Безопасность RDP. Защита удаленного рабочего стола

Большинство проблем с настройкой протокола удаленного рабочего стола (RDP) для дистанционнойработы связано с обеспечением доступа к RDP через публичный интернет. RDP сам по себе не является безопасной настройкой и поэтому требует дополнительных мер безопасности для защиты рабочих станций и серверов. 

Без надлежащих протоколов безопасности организации сталкиваются с рядом потенциальных рисков, включая повышенный риск кибератак. Как правило, объектами таких атак становятся малые предприятия, поскольку они часто не располагают ресурсами, необходимыми для защиты от этих угроз и реагирования на них.

Киберпреступники обратили внимание на растущее распространение RDP и используют уязвимости, которые сопровождают эти открытые серверы. В период с 1 по 4 квартал 2020 года число атак на RDP выросло на 768 процентов. Отчет, опубликованный компанией Kroll в октябре, показал, что 47% атак с использованием вымогательского ПО предшествовали компрометации RDP.

Субъекты угроз, ищущие серверы RDP для эксплуатации, также не испытывают трудностей. Shodan, поисковая система, предназначенная для сканирования устройств с определенными портами или протоколами, открытыми для доступа в Интернет, обнаружила более 4 миллионов открытых портов RDP и не менее 14 000 серверов Windows RDP, доступных из Интернета.

Во многих случаях на серверах с RDP, доступных из интернета, не была включена многофакторная аутентификация (MFA). Это означает, что злоумышленник, который скомпрометировал учетную запись пользователя, раскрыв слабый или повторно используемый пароль с помощью брутфорса, может легко получить доступ к рабочей станции пользователя через RDP.

При такой первоначальной компрометации злоумышленник, скорее всего, сможет получить полный доступ к открытой сети организации. Это может произойти потому, что учетные записи такого типа управляются централизованной системой на уровне домена, что означает, что одни и те же учетные данные используются для всех систем.

Эксплуатация этих уязвимостей предполагает только определение учетных данных для доступа к системе, поэтому даже самые неискушенные злоумышленники имеют возможность использовать RDP. Несмотря на то, что сама атака не требует особых навыков, ее последствия могут быть весьма значительными. Эти атаки могут скомпрометировать сервер организации и привести к потенциальной потере службы удаленного доступа.

Уязвимости RDP являются популярным и распространенным способом эксплуатации среди киберпреступников по ряду различных причин. Одними из наиболее распространенных целей атак на RDP являются распределенные атаки типа "отказ в обслуживании" (DDoS) и доставка вымогательского ПО.

Цель распределенной атаки типа "отказ в обслуживании" (DDoS) - отправить как можно больше данных на целевой сайт или сервер, чтобы перегрузить его и вывести из строя. Для достижения этой цели DDoS-атакующие используют различные методы, например, большие ботнеты или технику, называемую DDoS-усилением, которая использует преимущества сервиса, отправляющего гораздо больший ответ, чем первоначальный запрос. DDoS-атакующие отправляют трафик на эти сервисы, маскируясь под свою цель. Затем на целевой сайт или сервер поступает гораздо больше данных, чем посылает злоумышленник.

Серверы RDP являются потенциальными усилителями DDoS с коэффициентом усиления 85,9. Поэтому злоумышленники могут использовать эти службы для отправки огромного количества трафика на свои цели, выводя их из строя. Растущая угроза против RDP делает жизненно важным для организаций установку средств защиты от DDoS на своих системах, выходящих в Интернет.

Растущее использование RDP во время пандемии COVID-19 сделало его самым распространенным механизмом доставки вымогательского ПО в 2020 году. После использования RDP для получения доступа к сети организации операторы ransomware могут исследовать сеть и установить ransomware на критически важные системы. Кроме того, некоторые субъекты усовершенствовали тактику использования программ-выкупов за счет эксфильтрации конфиденциальных данных до шифрования файлов жертвы, а затем требуют выкуп, угрожая разместить данные, если требования не будут выполнены.Простота использования ransomware побудила некоторые группировки использовать его исключительно в качестве вектора атаки.

RDP представляет собой значительный риск для безопасности организации. Для защиты RDP существует несколько вариантов, которые значительно отличаются по эффективности и удобству использования.

Одним из потенциальных решений для защиты RDP от атак является ограничение доступа к решениям RDP.  Этого можно достичь путем внедрения списков контроля доступа (ACL), которые разрешают RDP-соединения только с определенных IP-адресов.

Хотя в теории это может сработать, на практике это не лучшее решение по многим причинам, включая:

Управляемость: ACL требуют от организации четкого определения того, какие IP-адреса должны и не должны иметь доступ к RDP. При удаленной работе этот список может постоянно меняться, если сотрудники пытаются работать из разных мест или используют динамически назначаемые IP-адреса.
Ориентация на периметр: Этот подход к безопасности RDP фокусируется на блокировании первоначального доступа злоумышленника к сети организации. Однако, если злоумышленник попадает внутрь сети, ничто не мешает ему перемещаться по ней в боковом направлении.
Скомпрометированные конечные точки: Управление доступом на основе IP ограничивает доступ RDP к определенным машинам, но ничего не делает для защиты от атак с этих машин. Вредоносное ПО, установленное на конечном устройстве сотрудника, не будет блокировано от подключения к корпоративной сети через RDP.

Виртуальные частные сети (VPN) - это широко используемое решение для удаленного доступа. Они предназначены для обеспечения зашифрованного туннеля для сетевого трафика между удаленным пользователем и сетью предприятия. VPN также поддерживают такие решения безопасности, как MFA, которые помогают снизить угрозу взлома учетных записей.

Однако, несмотря на то, что VPN являются широко используемым решением и мерой защиты, они имеют уязвимости и часто становятся мишенью для киберугроз, пытающихся внедрить вредоносное ПО. Пользователи VPN должны осознавать присущие им слабости и загружать обновления патчей безопасности, когда они предоставляются.

Это означает, что развертывание инфраструктуры VPN может создать дополнительные уязвимости в сети организации. На самом деле, уязвимости VPN являются одними из наиболее часто используемых субъектами киберугроз и по количеству векторов доставки вымогательского ПО находятся на втором месте после RDP.

Проблема с ACL и VPN на базе IP заключается в том, что они сосредоточены на защите начальной точки доступа к сети организации. Более эффективный подход к защите удаленной работы учитывает как маршрут входа, так и системы, к которым сотрудник или злоумышленник может получить удаленный доступ.

Лучшим решением для обеспечения безопасности RDP является сочетание его с решением для виртуальных рабочих столов, таким как Citrix или VMware Horizons, которое использует единый вход для аутентификации пользователей. С помощью решения для виртуальных рабочих столов организация может внедрить MFA для контроля доступа и получить лучшую видимость и контроль над удаленно доступными конечными точками и данными, которые они хранят, обрабатывают и передают. Повышение прозрачности и контроля помогает предотвратить боковое перемещение угроз в сети и упрощает реализацию безопасного удаленного доступа.

Организации, использующие RDP, потенциально имеют множество уязвимостей или возможностей, доступных для эксплуатации злоумышленниками. Целесообразно рассмотреть возможность проведения специальной оценки безопасности удаленной работы, которая поможет выявить пробелы в безопасности вашей сети и предоставит советы и рекомендации по укреплению безопасности вашей сети.