Hoe veilig is RDP?
Onlangs publiceerde TechTarget over het halfjaarlijkse Active Adversary Report for Tech Leaders van Sophos, dat gegevens analyseert die zijn verzameld door het Incident Response-team van het bedrijf voor de eerste helft van 2023. Het rapport bevat een aantal oogverblindende statistieken voor elke organisatie die Windows-machines gebruikt als onderdeel van de IT-infrastructuur.
Lees verder om de statistieken te bekijken en aanbevelingen te krijgen voor het beperken van risico's, waaronder het gebruik van GO-Global bij het leveren van Windows-applicaties.
RDP en besmette referenties
Terwijl Sophos' rapport aangeeft dat ransomware het nummer één aanvalstype blijft, maakten aanvallers in 95% van de aanvallen gebruik van Microsoft® Remote Desktop Protocol (RDP), een stijging ten opzichte van 88% in 2022. In 77% van de aanvallen in 2023 werd RDP gebruikt om gecompromitteerde referenties te gebruiken voor interne toegang (bedreigingen die afkomstig zijn van binnen een organisatie, zoals werknemers, verkopers of partners) en laterale beweging (technieken die een aanvaller gebruikt om zich door een netwerk te bewegen nadat hij toegang heeft gekregen).
Volgens Sophos blijft RDP "een van de meest misbruikte tools" omdat het vooraf geïnstalleerd is op de meeste Windows® besturingssystemen. Vóór Windows 11 was RDP niet geconfigureerd met bescherming tegen brute kracht, waardoor deze accounts kwetsbaarder waren. In Windows 11 is Microsoft begonnen met het standaard inschakelen van Account Lockout Policy. Het beleid vergrendelt automatisch de accounts van gebruikers gedurende 10 minuten na 10 mislukte inlogpogingen achter elkaar, waardoor brute-forcing wordt beperkt.
Een andere factor waar Sophos op wijst is dat MFA niet agressief is geïmplementeerd als onderdeel van het beveiligingsbeleid van bedrijven.
Deze factoren hebben ertoe bijgedragen dat gecompromitteerde referenties de belangrijkste hoofdoorzaak zijn van de aanvallen die zijn geanalyseerd in het rapport van Sophos over halverwege het jaar 2023.
De hefboomwerking van RDP verminderen
Om het gebruik van RDP te verminderen, adviseert het Sophos rapport dat organisaties moeten verplichten dat RDP gebruik "noodzakelijk, beperkt en gecontroleerd" is, en MFA in de hele organisatie moeten implementeren. Sophos erkent dat het beveiligen van RDP niet triviaal is, maar het zal wel een merkbare impact hebben. Alleen al het creëren van een "geen-RDP-toegang" wegversperring betekent dat een aanvaller extra tijd moet besteden aan een workaround, waardoor een organisatie meer tijd heeft om dergelijke activiteiten te detecteren en een verdediging te implementeren.
Organisaties kunnen het risico verkleinen door ervoor te zorgen dat Windows 11-gebruikers Account Lockout Policy niet hebben uitgeschakeld en dat Windows 10- en 8.1-gebruikers Account Lockout Policy inschakelen op hun machines. Als alternatief kunnen gebruikers RDP uitschakelen tussen externe desktopsessies.
Helaas weten de meeste eindgebruikers dat het vertrouwen op eindgebruikers om RDP te vergrendelen of uit te schakelen geen betrouwbare manier is om het gecompromitteerde credential probleem aan te pakken. En Windows ISV's die Microsoft RDS gebruiken om hun applicaties aan klanten te leveren zijn niet in een positie om de Windows instellingen op de machines van hun klanten te dicteren. Zoals Sophos suggereert, om RDS en RDP te blijven gebruiken en de dreiging van gecompromitteerde credentials te verminderen, beperk het gebruik van RDP zoveel mogelijk, schakel RDP Account Lockout Policy in op Windows machines waar mogelijk en implementeer MFA voor iedere gebruiker.
Alternatieven voor RDP
Voor bedrijven die Microsoft RDS en RDP gebruiken om Windows applicaties te leveren aan gebruikers of klanten, is er een alternatieve oplossing die het gebruik van RDS en RDP overbodig maakt.
GO-Global® biedt volledige vervangingen voor Microsofts functionaliteit voor meerdere sessies, Remote Desktop Services en Remote Desktop Protocol. GO-Global vervangt RDP door RapidX Protocol (RXP), een eigen protocol met lage bandbreedte. Omdat RXP closed source is, biedt het extra verdediging tegen aanvallers, vergeleken met het open-source protocol van RDP.
Voor extra beveiliging bevat GO-Global 2FA, dat het zoeken naar brute kracht en woordenboeken voor wachtwoorden nutteloos maakt. En GO-Global + SSO biedt ondersteuning voor OpenID Connect, waardoor organisaties moderne identiteitsproviders kunnen gebruiken om eenmalige aanmelding bij GO-Global Windows hosts mogelijk te maken.
Voor meer informatie
Lees het Sophos-rapport hier.
Lees het TechTarget-artikel over het Sophos-rapport hier.
Klik hier om een GO-Global demo aan te vragen; klik hier voor een gratis proefversie van GO-Global van 30 dagen.