Felkészülés meghatározatlan ideig tartó RDP-re

2020. december 16. 08:50 - Csizmazia Darab István [Rambo]

Mivel a koronavírus által fertőzöttek száma új rekordokat döntött 2020. harmadik negyedévében, a vállalatok továbbra is nagymértékben támaszkodnak az otthoni munkavégzésre. Rengetegen nem is tértek vissza az irodai környezetbe, arra számítva, hogy ősszel kezdődik a második hullám - ahogy ez meg is történt. Így maradt a home office és valószínűleg ez az egyik oka annak, hogy a távoli hozzáférést biztosító Távoli Asztali Protokoll (RDP) továbbra is a számítógépes bűnözők elsődleges célpontja volt a harmadik negyedévben.

Miért most került fókuszba az RDP? Az RDP (Remote Desktop Protocol) lehetővé teszi a felhasználók számára, hogy csatlakozzanak egy távoli Windows számítógéphez vagy szerverhez. Az évek során a kiberbiztonsági kutatók számos sebezhetőséget azonosítottak, ám az RDP használata valójában idén márciusban ugrott meg igazán.

Ekkor ugyanis az otthonról dolgozó kollégáknak továbbra is hozzá kellett férniük a vállalati erőforrásokhoz a hálózaton keresztül, és sok szervezet úgy döntött, hogy ezt a Remote Desktop Protocol segítségével teszi lehetővé számukra.

A megnövekedett használat miatt a támadások száma is emelkedett: az előző negyedévhez képest 37 százalékkal nőtt az egyedi ügyfelek Távoli Asztali Protokoll kapcsolatai ellen irányuló támadási kísérletek száma. A támadók a rosszul védett távelérési eszközök előnyeit kihasználva hozzáférhetnek a vállalati hálózatokhoz.

A Távoli Asztali Protokoll a leggyakoribb támadási faktor, de fontos megjegyezni, hogy bármely távoli kapcsolatot létrehozó eszközben előfordulhatnak hasonló problémás biztonsági rések és sérülékeny beállítások. Korábban a TeamViewer, Kaseya és Citrix is került ilyen helyzetbe.

Az összes támadási kísérlet mennyisége pedig - beleértve annak minden fajtáját - rendkívüli, 140%-os növekedést mutatott a negyedév során, majd ennek végén rövid ideig tartóvisszaesés következett be. A világjárvány idején egyre több, nem megfelelő védelemmel rendelkező home office rendszer csatlakozott az internethez, és a bűnözők valószínűleg a zsarolóvírus-bandáktól merítettek ihletet az RDP támadásokhoz.

Mégis, az ESET telemetriája szeptember végén határozott - bár sajnos csak ideiglenes - csökkenést dokumentált a támadások számában: átmeneti 40 százalékos visszaesést.

Mivel ezt a korlátozott ideig tartó csökkenést több régióban is észlelték, elképzelhető, hogy a következő forgatókönyvek valamelyike játszódott le:

- Egy bűnözői infrastruktúra (botnet vagy annak egy része) hivatalos bejelentés nélküli leleplezése és eltávolítása
- Egy nagyobb támadói csoport vagy néhány tagjának hivatalos bejelentés nélküli letartóztatása
- Áramszünet, karbantartás vagy egyéb technikai problémák a támadók infrastruktúrájában
- Egy másik, életképesebb, olcsóbb vagy könnyebben kihasználható támadási vektor vált elérhetővé, ami az egyik csoportot rövid ideig tartó újratervezésre késztette.

Mit tehetünk, hogy csökkentsük a távoli hozzáférés kockázatait? Ahhoz, hogy elkerülhessük a támadást, adatvesztést, tartsuk naprakészen szoftvereinket, és kombináljuk ezt a gyakorlatot egy megbízható, többrétegű végpontvédelmi termékkel! Nagyon fontos, hogy a rendszer automatikus frissítését mindig engedélyezzük és az automatikusan letöltődő javítócsomagok telepítését se halogassuk. Legyenek jól konfigurálva a szoftvereink.

Emellett hasznos, ha nem kattintunk ismeretlen feladótól származó levélben érkező linkekre, mellékletekre. A vállalati adatbázisokhoz való hozzáféréshez erős jelszavakat használjunk, és készítsünk biztonsági másolatokat a fontos adatainkról. Munkáltatóként fontos, hogy engedélyezzük az RDP-hez való hozzáférést vállalati VPN-en keresztül, valamint a hálózati szintű hitelesítés (NLA) használatát távoli csatlakozás esetén. Emellett mindenképpen alkalmazzunk többfaktoros azonosítást.

Fontos megjegyezni, hogy a céges tűzfalon a távoli asztali eléréshez használatos port megnyitása a mai támadási trendek fényében egyáltalán nem javasolt, még akkor sem, ha a hozzáférést erős, egyedi jelszó védi. Az ilyen belépési pontok ugyanis a zsarolóvírus támadások gyakori célpontjai. Sajnos emellett úgy tűnik, a koronavírus elleni küzdelem kiemelt célpontjai lettek az egészségügyi intézmények, kórházak is, és ez jócskán megnehezíti a járvány elleni védekezést, az amúgy is leterhelt intézményeknek.

Az egyre újabb fertőzések mögött egyértelműen az anyagi haszonszerzés áll mint cél, a váltságdíjat pedig részben a titkosított adatok helyreállításáért, részben pedig még az elkódolás előtt ellopott bizalmas adatok nyilvánosságra hozatalának elkerüléséért követelik a bűnözők, és a modell egyelőre sajnos működik.

A home office biztonsági kihívásainak leküzdéséhez a KKV-k számára az ESET külön információs támogató oldalt hozott létre, hogy ezzel is segítsen megismertetni, miként védekezhetnek a kisvállalkozások a leggyakoribb támadások, például a zsarolóvírusok ellen.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr416345072

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása