Tecnica di attacco
Attacchi al protocollo desktop remoto (RDP)
Il protocollo di desktop remoto (RDP) è uno strumento potente, ma presenta rischi significativi per la sicurezza se non viene gestito correttamente. Ecco cosa c'è da sapere sui più recenti metodi di attacco e sulle migliori pratiche per migliorare la sicurezza.
Definizione
Che cos'è il protocollo di desktop remoto?
Il protocollo desktop remoto è incluso nella maggior parte dei sistemi operativi Windows ed è una parte importante del lavoro moderno. Consente agli amministratori IT di accedere ai sistemi interni per la manutenzione e l'assistenza e permette di lavorare in remoto, consentendo ai dipendenti di collegarsi alla rete aziendale quando lavorano da casa.
Tuttavia, RDP presenta rischi significativi. A causa della sua diffusione e del livello di accesso che fornisce, è diventato uno dei principali obiettivi dei criminali informatici.
Come funziona
Come funzionano gli attacchi RDP
RDP opera in genere sulla porta TCP 3389, la porta assegnata che consente agli utenti di connettersi in remoto a un dispositivo o sistema aziendale. Essendo questa la porta tipicamente assegnata, gli aggressori sanno di doverla colpire.
Le connessioni desktop remote sono anche un'opportunità per sfruttare le credenziali deboli. I dipendenti utilizzano notoriamente la stessa password su più dispositivi e account, compresi i login per l'accesso al desktop remoto, rendendoli altamente suscettibili agli attacchi di credential stuffing.
Perché gli aggressori lo usano
Perché gli aggressori usano RDP
Gli aggressori utilizzano spesso RDP per ottenere un accesso non autorizzato alle risorse di rete. Le connessioni RDP riuscite non solo aprono la porta a dati sensibili e sistemi critici, ma possono essere utilizzate come punto di appoggio per lanciare ulteriori attacchi. Nonostante la sua utilità, RDP presenta diverse debolezze di sicurezza che sono state sfruttate in molti modi:
- Attacchi di forza bruta: Gli hacker utilizzano spesso script automatizzati per forzare le credenziali di accesso RDP. Una volta ottenuto l'accesso, gli aggressori possono muoversi lateralmente all'interno di una rete, distribuire ransomware ed esfiltrare dati sensibili.
- Server RDP esposti: Le istanze RDP mal configurate ed esposte a Internet sono facili bersagli per gli aggressori. Molte organizzazioni lasciano RDP aperto senza VPN o restrizioni del firewall, rendendole altamente vulnerabili agli attacchi.
- Consegna del ransomware: I server RDP con password deboli o controlli di accesso inadeguati sono spesso il primo punto di ingresso negli attacchi ransomware.
- Raccolta di credenziali: Gli aggressori possono sfruttare le vulnerabilità di RDP per rubare le credenziali, attraverso attacchi man-in-the-middle o accedendo a protocolli di autenticazione mal configurati.
Rilevamenti della piattaforma
Come prevenire e rilevare attività RDP sospette
I desktop remoti sicuri sono fondamentali per prevenire le violazioni della sicurezza e gli accessi non autorizzati.
Per ridurre il rischio di violazioni legate a RDP, le organizzazioni possono:
- Limitare l'esposizione di RDP: utilizzare VPN o accesso di rete a fiducia zero (ZTNA) per proteggere i servizi RDP da Internet. L'esposizione diretta di RDP è un rischio importante, soprattutto in ambienti in cui gli aggressori possono scansionare le porte RDP aperte.
- Geo-bloccare gli indirizzi IP o limitare gli IP autorizzati ad avviare sessioni RDP tramite le regole del firewall.
- Applicare l'autenticazione a più fattori (MFA): Richiedete l'MFA per i login RDP per aggiungere un ulteriore livello di protezione contro il furto di credenziali e gli attacchi brute-force. L'MFA garantisce che anche se una password è compromessa, gli aggressori hanno bisogno di un secondo fattore di autenticazione.
- Abilitare l'autenticazione a livello di rete (NLA): L'NLA obbliga gli utenti ad autenticarsi prima di stabilire una sessione RDP. È un passo importante per mitigare gli accessi non autorizzati, poiché garantisce che solo gli utenti legittimi possano connettersi.
- Utilizzare i criteri di blocco delle password: Configurare meccanismi di blocco dell'account che blocchino temporaneamente i tentativi di accesso dopo diversi tentativi falliti.
Tuttavia, per migliorare la sicurezza non basta la prevenzione: l'applicazione delle password e le patch non bastano a tenere a bada ogni tentativo di attacco. Per questo motivo, sono fondamentali ulteriori misure di sicurezza. Soprattutto, tutte le organizzazioni hanno bisogno di un modo affidabile per identificare rapidamente i tentativi insoliti di stabilire connessioni RDP.
Vectra AIIl rilevamento di Suspicious Remote Desktop Protocol identifica le deviazioni dai normali modelli di utilizzo di RDP. Ad esempio: Quando un server interno riceve più tentativi di accesso RDP da un indirizzo IP esterno durante le ore non lavorative, o quando si verifica un improvviso picco di richieste di connessione da una località sconosciuta, queste attività fanno scattare automaticamente un campanello d'allarme. Questi rilevamenti vengono automaticamente gestiti, correlati e analizzati grazie all'intelligenza artificiale avanzata e all'apprendimento automatico, consentendo agli analisti della sicurezza di determinare rapidamente quando sono necessarie ulteriori indagini.
