Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecnica di attacco

Attacchi al protocollo desktop remoto (RDP)

Il protocollo RDP (Remote Desktop Protocol) è uno strumento potente, ma se non gestito correttamente comporta rischi significativi per la sicurezza. Ecco cosa occorre sapere sugli ultimi metodi utilizzati dagli hacker e sulle migliori pratiche per migliorare la sicurezza.

Definizione
Come funziona
Perché gli aggressori lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è il protocollo desktop remoto?

Il protocollo desktop remoto è incluso nella maggior parte dei sistemi operativi Windows ed è una parte importante del lavoro moderno. Consente agli amministratori IT di accedere ai sistemi interni per la manutenzione e l'assistenza e rende possibile il lavoro da remoto, permettendo ai dipendenti di connettersi alla rete aziendale quando lavorano da casa.

Tuttavia, l'RDP comporta rischi significativi. A causa della sua diffusione e del livello di accesso che fornisce, è diventato uno dei principali obiettivi dei criminali informatici. 

Come funziona

Come funzionano gli attacchi RDP

L'RDP opera tipicamente sulla porta TCP 3389, la porta assegnata che consente agli utenti di connettersi in remoto a un dispositivo o sistema aziendale. Poiché questa è tipicamente la porta assegnata, gli aggressori sanno che devono prenderla di mira.

Le connessioni desktop remote rappresentano anche un'opportunità per sfruttare credenziali deboli. È risaputo che i dipendenti utilizzano la stessa password su più dispositivi e account, compresi gli accessi per il desktop remoto, rendendoli altamente vulnerabili agli attacchi di credential stuffing.

Processo di attacco al protocollo Remote Desktop Protocol
Perché gli aggressori lo utilizzano

Perché gli hacker utilizzano RDP

Gli aggressori utilizzano spesso l'RDP per ottenere accesso non autorizzato alle risorse di rete. Le connessioni RDP riuscite non solo aprono le porte a dati sensibili e sistemi critici, ma possono anche essere utilizzate come punto di appoggio per lanciare ulteriori attacchi. Nonostante la sua utilità, l'RDP presenta diverse vulnerabilità di sicurezza che sono state sfruttate in numerosi modi:

  • Attacchi di forza bruta: gli hacker utilizzano spesso script automatizzati per forzare le credenziali di accesso RDP. Una volta ottenuto l'accesso, gli aggressori possono muoversi lateralmente all'interno di una rete, distribuire ransomware ed esfiltrare dati sensibili.
  • Server RDP esposti: le istanze RDP configurate in modo errato ed esposte a Internet sono facili bersagli per gli hacker. Molte organizzazioni lasciano l'RDP aperto senza VPN o restrizioni firewall, rendendolo altamente vulnerabile agli attacchi.
  • Distribuzione del ransomware: i server RDP con password deboli o controlli di accesso inadeguati sono spesso il primo punto di ingresso negli attacchi ransomware.
  • Raccolta delle credenziali: gli aggressori possono sfruttare le vulnerabilità dell'RDP per rubare le credenziali, sia tramite attacchi man-in-the-middle sia accedendo a protocolli di autenticazione configurati in modo inadeguato.
Rilevamenti della piattaforma

Come prevenire e rilevare attività RDP sospette

I desktop remoti sicuri sono fondamentali per prevenire violazioni della sicurezza e accessi non autorizzati. 

Per contribuire a ridurre il rischio di violazioni legate all'RDP, le organizzazioni possono:

  • Limitare l'esposizione RDP: utilizzare VPN o accesso zero trust (ZTNA) per proteggere i servizi RDP da Internet. L'esposizione diretta dell'RDP rappresenta un rischio importante, specialmente in ambienti in cui gli aggressori possono eseguire la scansione delle porte RDP aperte.
  • Blocca geograficamente gli indirizzi IP o limita gli IP autorizzati ad avviare sessioni RDP tramite regole firewall.
  • Applicare l'autenticazione a più fattori (MFA): richiedere l'autenticazione MFA per gli accessi RDP per aggiungere un ulteriore livello di protezione contro il furto di credenziali e gli attacchi di forza bruta. L'autenticazione MFA garantisce che, anche se una password viene compromessa, gli aggressori abbiano comunque bisogno di un secondo fattore di autenticazione.
  • Abilita l'autenticazione a livello di rete (NLA): NLA richiede agli utenti di autenticarsi prima che venga stabilita una sessione RDP. Si tratta di un passo importante per mitigare gli accessi non autorizzati, poiché garantisce che solo gli utenti legittimi possano connettersi.
  • Utilizza criteri di blocco password: configura meccanismi di blocco account che bloccano temporaneamente i tentativi di accesso dopo diversi tentativi falliti.

Tuttavia, migliorare la sicurezza richiede più della semplice prevenzione: l'applicazione delle password e le patch non sono sufficienti a tenere a bada ogni tentativo di attacco. Per questo motivo, è fondamentale adottare misure di sicurezza aggiuntive. Soprattutto, tutte le organizzazioni hanno bisogno di un metodo affidabile per identificare rapidamente i tentativi insoliti di stabilire connessioni RDP.

Il rilevamento dei protocolli RDP sospetti Vectra AIidentifica le deviazioni dai normali modelli di utilizzo RDP. Ad esempio: quando un server interno riceve più tentativi di accesso RDP da un indirizzo IP esterno durante l'orario di chiusura, o si verifica un improvviso picco di richieste di connessione da una posizione sconosciuta, queste attività attivano automaticamente un allarme. Questi rilevamenti vengono automaticamente classificati, correlati e analizzati utilizzando tecnologie avanzate di intelligenza artificiale e machine learning, consentendo agli analisti della sicurezza di determinare rapidamente quando è necessaria un'ulteriore indagine.

Rilevamento
RDP Recon
Per saperne di più
Rilevamento
Protocollo Desktop Remoto sospetto
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con rilevamenti avanzati

Il rilevamento RDP sospetto è una delle decine di rilevamenti avanzati basati sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti. Insieme, consentono agli analisti della sicurezza di prevenire sia gli attacchi noti che quelli sconosciuti nelle prime fasi della loro progressione.

Esplora la piattaforma
Per saperne di più

Domande frequenti