So schützen Sie Ihr Unternehmen vor Cyberangriffen, bei denen das Remotedesktopprotokoll von Microsoft ausgenutzt wird

So verhindern Sie die Zerstörung von Daten durch Cybersicherheitsangriffe Christoper Scott von IBM erläutert Malware, wie Cyberangreifer in Umgebungen gelangen und warum die Verwendung der Multifaktorauthentifizierung bei Verwendung eines Onlinedienstes von entscheidender Bedeutung ist.

Das Remote Desktop Protocol (RDP) von Microsoft ist ein beliebtes und allgegenwärtiges Mittel für den Zugriff auf, die Steuerung und die Verwaltung von Remotecomputern, sowohl für Einzelpersonen als auch für Organisationen. RDP ist die zugrunde liegende Technologie für Microsoft Remote Desktop Connection (RDC), ein in Windows integriertes Tool, das jedoch auch für andere Plattformen wie macOS, iOS und Android verfügbar ist. Aufgrund seiner Beliebtheit ist RDP eine einladende und ausnutzbare Möglichkeit für Hacker, auf Remotecomputer zuzugreifen. Glücklicherweise gibt es Maßnahmen, die Sie ergreifen können, um RDP in Ihrem Unternehmen zu kontrollieren und anzupassen, um es besser vor Angreifern zu schützen. Dies geht aus dem am Mittwoch veröffentlichten Spotlight-Bericht 2019 von Vectra über RDP hervor.

Aufgrund seiner weit verbreiteten Verwendung ist RDP eine anfällige Angriffsfläche und wird es laut Vectra wahrscheinlich auch in naher Zukunft sein. Das liegt daran, dass Cyberangreifer bei ihren Bemühungen, sich in Computer und Systeme zu hacken, normalerweise dem "Weg des geringsten Widerstands" folgen. Die Strategie besteht darin, zu versuchen, vorhandene Verwaltungstools zu verwenden, um Zugriff auf ein Netzwerk zu erhalten, und dann Malware einzuführen, um die Umgebung des Ziels zu erfassen und letztendlich Daten aus einem Unternehmen zu stehlen.

Ransomware: Was IT-Profis wissen müssen (kostenloses PDF)

Laut dem Bericht hat Vectra in mehr als 350 Bereitstellungen von Januar bis Juni 2019 26.800 verdächtige RDP-Verhaltensweisen festgestellt. Ganze 90% der 350 Bereitstellungen zeigten RDP-Angriffsverhaltenserkennungen. Produktions- und Finanzunternehmen waren mit 10 bzw. 8 Erkennungen pro 10.000 Workloads bzw. Geräten von der höchsten Stufe der RDP-Erkennungen betroffen. Über diese beiden Branchen hinaus gehörten Einzelhandel, Regierung und Gesundheitswesen zu den fünf am stärksten gefährdeten Sektoren für die Erkennung von RDP-Angriffen.

Vectra

Im September 2018 warnte das FBI, dass der böswillige Einsatz von RDP "seit Mitte Ende 2016 zunimmt", heißt es in dem Bericht von Vectra. Mehrere Ransomware-Angriffe wie Samsam und CrySiS verwendeten RDP, um sich seitlich innerhalb von Netzwerken zu bewegen. In ihrer Warnung riet die Agentur Unternehmen sogar, RDP zu deaktivieren, wenn es nicht benötigt wird.

Viele Unternehmen wägen jedoch die Vorteile der Verwendung von RDP gegen die Möglichkeit ab, dass ein Hacker darauf zugreifen kann. Insbesondere IT-Manager in produzierenden Unternehmen dürften die massiven Kosten- und Zeiteinsparungen des zentralisierten Managements durch RDP dem potenziellen abstrakten Risiko eines Cyberangreifers vorziehen, der es ausnutzt, heißt es in dem Bericht. RDP bietet Unternehmen auch geschäftlichen Nutzen, da es ihnen ermöglicht, Computer und Systeme auf der ganzen Welt zentral zu verwalten.

Warum ist RDP als Verbindungsprotokoll so anfällig? Hat es inhärente Schwächen oder ist es zu oft so konfiguriert, dass es anfällig für Ausbeutung ist?

Sicherlich ist RDP anfällig für Sicherheitslücken, die regelmäßig entdeckt werden und Microsoft dazu zwingen, Benutzer zu alarmieren und die Lücken zu schließen. Im August kündigte Microsoft mehrere neue RDP-Sicherheitslücken an, die ohne ordnungsgemäße Anmeldeinformationen oder Eingaben des Benutzers ausgeführt werden könnten, sodass ein Angreifer remote auf ein System zugreifen und es steuern kann. In dieser Ankündigung empfahl sogar Microsoft, die Remotedesktopdienste zu deaktivieren, wenn sie nicht benötigt werden. Aber es ist immer noch die weit verbreitete Verwendung von RDP, die es zu einem offenen Ziel macht.

"RDP ist nicht mehr oder weniger anfällig als jedes andere Verwaltungsprotokoll. Dies bedeutet, dass die Stärke von RDP davon abhängt, wie stark die in der Organisation verwendete administrative Authentifizierung ist", sagte Chris Morales, Leiter Sicherheitsanalyse bei Vectra, gegenüber TechRepublic in einer E-Mail . "Was RDP attraktiv macht, ist die Allgegenwart des Protokolls, da RDP seit 1996 auf jedem Windows-System vorhanden ist und in jeder Branche weit verbreitet ist. RDP verfügt über Exploits, mit denen ein Angreifer die Authentifizierung umgehen und seinen Code auf einem Remote-System ausführen kann Dies ist das gleiche wie bei jeder Software. "

Vielmehr liegen die Schwächen von RDP häufiger in seiner Konfiguration oder Fehlkonfiguration.

"Das Problem mit RDP liegt am häufigsten in der Konfiguration und Bereitstellung innerhalb der Organisationen selbst", sagte Morales gegenüber TechRepublic. "Es gibt Fälle von gemeinsamem Administratorzugriff, RDP, die dem Internet ausgesetzt sind, und einem allgemeinen Mangel an Bewusstsein dafür, wie RDP innerhalb des Unternehmens verwendet wird."

Der erste Schritt zur effektiveren Sicherung des EPLR gegen Ausbeutung besteht in der Kontrolle seines Zugriffs.

"Unternehmen müssen den Zugriff auf die Remotedesktopverwaltung einschränken und eine starke Authentifizierung verwenden", sagte Morales. "Unternehmen müssen davon ausgehen, dass Kompromisse möglich sind, und sich darauf konzentrieren, zu erfahren, wer, was, wo und wann der Remotedesktopzugriff erfolgt. Dazu gehört auch die ordnungsgemäße Zuweisung des Benutzerzugriffs Rechte und Reduzierung von Instanzen gemeinsam genutzter Anmeldeinformationen, damit sich Unternehmen darauf konzentrieren können, wie und wann dieser Zugriff verwendet wird. "

Der nächste Schritt ist die Überwachung der Verwendung von RDP.

"Die Überwachung des Fernzugriffsverhaltens ist wichtig, um die interne Aufklärung und seitliche Bewegung eines Cyberangreifers innerhalb des Unternehmensnetzwerks besser erkennen zu können", fügte Morales hinzu. "Die Sichtbarkeit dieses und anderer Verhaltensweisen von Angreifern hängt von der Implementierung geeigneter Tools mit Sichtbarkeit des Netzwerkverhaltens ab."

Über diese Ratschläge hinaus müssen sich Unternehmen über die Support-Bulletins von Microsoft über neue Exploits in RDP informieren und die erforderlichen Patches herunterladen. Ein Artikel aus dem Maschinendesign mit dem Titel Fünf Probleme beim sicheren Fernzugriff auf IIoT-Maschinen bietet auch hilfreiche Ratschläge für die Verwaltung von RDP, insbesondere in einer Fertigungsumgebung.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | mobilegn.com