Hvor sikker er RDP?

Sidst opdateret:
23. oktober 2024

Hvor sikker er RDP?

For nylig omtalte TechTarget Sophos' halvårlige Active Adversary Report for Tech Leaders, som analyserer data, der er indsamlet af virksomhedens Incident Response-team for første halvdel af 2023. Rapporten indeholder nogle øjenåbnende statistikker for enhver organisation, der bruger Windows-maskiner som et element i sin IT-infrastruktur.

Læs videre for at se statistikkerne og få anbefalinger til, hvordan du mindsker risikoen, herunder brug af GO-Global, når du leverer Windows-applikationer.

RDP og kompromitterede legitimationsoplysninger

Mens Sophos' rapport viste, at ransomware fortsat er den største angrebstype, udnyttede angriberne Microsoft® Remote Desktop Protocol (RDP) i 95 % af angrebene, hvilket er en stigning fra 88 % i 2022. I 77 % af angrebene i 2023 blev RDP brugt til at udnytte kompromitterede legitimationsoplysninger til intern adgang (trusler, der kommer inde fra en organisation, f.eks. medarbejdere, leverandører eller partnere) og lateral bevægelse (teknikker, som en angriber bruger til at bevæge sig gennem et netværk, efter at han har fået adgang).

Ifølge Sophos er RDP stadig "et af de mest misbrugte værktøjer", fordi det er forudinstalleret på de fleste Windows®-operativsystemer. Før Windows 11 var RDP ikke konfigureret med brute force-beskyttelse, hvilket gjorde disse konti mere sårbare. I Windows 11 begyndte Microsoft at aktivere Account Lockout Policy som standard. Politikken låser automatisk brugernes konti i 10 minutter efter 10 mislykkede loginforsøg i træk, hvilket hjælper med at afbøde brute-forcing.

En anden medvirkende faktor, som Sophos påpeger, er, at MFA ikke er blevet aggressivt implementeret som en del af virksomhedens sikkerhedspolitik.

Disse faktorer bidrog til at gøre kompromitterede legitimationsoplysninger til den førende årsag til de angreb, der blev analyseret i Sophos' midtårsrapport 2023.

Reducering af RDP-udnyttelse

For at reducere brugen af RDP anbefaler Sophos-rapporten, at organisationer kræver, at brugen af RDP er "nødvendig, begrænset og revideret", og at de implementerer MFA i hele organisationen. Sophos anerkender, at det ikke er trivielt at sikre RDP - men det vil have en mærkbar effekt. Alene det at skabe en vejspærring med "ingen RDP-adgang" betyder, at en angriber skal bruge ekstra tid på en løsning, hvilket giver organisationen mere tid til at opdage en sådan aktivitet og implementere et forsvar.  

Organisationer kan reducere risikoen ved at sikre, at Windows 11-brugere ikke har deaktiveret Account Lockout Policy, og at Windows 10- og 8.1-brugere aktiverer Account Lockout Policy på deres maskiner. Alternativt kan brugerne deaktivere RDP mellem fjernskrivebordssessioner.

Desværre ved de fleste computerteams for slutbrugere, at det ikke er en pålidelig måde at løse problemet med kompromitterede legitimationsoplysninger på at stole på, at slutbrugerne låser eller deaktiverer RDP. Og Windows ISV'er, der bruger Microsoft RDS til at levere deres applikationer til kunderne, er ikke i stand til at diktere Windows-indstillingerne på deres kunders maskiner. For at fortsætte med at bruge RDS og RDP og reducere truslen om kompromitterede legitimationsoplysninger skal du, som Sophos foreslår, begrænse brugen af RDP så meget som muligt, aktivere RDP Account Lockout Policy på Windows-maskiner, hvor du kan, og implementere MFA for alle brugere.

Alternativer til RDP

For virksomheder, der bruger Microsoft RDS og RDP til at levere Windows-applikationer til brugere eller kunder, er der en alternativ løsning, der eliminerer behovet for at bruge RDS og RDP.

GO-Global® giver fuld erstatning for Microsofts multisession-funktionalitet, Remote Desktop Services og Remote Desktop Protocol. GO-Global erstatter RDP med RapidX Protocol (RXP), en proprietær protokol med lav båndbredde. Fordi RXP er closed source, giver den et ekstra forsvar mod angribere sammenlignet med RDP's open source-protokol.

For yderligere sikkerhed inkluderer GO-Global 2FA, som gør brute force- og ordbogsadgangskodesøgninger ubrugelige. Og GO-Global + SSO understøtter OpenID Connect, som gør det muligt for organisationer at bruge moderne identitetsudbydere til at aktivere single sign-on på GO-Global Windows-værter.

For mere information

Læs Sophos-rapporten her.

Læs TechTarget-artiklen om Sophos-rapporten her.

Klik her for at anmode om en GO-Global-demo; klik her for at få en gratis 30-dages GO-Global-prøveperiode.