางคะแนน:
- 0: ส่วนประกอบการเข้าถึงระยะไกลจะถูกแพตช์อย่างรวดเร็ว; การกำหนดค่าจะถูกเวอร์ชัน; การตรวจสอบการเข้าถึงจะเกิดขึ้นตามกำหนดเวลา.
- 1: การแพตช์เหมาะสำหรับเซิร์ฟเวอร์ แต่ไม่แข็งแกร่งสำหรับเกตเวย์ ปลั๊กอิน หรือบริการสนับสนุน
- 2: การเบี่ยงเบนมีอยู่; ข้อยกเว้นสะสม; จุดสิ้นสุดที่ล้าสมัยยังคงอยู่.
- 3: ความเป็นเจ้าของไม่ชัดเจน และการเปลี่ยนแปลงการเข้าถึงระยะไกลไม่ได้ถูกติดตามแบบครบวงจร
หมายเหตุเชิงปฏิบัติ:
พื้นผิวการดำเนินงานคือที่ที่ความซับซ้อนของตลาดกลางแสดงออกมาอย่างชัดเจนที่สุด หากไม่ได้รับการจัดการอย่างเหมาะสม ทีมงานหลายทีมและเครื่องมือหลายอย่างจะสร้างช่องว่างที่ผู้โจมตีสามารถใช้ประโยชน์ได้อย่างอดทน
คุณจะไปจากการให้คะแนนไปยังการดำเนินการป้องกันได้อย่างไร?
คะแนนมีประโยชน์เฉพาะเมื่อมันเปลี่ยนแปลงสิ่งที่ทำต่อไป ใช้คะแนนรวมเพื่อเลือกสถานการณ์ที่เป็นไปได้สำหรับการเปลี่ยนแปลง จำไว้ว่าจุดมุ่งหมายคือการลดการเปิดเผยเพื่อให้ลดความเสี่ยงให้มากที่สุด
- 0–4 (ต่ำ): ตรวจสอบการเบี่ยงเบน ปรับปรุงเสาหลักที่เหลือให้แข็งแกร่งขึ้น และบังคับใช้ความสอดคล้องระหว่างเครื่องมือ
- 5–9 (กลาง): ให้ความสำคัญกับการเปิดเผยและตัวตนก่อน จากนั้นจึงทำให้การอนุญาตเข้มงวดขึ้น
- 10–15 (สูง): ลบการเปิดเผยโดยตรงทันที เพิ่มการตรวจสอบสิทธิ์ที่เข้มงวด จากนั้นจำกัดขอบเขตการเข้าถึงอย่างเข้มงวด
สถานการณ์ 1: ผู้ดูแลระบบ IT RDP บวกผู้ใช้ปลายทาง VDI
รูปแบบทั่วไปคือ “ผู้ดูแลระบบใช้ RDP ผู้ใช้ใช้ VDI” เส้นทางการโจมตีมักจะผ่านตัวตนที่อ่อนแอที่สุดหรือเส้นทางผู้ดูแลระบบที่เปิดเผยที่สุด ไม่ใช่ผ่านผลิตภัณฑ์ VDI เอง
การแก้ไขที่สำคัญ:
- ลดการเปิดเผยสำหรับเส้นทางผู้ดูแลระบบก่อน แม้ว่าการเข้าถึงของผู้ใช้ปลายทางจะยังคงเหมือนเดิม
- บังคับการแยกบัญชีที่มีสิทธิพิเศษและ MFA อย่างสม่ำเสมอ.
- จำกัดว่าโฮสต์ใดบ้างที่อนุญาตให้ล็อกอินแบบโต้ตอบของผู้ดูแลระบบ
หมายเหตุ:
สถานการณ์นี้ได้รับประโยชน์จากการจัดการการเข้าถึงผู้ดูแลระบบเป็นผลิตภัณฑ์แยกต่างหากที่มีนโยบายแยกต่างหาก แม้ว่าจะใช้แพลตฟอร์มเดียวกันก็ตาม
สถานการณ์ 2: ผู้รับเหมาและ BYOD ผ่าน HTML5
การเข้าถึงผ่านเบราว์เซอร์เป็นสะพานที่มีประโยชน์ในสภาพแวดล้อมที่มีระบบปฏิบัติการผสมผสาน ความเสี่ยงคือ “การเข้าถึงที่ง่าย” กลายเป็น “การเข้าถึงที่กว้างขวาง”
การแก้ไขที่สำคัญ:
- ใช้ พอร์ทัล HTML5 ในฐานะที่เป็นประตูหน้าที่ควบคุม ไม่ใช่เกตเวย์แบบทั่วไป
- เผยแพร่แอปพลิเคชันเฉพาะสำหรับผู้รับเหมาแทนที่จะเป็นเดสก์ท็อปทั้งหมดเมื่อเป็นไปได้
- ใช้การจำกัดเวลาและการมอบหมายตามกลุ่มเพื่อให้การเข้าถึงของผู้รับเหมา สิ้นสุดโดยอัตโนมัติเมื่อหน้าต่างปิดลง
หมายเหตุ:
TSplus Remote Access อธิบายโมเดลไคลเอนต์ HTML5 ที่ผู้ใช้เข้าสู่ระบบผ่านพอร์ทัลเว็บที่ปรับแต่งได้และเข้าถึงเดสก์ท็อปเต็มรูปแบบหรือแอปพลิเคชันที่เผยแพร่ภายในเบราว์เซอร์ เราขอแนะนำให้ใช้การเข้าสู่ระบบแบบครั้งเดียวและการตรวจสอบสิทธิ์หลายปัจจัยเพื่อเสริมสร้างความปลอดภัยที่เข้มงวดของกระบวนการเข้าสู่ระบบที่ใช้เบราว์เซอร์
สถานการณ์ 3: เครื่องมือสนับสนุนระยะไกลในอสังหาริมทรัพย์เดียวกัน
เครื่องมือสนับสนุนระยะไกลมักถูกมองข้ามเพราะพวกเขาถูกมองว่าเป็น “สำหรับฝ่ายช่วยเหลือ” ไม่ใช่ “สำหรับการผลิต” ผู้โจมตีไม่สนใจ หากเครื่องมือสนับสนุนสามารถสร้างการเข้าถึงโดยไม่ต้องดูแลหรือเพิ่มสิทธิ์ มันจะกลายเป็นส่วนหนึ่งของพื้นผิวการโจมตีของเดสก์ท็อประยะไกล
การแก้ไขที่สำคัญ:
- แยกความสามารถของศูนย์ช่วยเหลือออกจากความสามารถของผู้ดูแลระบบ
- จำกัดการเข้าถึงที่ไม่มีผู้ดูแลไปยังกลุ่มที่ชัดเจนและจุดสิ้นสุดที่ได้รับการอนุมัติ
- ปรับเครื่องมือสนับสนุนการตรวจสอบสิทธิ์ให้สอดคล้องกับเอกลักษณ์ขององค์กรและ MFA เมื่อเป็นไปได้
หมายเหตุ:
เป็นตัวอย่าง เพื่อหลีกเลี่ยงปัญหาที่เกี่ยวข้องกับการช่วยเหลือ TSplus Remote Support จะถูกโฮสต์ด้วยตนเอง การเชิญจะถูกสร้างโดยโฮสต์ไปยังตัวแทนสนับสนุน และรหัสเข้าสู่ระบบจะเป็นชุดตัวเลขที่ใช้ครั้งเดียวซึ่งเปลี่ยนแปลงทุกครั้ง นอกจากนี้ การปิดแอปโดยโฮสต์จะตัดการเชื่อมต่ออย่างสมบูรณ์
TSplus Remote Access อยู่ที่ไหนในรูปแบบ “ลดการเปิดเผย”?
ความปลอดภัยที่ขับเคลื่อนด้วยซอฟต์แวร์
ในการวางแผนการป้องกัน TSplus Remote Access เหมาะสมกับรูปแบบการเผยแพร่และการจัดส่ง: มันสามารถทำให้มาตรฐานหรือแตกต่างกันว่าผู้ใช้และกลุ่มเชื่อมต่ออย่างไรและสิ่งที่พวกเขาสามารถเข้าถึงได้รวมถึงเมื่อใดและจากอุปกรณ์ใด ดังนั้นการเข้าถึงระยะไกลจึงกลายเป็นการขับเคลื่อนโดยนโยบายแทนที่จะเป็นแบบตามโอกาส
TSplus Advanced Security ถูกสร้างขึ้นเพื่อปกป้องเซิร์ฟเวอร์แอปพลิเคชันและไม่ปล่อยให้มีความเสี่ยง ตั้งแต่ช่วงเวลาที่ติดตั้ง จะมีการบล็อก IP ที่เป็นอันตรายที่รู้จักเมื่อเริ่มทำงาน ฟีเจอร์แต่ละอย่างที่เลือกมาอย่างรอบคอบจะช่วยเสริมความปลอดภัยและ ปกป้องเซิร์ฟเวอร์และแอปพลิเคชันของคุณ และดังนั้นแต่ละเดสก์ท็อป
โหมดการเชื่อมต่อเป็นตัวเลือกนโยบาย (RDP, RemoteApp, HTML5…)
เมื่อโหมดการเชื่อมต่อถูกมองว่าเป็น "UX เพียงอย่างเดียว" การตัดสินใจด้านความปลอดภัยจะถูกมองข้าม TSplus Remote Access มีโหมดการเชื่อมต่อที่รู้จักกันดีสามโหมด: RDP Client, RemoteApp Client และ HTML5 Client ซึ่งแต่ละโหมดจะเชื่อมโยงกับประสบการณ์การจัดส่งที่แตกต่างกัน คู่มือเริ่มต้นอย่างรวดเร็วของเราขยายรายการตัวเลือกที่ยืดหยุ่นซึ่งยังรวมถึงการเชื่อมต่อ Remote Desktop แบบคลาสสิก, TSplus RDP client แบบพกพา, MS RemoteApp client, รวมถึง Windows และ HTML5 clients ผ่านพอร์ทัลเว็บ
การป้องกันอย่างหนึ่ง:
โหมดการเชื่อมต่อสามารถลดความเสี่ยงเมื่อช่วยบังคับให้เกิดความสอดคล้อง
- การเข้าถึง RDP client สามารถอยู่ภายในสำหรับการทำงานของผู้ดูแลระบบในขณะที่ผู้ใช้ปลายทางใช้แอปที่เผยแพร่
- RemoteApp ช่วยลด “การเปิดเผยเดสก์ท็อปเต็มรูปแบบ” สำหรับผู้ใช้ที่ต้องการเพียงแค่แอปพลิเคชันเดียว
- HTML5 สามารถแทนที่ข้อกำหนดจุดสิ้นสุดที่เปราะบาง ซึ่งช่วยบังคับใช้ประตูหน้าที่ควบคุมเพียงหนึ่งเดียวแทนที่จะเป็นหลายประตูที่จัดทำขึ้นอย่างไม่เป็นทางการ
TSplus Advanced Security ในความก้าวหน้า “guard RDP”
คะแนนความเสี่ยงมักจะระบุจุดปวดที่สำคัญเหมือนกัน: เสียงรบกวนจากอินเทอร์เน็ต, ความพยายามในการใช้ข้อมูลประจำตัวซ้ำ ๆ และรูปแบบการเข้าถึงที่ไม่สอดคล้องกันในเซิร์ฟเวอร์ นี่คือจุดที่ TSplus Advanced Security ถูกวางตำแหน่งเป็นชั้นป้องกันสำหรับสภาพแวดล้อมเดสก์ท็อประยะไกล รวมถึง การป้องกันที่มุ่งเน้นการโจมตีด้วยแรนซัมแวร์ และธีมการเสริมความปลอดภัยของเซสชันที่อธิบายโดยผลิตภัณฑ์ เอกสาร หรือหน้าเว็บบล็อกของเรา
ในโมเดลคะแนนความเสี่ยง Advanced Security สนับสนุนส่วน “ลดความน่าจะเป็น” ของการป้องกัน:
- หยุดการพยายามใช้ข้อมูลประจำตัวที่ไม่ถูกต้องเพื่อไม่ให้การเดารหัสผ่านกลายเป็นสิ่งที่เกิดขึ้นอยู่เบื้องหลัง
- จำกัดเส้นทางการเข้าถึงด้วยกฎ IP และภูมิศาสตร์เมื่อประตูหน้าสาธารณะไม่สามารถหลีกเลี่ยงได้
- เพิ่มการควบคุมที่ป้องกันก่อนซึ่งลดโอกาสที่การเข้าสู่ระบบเพียงครั้งเดียวจะกลายเป็นผลกระทบจากแรนซัมแวร์
บทสรุป: การป้องกันจะเพียงพอหรือไม่?
การให้คะแนนความเสี่ยงช่วยลดความน่าจะเป็นของการถูกโจมตี มันไม่ได้รับประกันความปลอดภัย โดยเฉพาะในอสังหาริมทรัพย์ที่ผสมผสานกันซึ่งข้อมูลประจำตัวสามารถถูกขโมยได้จากการฟิชชิงหรือโปรแกรมขโมยข้อมูล นั่นคือเหตุผลที่การวางแผนการตรวจจับและตอบสนองยังคงมีความสำคัญ ให้คะแนนห้าหมวดหมู่ แก้ไขจุดอ่อนที่สุดก่อน จากนั้นให้คะแนนใหม่จนกว่าการเข้าถึงระยะไกลจะกลายเป็นบริการที่ควบคุมได้แทนที่จะเป็นกลุ่มข้อยกเว้น
โดยทั่วไปแล้ว ควรมุ่งเน้นที่ความสอดคล้องกัน มาตรฐานเส้นทางการเข้าถึง ใช้ HTML5 เมื่อมันช่วยขจัดอุปสรรคของจุดสิ้นสุดโดยไม่ขยายขอบเขต และเผยแพร่เฉพาะสิ่งที่แต่ละกลุ่มต้องการพร้อมกับช่วงเวลาที่ชัดเจน
ตามที่เห็นข้างต้น, Remote Access จัดโครงสร้างและเผยแพร่การเข้าถึงในขณะที่ Advanced Security ปกป้องเซิร์ฟเวอร์ที่อยู่เบื้องหลังการเข้าถึงนั้นจากผู้โจมตีที่กดดันขอบเขต คำถามไม่ใช่ว่าจะมีผู้โจมตีหรือไม่ แต่เป็น “ขอบเขตของคุณได้รับการปกป้องดีเพียงใด?”
การอ่านเพิ่มเติมและการดำเนินการ:
เพื่อมุมมองนั้น สำหรับทีมที่ต้องการชั้นถัดไป คู่มือการวิศวกรรมการตรวจจับของเราที่มุ่งเน้นการบุกรุกของแรนซัมแวร์ที่นำโดย RDP อาจเป็นที่สนใจ มันชี้ไปที่รูปแบบที่มีสัญญาณสูงและเน้นที่ สิ่งที่ต้องทำใน 30–60 นาทีแรก การติดตามผลที่ยอดเยี่ยมเมื่อโมเดลการป้องกันถูกนำไปใช้ นอกจากนี้ยังสามารถให้แนวคิดเพื่อเพิ่มประสิทธิภาพ Advanced Security และการตั้งค่าอื่น ๆ ของ TSplus ซอฟต์แวร์เพื่อความปลอดภัยของโครงสร้างพื้นฐานของคุณ
TSplus Remote Access ทดลองใช้ฟรี
ทางเลือกที่ดีที่สุดสำหรับ Citrix/RDS สำหรับการเข้าถึงเดสก์ท็อป/แอปพลิเคชัน ปลอดภัย คุ้มค่า ราคา ประจำที่/คลาวด์
คำถามที่พบบ่อย:
การเข้าถึงเดสก์ท็อประยะไกลสามารถถูกแฮ็กได้หรือไม่แม้ว่าโปรแกรมจะ "ปลอดภัย"?
ใช่ ส่วนใหญ่ของการถูกโจมตีเกิดขึ้นจากเส้นทางการเข้าถึงที่เปิดเผยและตัวตนที่อ่อนแอ ไม่ใช่จากการใช้ประโยชน์จากซอฟต์แวร์ การเข้าถึงระยะไกลมักเป็นช่องทางที่ใช้หลังจากที่ได้รับข้อมูลรับรองแล้ว
RDP โดยธรรมชาติไม่ปลอดภัยหรือไม่?
RDP ไม่ได้ไม่ปลอดภัยโดยธรรมชาติ แต่ RDP จะมีความเสี่ยงสูงเมื่อสามารถเข้าถึงทางอินเทอร์เน็ตและได้รับการป้องกันโดยหลักโดยรหัสผ่าน การกำหนดเป้าหมายพอร์ตและการตรวจสอบสิทธิ์ที่อ่อนแอเป็นสาเหตุทั่วไป
การใช้พอร์ทัลเดสก์ท็อประยะไกล HTML5 ช่วยลดความเสี่ยงจากการแฮ็กหรือไม่?
มันสามารถทำได้ หากมันรวมศูนย์การเข้าถึงไว้เบื้องหลังประตูหน้าที่ควบคุมเดียวที่มีการตรวจสอบและอนุญาตที่สอดคล้องกัน มันเพิ่มความเสี่ยงหากทำให้การเข้าถึงที่กว้างขวางง่ายต่อการอนุญาตโดยไม่มีนโยบายที่เข้มงวด
วิธีที่เร็วที่สุดในการลดความเสี่ยงจากการแฮ็ก Remote Desktop คืออะไร?
ลดการเปิดเผยก่อน จากนั้นเสริมความแข็งแกร่งให้กับตัวตน หากเส้นทางเดสก์ท็อประยะไกลสามารถเข้าถึงได้สาธารณะและใช้รหัสผ่าน ควรถือว่าบริบทนั้น “ถูกบุกรุกในที่สุด”
ฉันจะรู้ได้อย่างไรว่าควรแก้ไขอะไรเป็นอันดับแรกในสภาพแวดล้อมที่ผสมผสาน?
ใช้คะแนนความเสี่ยงเช่น RDRS และแก้ไขเสาหลักที่สูงที่สุดก่อน ในสภาพแวดล้อมส่วนใหญ่ การเปิดเผยและตัวตนจะสร้างการลดความเสี่ยงที่ใหญ่ที่สุดต่อชั่วโมงที่ใช้
)
)
)
