Remote Desktop có thể bị hack không? Điểm rủi ro thực tiễn để phòng ngừa

Truy cập máy tính từ xa có thể bị hack, nhưng hầu hết các sự cố không phải là những vụ khai thác như trong Hollywood. Hầu hết các sự cố là kết quả có thể dự đoán được của các dịch vụ bị lộ, thông tin xác thực có thể tái sử dụng và quyền truy cập quá rộng. Hướng dẫn này cung cấp cho các nhóm CNTT một điểm số rủi ro không phụ thuộc vào công cụ, áp dụng cho RDP, cổng HTML5, VDI và các công cụ hỗ trợ từ xa, sau đó ánh xạ điểm số đến các sửa chữa ưu tiên.

“Hacked” có nghĩa gì đối với các công cụ Remote Desktop?

Remote desktop không phải là một sản phẩm. Remote desktop là một tập hợp các đường dẫn truy cập có thể bao gồm Giao thức Remote Desktop của Microsoft (RDP), Dịch vụ Remote Desktop, VDI như Azure Virtual Desktop, các cổng trình duyệt mà proxy một phiên, và các công cụ hỗ trợ từ xa tạo ra các kết nối theo yêu cầu.

Trong các báo cáo sự cố, "máy tính từ xa bị hack" thường có nghĩa là một trong những kết quả sau:

• Chiếm đoạt tài khoản: một kẻ tấn công đăng nhập bình thường bằng cách sử dụng thông tin xác thực bị đánh cắp hoặc đoán được.
• Lạm dụng đường dẫn truy cập: một cổng mở, cổng yếu hoặc cấu hình sai làm cho việc truy cập trái phép trở nên dễ dàng hơn.
• Thiệt hại sau khi đăng nhập: kẻ tấn công sử dụng khả năng phiên hợp pháp để di chuyển theo chiều ngang, lấy dữ liệu ra ngoài hoặc triển khai ransomware.

Sự phân biệt này quan trọng vì ngăn chặn là về việc giảm khả năng đăng nhập thành công và hạn chế những gì một lần đăng nhập có thể làm.

Tại sao Remote Desktop lại bị nhắm đến?

Truy cập máy tính từ xa rất hấp dẫn vì nó tương tác và có quyền cao theo thiết kế. RDP là phổ biến, được hỗ trợ rộng rãi và thường có thể truy cập qua cổng TCP 3389, điều này làm cho việc quét và nhắm mục tiêu trở nên dễ dàng. Vectra tóm tắt các vấn đề cơ bản Tính phổ biến của RDP và mức độ truy cập mà nó cung cấp khiến nó trở thành mục tiêu thường xuyên khi không được quản lý đúng cách.

Cloudflare khung các yếu tố rủi ro tương tự với hai điểm yếu lặp đi lặp lại: xác thực yếu và truy cập cổng không hạn chế, điều này kết hợp thành các cơ hội tấn công brute force và nhồi nhét thông tin xác thực khi RDP bị lộ.

Một thực tế của thị trường trung bình cũng làm tăng rủi ro. Công việc hybrid, quyền truy cập của nhà cung cấp, sáp nhập và các hoạt động CNTT phân tán tạo ra "sự mở rộng quyền truy cập". Quyền truy cập từ xa mở rộng nhanh hơn so với chính sách và giám sát, và những kẻ tấn công thích khoảng trống đó.

Điểm rủi ro hack Remote Desktop (RDRS) là gì?

Điểm rủi ro hack Remote Desktop (RDRS) là một mô hình nhanh, trong thời gian thiết kế. Mục tiêu không phải là thay thế một cuộc kiểm toán an ninh. Mục tiêu là xếp hạng các yếu tố rủi ro để một đội ngũ CNTT có thể thực hiện ba thay đổi mà mỗi thay đổi đều giảm khả năng bị xâm phạm một cách nhanh chóng.

Chấm điểm mỗi trụ từ 0 đến 3. Cộng tổng lại để có tổng số tối đa là 15.

• 0: kiểm soát mạnh, rủi ro thực tiễn thấp
• 1: hầu hết được kiểm soát, khoảng trống nhỏ
• 2: kiểm soát một phần, lộ trình tấn công thực tế tồn tại
• 3: rủi ro cao, có khả năng bị khai thác theo thời gian

Trụ cột 1: Bề mặt tiếp xúc

Bề mặt tiếp xúc là về những gì một kẻ tấn công có thể tiếp cận từ bên ngoài. Mô hình rủi ro cao nhất vẫn là “dịch vụ máy tính từ xa có thể truy cập trực tiếp” với các biện pháp kiểm soát cửa trước tối thiểu.

Hướng dẫn điểm số:

1. 0: máy tính từ xa không thể truy cập internet; quyền truy cập được trung gian qua các đường dẫn được kiểm soát.
2. 1: máy tính từ xa chỉ có thể truy cập thông qua các mạng hạn chế, VPN hoặc danh sách cho phép được xác định chặt chẽ.
3. 2: một cổng hoặc cổng thông tin hướng ra internet, nhưng các chính sách không nhất quán giữa các ứng dụng, nhóm hoặc khu vực.
4. 3: sự tiếp xúc trực tiếp tồn tại (các ví dụ phổ biến bao gồm RDP mở, quy tắc NAT bị quên, nhóm bảo mật đám mây cho phép).

Ghi chú thực tiễn cho các tài sản hỗn hợp:

Bề mặt tiếp xúc áp dụng cho RDP, cổng VDI, cổng HTML5 và bảng điều khiển hỗ trợ từ xa. Nếu bất kỳ một trong số đó là cửa trước công cộng, kẻ tấn công sẽ tìm thấy nó.

Trụ cột 2: Bề mặt danh tính

Bề mặt danh tính là mức độ dễ dàng cho một kẻ tấn công trở thành người dùng hợp lệ. Cloudflare nhấn mạnh tái sử dụng mật khẩu và thông tin xác thực không được quản lý là những yếu tố chính cho việc nhồi nhét thông tin xác thực và tấn công brute force trong các tình huống truy cập từ xa.

Hướng dẫn điểm số:

• 0: MFA là bắt buộc, các tài khoản đặc quyền được tách biệt và xác thực kế thừa không được phép.
• 1: MFA tồn tại nhưng không ở khắp mọi nơi, có những ngoại lệ cho "chỉ một máy chủ" hoặc "chỉ một nhà cung cấp".
• 2: mật khẩu là phương tiện kiểm soát chính cho một số đường dẫn máy tính từ xa hoặc danh tính quản trị viên chia sẻ tồn tại.
• 3: Đăng nhập từ internet chỉ dựa vào mật khẩu, hoặc tài khoản cục bộ được sử dụng rộng rãi trên các máy chủ.

Ghi chú thực tiễn:

Danh tính là nơi mà bảo mật máy tính từ xa thường thất bại đầu tiên. Kẻ tấn công không cần một lỗ hổng nếu việc xác thực dễ dàng.

Trụ cột 3: Bề mặt ủy quyền

Bề mặt ủy quyền là những gì một người dùng hợp lệ được phép truy cập và khi nào. Nhiều môi trường tập trung vào việc ai có thể đăng nhập, nhưng bỏ qua ai có thể đăng nhập vào cái gì, từ đâu, trong khoảng thời gian nào.

Hướng dẫn điểm số:

• 0: truy cập tối thiểu được thực thi với các nhóm rõ ràng cho mỗi ứng dụng hoặc máy tính để bàn, cộng với các đường dẫn quản trị riêng biệt.
• 1: các nhóm tồn tại, nhưng quyền truy cập là rộng rãi vì nó đơn giản hơn về mặt vận hành.
• 2: người dùng có thể truy cập quá nhiều máy chủ hoặc máy tính để bàn; các hạn chế về thời gian và nguồn gốc không nhất quán.
• 3: bất kỳ người dùng nào được xác thực đều có thể truy cập vào các hệ thống cốt lõi, hoặc quản trị viên có thể RDP đến mọi nơi từ các điểm cuối không được quản lý.

Ghi chú thực tiễn:

Ủy quyền cũng là trụ cột hỗ trợ tốt nhất cho một sự kết hợp thị trường trung bình. Khi Windows, macOS, nhà thầu và các nhà cung cấp bên thứ ba đều cần truy cập, ủy quyền chi tiết là kiểm soát ngăn chặn một lần đăng nhập hợp lệ trở thành quyền truy cập toàn bộ tài sản.

Trụ cột 4: Bề mặt phiên và điểm cuối

Bề mặt phiên là những gì một phiên làm việc từ xa có thể thực hiện khi nó bắt đầu. Bề mặt điểm cuối là liệu thiết bị kết nối có đủ tin cậy cho quyền truy cập được cấp hay không.

Hướng dẫn điểm số:

• 0: truy cập đặc quyền yêu cầu các trạm làm việc quản trị viên được bảo mật hoặc máy chủ nhảy; các tính năng phiên làm việc có rủi ro cao bị hạn chế khi cần thiết.
• 1: các điều khiển phiên tồn tại nhưng không phù hợp với độ nhạy cảm của dữ liệu.
• 2: các điểm cuối là sự kết hợp giữa được quản lý và không được quản lý với cùng khả năng phiên làm việc.
• 3: Truy cập máy tính từ xa với quyền cao được phép từ bất kỳ thiết bị nào với các hạn chế tối thiểu.

Ghi chú thực tiễn:

Trụ cột này đặc biệt liên quan đến việc truy cập dựa trên trình duyệt. Các cổng HTML5 loại bỏ sự cản trở của hệ điều hành và đơn giản hóa việc tiếp nhận, nhưng chúng cũng làm cho việc cấp quyền truy cập một cách rộng rãi trở nên dễ dàng hơn. Câu hỏi chính sách trở thành “những người dùng nào được truy cập trình duyệt vào những tài nguyên nào”.

Trụ cột 5: Bề mặt hoạt động

Bề mặt hoạt động là tư thế bảo trì xác định thời gian mà các điểm yếu vẫn tồn tại. Đây không phải là kỹ thuật phát hiện. Đây là thực tế phòng ngừa: nếu việc vá lỗi và sự lệch cấu hình diễn ra chậm, sự tiếp xúc sẽ trở lại.

Hướng dẫn điểm số:

• 0: các thành phần truy cập từ xa được vá nhanh chóng; cấu hình được phiên bản hóa; các đánh giá truy cập diễn ra theo lịch trình.
• 1: Cập nhật là tốt cho máy chủ nhưng yếu cho cổng, plugin hoặc dịch vụ hỗ trợ.
• 2: sự trôi dạt tồn tại; ngoại lệ tích lũy; các điểm cuối kế thừa vẫn còn.
• 3: quyền sở hữu không rõ ràng, và các thay đổi truy cập từ xa không được theo dõi từ đầu đến cuối.

Ghi chú thực tiễn:

Bề mặt hoạt động là nơi mà sự phức tạp của thị trường trung bình thể hiện rõ nhất. Nếu không được quản lý đúng cách, nhiều đội ngũ và nhiều công cụ sẽ tạo ra những khoảng trống mà kẻ tấn công có thể kiên nhẫn khai thác.

Làm thế nào để bạn chuyển từ việc ghi điểm sang hành động bảo vệ?

Điểm số chỉ hữu ích nếu nó thay đổi những gì được thực hiện tiếp theo. Sử dụng tổng số để chọn một kịch bản tiềm năng cho sự thay đổi. Hãy nhớ rằng, mục tiêu là giảm thiểu sự tiếp xúc để giảm thiểu rủi ro.

• 0–4 (Thấp): xác thực độ trôi, siết chặt cột yếu còn lại và thực thi tính nhất quán giữa các công cụ.
• 5–9 (Trung bình): ưu tiên tiếp xúc và danh tính trước, sau đó thắt chặt quyền hạn.
• 10–15 (Cao): xóa ngay sự tiếp xúc trực tiếp, thêm xác thực mạnh mẽ, sau đó thu hẹp phạm vi truy cập một cách quyết liệt.

Kịch bản 1: Quản trị viên CNTT RDP cộng với người dùng cuối VDI

Một mẫu phổ biến là “quản trị viên sử dụng RDP, người dùng sử dụng VDI.” Đường tấn công thường đi qua danh tính yếu nhất hoặc đường đi của quản trị viên bị lộ nhất, chứ không phải qua chính sản phẩm VDI.

Sửa lỗi ưu tiên:

1. Giảm thiểu khả năng tiếp xúc cho các đường dẫn quản trị trước, ngay cả khi quyền truy cập của người dùng cuối vẫn giữ nguyên.
2. Thực thi sự tách biệt tài khoản đặc quyền và MFA nhất quán.
3. Hạn chế các máy chủ nào chấp nhận đăng nhập tương tác của quản trị viên.

Ghi chú:

Kịch bản này được hưởng lợi từ việc coi quyền truy cập quản trị là một sản phẩm riêng biệt với chính sách riêng, ngay cả khi cùng một nền tảng mang cả hai.

Kịch bản 2: Nhà thầu và BYOD qua HTML5

Truy cập dựa trên trình duyệt là một cầu nối hữu ích trong các môi trường hệ điều hành hỗn hợp. Rủi ro là “truy cập dễ dàng” trở thành “truy cập rộng rãi.”

Sửa lỗi ưu tiên:

• Sử dụng cổng HTML5 như một cánh cửa trước được kiểm soát, không phải là một cổng chung.
• Công bố các ứng dụng cụ thể cho các nhà thầu thay vì toàn bộ máy tính để bàn khi có thể.
• Sử dụng các hạn chế về thời gian và phân công dựa trên nhóm để quyền truy cập của nhà thầu tự động kết thúc khi cửa sổ đóng lại.

Ghi chú:

TSplus Remote Access mô tả một mô hình khách hàng HTML5, nơi người dùng đăng nhập qua một cổng web tùy chỉnh và truy cập vào một desktop đầy đủ hoặc các ứng dụng đã được xuất bản trong trình duyệt. Chúng tôi khuyên bạn nên sử dụng đăng nhập một lần và xác thực đa yếu tố để góp phần vào sự an toàn chặt chẽ của quy trình đăng nhập dựa trên trình duyệt.

Kịch bản 3: Công cụ hỗ trợ từ xa trong cùng một tài sản

Công cụ hỗ trợ từ xa thường bị bỏ qua vì chúng được coi là “dành cho helpdesk,” không phải “dành cho sản xuất.” Kẻ tấn công không quan tâm. Nếu công cụ hỗ trợ có thể tạo quyền truy cập không giám sát hoặc nâng cao quyền hạn, nó trở thành một phần của bề mặt tấn công máy tính từ xa.

Sửa lỗi ưu tiên:

• Tách biệt khả năng hỗ trợ từ khả năng quản trị.
• Hạn chế truy cập không giám sát đến các nhóm cụ thể và các điểm cuối được phê duyệt.
• Căn chỉnh công cụ hỗ trợ xác thực với danh tính doanh nghiệp và MFA khi có thể.

Ghi chú:

Ví dụ, để tránh các vấn đề liên quan đến hỗ trợ, TSplus Remote Support được tự lưu trữ, các lời mời được tạo ra bởi người lưu trữ cho đại lý hỗ trợ và mã đăng nhập là các tập hợp số dùng một lần thay đổi mỗi lần. Hơn nữa, chỉ cần đóng ứng dụng bởi người lưu trữ sẽ hoàn toàn cắt đứt kết nối.

Nơi nào TSplus Remote Access phù hợp với mô hình “Giảm thiểu rủi ro”?

Bảo mật dựa trên sản phẩm phần mềm

Trong kế hoạch phòng ngừa, TSplus Remote Access phù hợp như một mẫu xuất bản và phân phối: nó có thể chuẩn hóa hoặc phân biệt cách người dùng và nhóm kết nối và những gì họ có thể truy cập cũng như khi nào và từ thiết bị nào, do đó truy cập từ xa trở thành điều được điều chỉnh bởi chính sách thay vì ngẫu nhiên.

TSplus Advanced Security được xây dựng để bảo vệ các máy chủ ứng dụng và không để lại điều gì cho sự may rủi. Ngay từ khi được cài đặt, các IP độc hại đã biết sẽ bị chặn khi nó bắt đầu hoạt động. Mỗi tính năng được chọn lọc kỹ lưỡng của nó sau đó góp phần vào việc bảo mật và bảo vệ máy chủ và ứng dụng của bạn , và do đó mỗi máy tính để bàn.

Chế độ kết nối như là lựa chọn chính sách (RDP, RemoteApp, HTML5…)

Khi các chế độ kết nối được coi là “chỉ là UX,” các quyết định về bảo mật sẽ bị bỏ lỡ. TSplus Remote Access có ba chế độ kết nối nổi bật hơn: RDP Client, RemoteApp Client và HTML5 Client, mỗi chế độ tương ứng với một trải nghiệm giao hàng khác nhau. Hướng dẫn Bắt đầu Nhanh của chúng tôi mở rộng danh sách các tùy chọn linh hoạt, bao gồm cả Kết nối Máy tính Từ xa cổ điển, khách hàng RDP TSplus di động, khách hàng MS RemoteApp, cùng với các khách hàng Windows và HTML5 thông qua cổng web.

Một biện pháp phòng ngừa:

Các chế độ kết nối có thể giảm thiểu rủi ro khi chúng giúp thực thi tính nhất quán.

• Khách hàng truy cập RDP có thể ở lại nội bộ cho các quy trình làm việc của quản trị viên trong khi người dùng cuối sử dụng các ứng dụng đã được công bố.
• RemoteApp giảm "sự tiếp xúc toàn bộ với desktop" cho những người dùng chỉ cần một ứng dụng.
• HTML5 có thể thay thế các yêu cầu đầu cuối dễ bị tổn thương, điều này giúp thực thi một cánh cửa chính được kiểm soát thay vì nhiều cánh cửa tạm bợ.

TSplus Advanced Security trong tiến trình “bảo vệ RDP”

Một điểm số rủi ro thường xác định những điểm đau chính giống nhau: tiếng ồn trên internet, các nỗ lực xác thực lặp lại và các mẫu truy cập không nhất quán trên các máy chủ. Đây là nơi TSplus Advanced Security được định vị như một lớp bảo vệ cho các môi trường máy tính từ xa, bao gồm bảo vệ tập trung vào ransomware và các chủ đề tăng cường phiên được mô tả bởi sản phẩm, tài liệu hoặc trang blog của chúng tôi.

Trong mô hình điểm rủi ro, Advanced Security hỗ trợ phần "giảm khả năng" của việc phòng ngừa:

• Ngăn chặn các nỗ lực lạm dụng thông tin xác thực để việc đoán mật khẩu không trở thành một yếu tố thường trực.
• Hạn chế các đường dẫn truy cập bằng quy tắc IP và địa lý khi một cửa trước công cộng là không thể tránh khỏi.
• Thêm các biện pháp bảo vệ ưu tiên đầu tiên giúp giảm khả năng một lần đăng nhập trở thành tác động của ransomware.

Kết luận: Liệu việc phòng ngừa có đủ không?

Điểm rủi ro giảm xác suất bị xâm phạm. Nó không đảm bảo an toàn, đặc biệt trong các tài sản hỗn hợp nơi thông tin xác thực có thể bị đánh cắp bởi lừa đảo hoặc phần mềm đánh cắp thông tin. Đó là lý do tại sao việc phát hiện và lập kế hoạch phản ứng vẫn quan trọng. Đánh giá năm trụ cột, khắc phục điểm yếu nhất trước, sau đó đánh giá lại cho đến khi truy cập từ xa trở thành một dịch vụ được kiểm soát thay vì một đống ngoại lệ.

Nói chung, hãy hướng tới sự nhất quán. Chuẩn hóa các đường dẫn truy cập, sử dụng HTML5 ở những nơi nó loại bỏ rào cản điểm cuối mà không mở rộng phạm vi, và chỉ công bố những gì mỗi nhóm cần với các khoảng thời gian rõ ràng.

Như đã thấy ở trên, Remote Access cấu trúc và công bố quyền truy cập trong khi Advanced Security bảo vệ các máy chủ phía sau quyền truy cập đó khỏi những kẻ tấn công đang gây áp lực lên ranh giới. Câu hỏi không phải là liệu có kẻ tấn công hay không. Thay vào đó, đó là “ranh giới của bạn được bảo vệ tốt như thế nào?”.

Đọc thêm và hành động:

Để đạt được điều đó, đối với các nhóm muốn có lớp tiếp theo, hướng dẫn kỹ thuật phát hiện của chúng tôi tập trung vào các cuộc xâm nhập ransomware dẫn dắt bởi RDP có thể là điều thú vị. Nó chỉ ra các mẫu tín hiệu cao và tập trung vào “ những gì cần làm trong 30–60 phút đầu tiên .” Theo dõi tuyệt vời sau khi mô hình phòng ngừa được triển khai, nó cũng có thể cung cấp ý tưởng để tối đa hóa Advanced Security và các cài đặt phần mềm TSplus khác cho sự an toàn của hạ tầng của bạn.

Câu hỏi thường gặp:

Máy tính từ xa có thể bị hack ngay cả khi phần mềm "an toàn" không?

Có. Hầu hết các vụ xâm phạm xảy ra qua các đường dẫn truy cập bị lộ và danh tính yếu, chứ không phải qua một lỗ hổng phần mềm. Remote desktop thường là kênh được sử dụng sau khi thông tin xác thực đã được lấy.

RDP có an toàn không?

RDP không tự nó không an toàn, nhưng RDP trở thành rủi ro cao khi nó có thể truy cập qua internet và được bảo vệ chủ yếu bằng mật khẩu. Nhắm mục tiêu cổng và xác thực yếu là những nguyên nhân phổ biến.

Cổng từ xa HTML5 có giảm rủi ro bị hack không?

Nó có thể, nếu nó tập trung quyền truy cập phía sau một cánh cửa chính được kiểm soát duy nhất với xác thực và ủy quyền nhất quán. Nó làm tăng rủi ro nếu nó làm cho việc cấp quyền truy cập rộng rãi dễ dàng hơn mà không có chính sách chặt chẽ.

Cách nhanh nhất để giảm thiểu rủi ro hack máy tính từ xa là gì?

Giảm thiểu tiếp xúc trước, sau đó củng cố danh tính. Nếu một đường dẫn máy tính từ xa có thể truy cập công khai và dựa trên mật khẩu, môi trường nên được coi là "cuối cùng bị xâm phạm".

Làm thế nào để tôi biết nên sửa chữa cái gì trước trong một môi trường hỗn hợp?

Sử dụng điểm rủi ro như RDRS và khắc phục trụ cột cao nhất trước. Trong hầu hết các môi trường, Phơi bày và Danh tính tạo ra sự giảm rủi ro lớn nhất cho mỗi giờ chi tiêu.