Hur säker är RDP?
Nyligen skrev TechTarget om Sophos halvårsrapport Active Adversary Report for Tech Leaders, som analyserar data som sammanställts av företagets Incident Response-team för första halvåret 2023. Rapporten innehåller en del ögonöppnande statistik för alla organisationer som använder Windows-maskiner som en del av sin IT-infrastruktur.
Läs vidare för att se statistiken och få rekommendationer om hur du kan minska risken, bland annat genom att använda GO-Global när du levererar Windows-applikationer.
RDP och komprometterade autentiseringsuppgifter
Sophos rapport visar att ransomware fortfarande är den främsta attacktypen, men angriparna använde Microsoft® Remote Desktop Protocol (RDP) i 95 % av attackerna, en ökning från 88 % 2022. I 77% av attackerna 2023 användes RDP för att utnyttja komprometterade inloggningsuppgifter för intern åtkomst (hot som kommer inifrån en organisation, som anställda, leverantörer eller partners) och lateral förflyttning (tekniker som en angripare använder för att flytta sig genom ett nätverk efter att ha fått åtkomst).
Enligt Sophos är RDP fortfarande "ett av de mest missbrukade verktygen" eftersom det finns förinstallerat på de flesta Windows®-operativsystem. Före Windows 11 var RDP inte konfigurerat med brute force-skydd, vilket gjorde dessa konton mer sårbara. I Windows 11 började Microsoft aktivera Account Lockout Policy som standard. Policyn låser automatiskt användarkonton i 10 minuter efter 10 misslyckade inloggningsförsök i rad, vilket bidrar till att minska brute-forcing.
En annan bidragande faktor som Sophos pekar på är att MFA inte har implementerats på ett aggressivt sätt som en del av företagens säkerhetspolicy.
Dessa faktorer bidrog till att komprometterade inloggningsuppgifter blev den främsta orsaken till de attacker som analyserades i Sophos rapport för halvårsskiftet 2023.
Minska RDP:s hävstångseffekt
För att minska RDP-användningen rekommenderar Sophos att organisationer kräver att RDP-användningen är "nödvändig, begränsad och granskad" och att de implementerar MFA i hela organisationen. Sophos medger att det inte är trivialt att säkra RDP, men det kommer att ha en märkbar inverkan. Bara det faktum att man skapar en vägspärr mot RDP-åtkomst innebär att en angripare måste ta extra tid på sig för att hitta en lösning, vilket ger en organisation mer tid att upptäcka sådan aktivitet och implementera ett försvar.
Organisationer kan minska risken genom att se till att Windows 11-användare inte har inaktiverat kontolåsningspolicy och att Windows 10- och 8.1-användare aktiverar kontolåsningspolicy på sina maskiner. Alternativt kan användare inaktivera RDP mellan fjärrskrivbordssessioner.
Tyvärr vet de flesta datateam för slutanvändare att det inte är ett tillförlitligt sätt att lösa problemet med komprometterade referenser att förlita sig på att slutanvändarna låser eller inaktiverar RDP. Och Windows ISVs som använder Microsoft RDS för att leverera sina applikationer till kunder har inte möjlighet att diktera Windows-inställningarna på sina kunders maskiner. Som Sophos föreslår, för att fortsätta använda RDS och RDP och minska hotet om äventyrade referenser, begränsa användningen av RDP så mycket som möjligt, aktivera RDP Account Lockout Policy på Windows-maskiner där du kan och implementera MFA för varje användare.
Alternativ till RDP
För företag som använder Microsoft RDS och RDP för att leverera Windows-applikationer till användare eller kunder finns det en alternativ lösning som eliminerar behovet av att använda RDS och RDP.
GO-Global® tillhandahåller fullständiga ersättningar för Microsofts multisessionfunktionalitet, Remote Desktop Services och Remote Desktop Protocol. GO-Global ersätter RDP med RapidX Protocol (RXP), ett proprietärt protokoll med låg bandbredd. Eftersom RXP är en sluten källkod erbjuder det ytterligare skydd mot angripare jämfört med RDP:s protokoll med öppen källkod.
För ytterligare säkerhet inkluderar GO-Global 2FA, vilket gör brute force och ordbokslösenordssökningar värdelösa. Och GO-Global + SSO ger stöd för OpenID Connect, vilket gör det möjligt för organisationer att använda moderna identitetsleverantörer för att möjliggöra enkel inloggning i GO-Global Windows-värdar.
För mer information
Läs Sophos rapport här.
Läs TechTarget-artikeln som täcker Sophos-rapporten här.
För att begära en GO-Global-demo, klicka här; för en kostnadsfri 30-dagars GO-Global-testversion, klicka här.