Per garantire l'adozione dell'IA occorre innanzitutto garantire la visibilità
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per il Network Detection and Response (NDR) del 2025
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Tecnica di attacco

Attacchi tramite il protocollo RDP (Remote Desktop Protocol)

Il protocollo RDP (Remote Desktop Protocol) è uno strumento potente, ma comporta notevoli rischi per la sicurezza se non viene gestito correttamente. Ecco cosa occorre sapere sulle ultime tecniche utilizzate dagli hacker e sulle migliori pratiche per migliorare la sicurezza.

Definizione
Come funziona
Perché gli hacker lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è il protocollo Desktop remoto?

Il protocollo Desktop Remote è integrato nella maggior parte dei sistemi operativi Windows e costituisce una componente fondamentale del lavoro moderno. Consente agli amministratori IT di accedere ai sistemi interni per attività di manutenzione e assistenza, oltre a rendere possibile il lavoro da remoto permettendo ai dipendenti di connettersi alla rete aziendale quando lavorano da casa.

Tuttavia, l'RDP comporta rischi significativi. Data la sua diffusione e il livello di accesso che garantisce, è diventato uno dei principali obiettivi dei criminali informatici. 

Come funziona

Come funzionano gli attacchi RDP

Il protocollo RDP funziona solitamente sulla porta TCP 3389, la porta predefinita che consente agli utenti di connettersi in remoto a un dispositivo o a un sistema aziendale. Poiché si tratta della porta predefinita, gli hacker sanno che devono prenderla di mira.

Le connessioni tramite desktop remoto rappresentano inoltre un'occasione per sfruttare credenziali deboli. È risaputo che i dipendenti utilizzano la stessa password su più dispositivi e account — compresi quelli per l'accesso tramite desktop remoto — rendendosi così particolarmente vulnerabili agli attacchi di credential stuffing.

Processo di attacco tramite il Protocollo Desktop Remoto
Perché gli hacker lo utilizzano

Perché gli hacker utilizzano RDP

Gli hacker utilizzano spesso il protocollo RDP per ottenere accesso non autorizzato alle risorse di rete. Le connessioni RDP riuscite non solo aprono la strada a dati sensibili e sistemi critici, ma possono essere utilizzate come punto d'appoggio per sferrare ulteriori attacchi. Nonostante la sua utilità, il protocollo RDP presenta diverse vulnerabilità di sicurezza che sono state sfruttate in vari modi:

  • Attacchi di forza bruta: Gli hacker utilizzano spesso script automatizzati per effettuare attacchi di forza bruta alle credenziali di accesso RDP. Una volta ottenuto l'accesso, gli aggressori possono muoversi lateralmente all'interno di una rete, distribuire ransomware ed estrarre dati sensibili.
  • Server RDP esposti: le istanze RDP configurate in modo errato ed esposte a Internet rappresentano un facile bersaglio per gli hacker. Molte organizzazioni lasciano i server RDP accessibili senza VPN o restrizioni firewall, rendendoli altamente vulnerabili agli attacchi.
  • Diffusione del ransomware: i server RDP con password deboli o controlli di accesso inadeguati rappresentano spesso il primo punto di accesso negli attacchi ransomware.
  • Raccolta di credenziali: gli hacker possono sfruttare le vulnerabilità del protocollo RDP per rubare le credenziali, sia tramite attacchi man-in-the-middle sia accedendo a protocolli di autenticazione configurati in modo inadeguato.
Rilevamenti della piattaforma

Come prevenire e individuare attività RDP sospette

I desktop remoti protetti sono fondamentali per prevenire violazioni della sicurezza e accessi non autorizzati. 

Per contribuire a ridurre il rischio di violazioni legate all'RDP, le organizzazioni possono:

  • Limitare l'esposizione di RDP: utilizzare VPN o soluzioni di accesso zero trust (ZTNA) per proteggere i servizi RDP da Internet. L'esposizione diretta di RDP rappresenta un rischio significativo, specialmente in ambienti in cui gli aggressori possono eseguire scansioni alla ricerca di porte RDP aperte.
  • Bloccare gli indirizzi IP in base alla posizione geografica o limitare gli indirizzi IP autorizzati ad avviare sessioni RDP tramite regole del firewall.
  • Applicare l'autenticazione a più fattori (MFA): richiedere l'autenticazione a più fattori per gli accessi RDP al fine di aggiungere un ulteriore livello di protezione contro il furto di credenziali e gli attacchi di forza bruta. L'autenticazione a più fattori garantisce che, anche in caso di compromissione della password, gli aggressori debbano comunque disporre di un secondo fattore di autenticazione.
  • Abilita l'autenticazione a livello di rete (NLA): la NLA impone agli utenti di autenticarsi prima che venga stabilita una sessione RDP. Si tratta di una misura importante per limitare gli accessi non autorizzati, poiché garantisce che solo gli utenti legittimi possano connettersi.
  • Utilizzare criteri di blocco dell'accesso tramite password: configurare meccanismi di blocco dell'account che impediscano temporaneamente i tentativi di accesso dopo diversi tentativi falliti.

Tuttavia, migliorare la sicurezza non significa solo puntare sulla prevenzione: l'applicazione delle password e l'installazione delle patch non bastano a tenere a bada ogni tentativo di attacco. Per questo motivo, è fondamentale adottare misure di sicurezza aggiuntive. Soprattutto, tutte le organizzazioni hanno bisogno di un metodo affidabile per identificare rapidamente i tentativi anomali di stabilire connessioni RDP.

Il sistema di rilevamento dei comportamenti sospetti nel protocollo RDP (Remote Desktop Protocol ) Vectra AIindividua le anomalie rispetto ai normali modelli di utilizzo dell'RDP. Ad esempio: quando un server interno riceve più tentativi di accesso RDP da un indirizzo IP esterno al di fuori dell'orario di lavoro, o si verifica un improvviso picco di richieste di connessione da una posizione sconosciuta, queste attività fanno scattare automaticamente un allarme. Questi rilevamenti vengono automaticamente classificati, correlati e analizzati utilizzando tecnologie avanzate di intelligenza artificiale e machine learning, consentendo agli analisti della sicurezza di determinare rapidamente quando è necessaria un'ulteriore indagine.

Rilevamento
RDP Recon
Per saperne di più
Rilevamento
Protocollo Desktop remoto sospetto
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con sistemi di rilevamento avanzati

Il rilevamento di sessioni RDP sospette è una delle decine di funzionalità di rilevamento avanzate basate sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti MITRE ATT&CK . Insieme, queste funzionalità consentono agli analisti della sicurezza di prevenire gli attacchi, sia noti che sconosciuti, nelle loro fasi iniziali.

Esplora la piattaforma
Per saperne di più

Domande frequenti